Clop(クロップ)は、単なるランサムウェアの一種ではありません。ファイル転送ソフト「MOVEit Transfer」の脆弱性を突いた国際的なサイバー攻撃を通じて、世界中の企業や行政機関を標的にし、大量の機密情報を流出させたことで広く知られる存在です。
本記事では、Clopの特徴から攻撃手口まで解説すると共に、フォレンジック調査の重要性も含め、企業が取るべき正しい初動対応を徹底的に解説します。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
Cl0pランサムウェアとは?
Cl0p(Clopとも表記)は、「Ransomware-as-a-Service(RaaS)」として提供されているランサムウェアであり、その開発・配布を行っているサイバー犯罪グループの名称でもあります。グループはロシア語圏に拠点を置くとされ、2019年に初めて存在が確認されました。前身はCryptoMixというマルウェアの亜種と見られています。
医療、金融、製造、教育、行政機関など多様な業界を標的とし、世界中で被害が報告されています。RaaSモデルを採用しているため、実際の攻撃は「アフィリエイター」と呼ばれる外部の提携攻撃者によって実行されます。
利用するアフィリエイターは、フィッシングメールやファイル転送ソフトの脆弱性(例:MOVEit、Cleo)を利用してネットワークに侵入。感染後は、データを暗号化するだけでなく、機密情報を外部に窃取し、公開をちらつかせて金銭を要求する「二重恐喝」の手法を用いるのが特徴です。
Clopランサムウェアは、以下のような金銭目的のサイバー犯罪グループにより使用されていた事例が確認されています。
- TA505(別名:Gold Tahoe、Hive0065)
- FIN7(別名:Gold Niagara、Carbon Spider、Carbanak、Sangria Tempest)
- FIN11(別名:Lace Tempest、DEV-0950、TEMP.Warlock、UNC902)
出典:Medium
Cl0pランサムウェアの特徴
Clopは、暗号化と情報窃取を組み合わせた戦術や、特定地域を除外する攻撃仕様など、他のランサムウェアとは異なる特徴を持っています。
「二重恐喝」を主軸とする犯行手口
Clopランサムウェアは、いわゆる「二重恐喝(ダブルエクストーション)」を特徴とする攻撃手法を採用しています。これは、ファイルを暗号化して業務を停止させるだけでなく、窃取した機密情報を人質に取ってさらなる圧力をかける戦術です。
情報窃取と暴露による脅迫
Clopは近年、データの暗号化よりも情報窃取に重点を置く傾向を強めています。侵入後にサーバーから機密情報を大量に抽出し、支払いに応じなければ、ダークウェブ上のリークサイト「CL0P^_-LEAKS」で公開すると警告します。
ファイル暗号化による業務停止
情報の暴露に加え、最終的な圧力としてファイルを暗号化し、被害組織の業務を完全に停止させます。暗号化されたファイルには「.clop」などの拡張子が付与され、復旧を困難にするためにバックアップデータも同時に削除されるケースが多く見られます。
この二段構えの脅迫により、単なるバックアップの復元では対応しきれず、企業は事業継続や情報漏洩対策に追われる深刻な状況へと追い込まれます。
グローバルな標的と攻撃対象外の国
Clopの攻撃対象は極めて広範囲に及び、主な標的はアメリカですが、ヨーロッパやアジアの企業も数多く被害に遭っています。標的となる業種も、ヘルスケア、テクノロジー、金融サービス、政府機関など多岐にわたります。
一方で、ロシア語圏である独立国家共同体(CIS)諸国の言語設定を持つシステムは、意図的に攻撃対象から除外する機能が組み込まれていることが特徴です。
Clopランサムウェアの攻撃フロー
以下は、Clopランサムウェアの典型的な攻撃プロセスです。
- 侵入経路:MOVEit TransferやCleo MFT製品などのゼロデイ脆弱性を突いてネットワークへ侵入します。補完的に、フィッシングメールや侵害されたRDPも使用されます。
- 内部活動:Cobalt Strikeなどのツールを用いて社内ネットワークを偵察。Active Directoryを掌握し、感染を組織全体へ拡大させます。
- 妨害工作:システムの復旧を妨げるため、Windowsのボリュームシャドウコピーを削除します。
- 暗号化と恐喝:ファイルを暗号化し、拡張子「.Cl0p」へ変更。あわせて情報を窃取し、リークサイト「CL0P^_-LEAKS」での公開を予告して身代金を要求します。
Clopの攻撃は、単なるデータ暗号化にとどまらず、情報窃取と公開を組み合わせた「二重恐喝」によって、企業の信頼・事業継続・法的責任に深刻な影響を与えます。
たとえバックアップから一部のデータを復元できたとしても、ネットワーク内に残されたマルウェアやバックドアを見落としたまま業務を再開することは極めて危険です。
Clopのような高度で組織的な攻撃に対しては、表面的な復旧では不十分です。侵入経路や被害範囲、情報漏洩の実態を明らかにし、システムを安全な状態へ完全に戻すには、専門家によるフォレンジック調査が不可欠です。
Clopランサムウェアの感染経路と事例
Clopランサムウェアは、ゼロデイ脆弱性の悪用を主軸としつつ、複数の侵入手段を使い分け、様々な業種・規模の企業に攻撃を仕掛けています。特に近年では、ファイル転送ソフトに存在する重大な脆弱性が感染経路として多用されています。
MOVEitの脆弱性攻撃
2023年、Cl0pランサムウェアは、アメリカの企業や団体を中心に大規模な攻撃キャンペーンを展開しました。標的となったのは、ファイル転送ソフト「MOVEit Transfer」に存在していた脆弱性「CVE-2023-34362」です。この脆弱性は「認証されていない人物でもデータベースにアクセスできる」といったものであり、結果として約6,200万人以上の個人情報が漏洩したと報告されています。
出典:WIRED
ClopランサムウェアによるCleo製品を標的とした攻撃
2024年12月、ClopはCleo社のファイル転送ソフト「Cleo Harmony®」「Cleo VLTrader®」Cleo LexiCom®」に存在する2件のゼロデイ脆弱性(CVE-2024-50623/CVE-2024-55956)を悪用し、60社以上を標的とする大規模攻撃を展開しました。
被害にはBlue YonderやStarbucks関連企業も含まれ、Clopは被害者と秘密チャットで接触し、窃取データを盾に金銭を要求したと報告されています。
- CVE-2024-50623: 認証なしでファイル操作やリモートコード実行が可能。バックドア「Malichus」の侵入が確認されています。
- CVE-2024-55956: 別のエンドポイントの脆弱性により、任意ファイルの書き込みが可能です。
上記の脆弱性は、バージョン5.8.0.24で修正済みですが、2024年12月3日以降に実際の悪用が確認され、CISAもClopとの関連性を正式に認めています。
Cleo製品は全世界で4,000社以上が利用しており、インターネット上に公開されたインスタンスも多数存在するため、今後さらに被害が拡大するリスクがあります。
Clopのような高度な攻撃グループは、複数の侵入手法を組み合わせており、一見しただけでは感染経路を特定できないケースも少なくありません。感染が疑われる場合、単にパッチを適用するだけでは不十分です。残留マルウェアや情報漏洩の範囲を見落とす危険もあります。再発防止と正確な被害把握のためには、専門家によるフォレンジック調査が強く推奨されます。
Clopランサムウェアに感染した場合の具体的な症状
万が一、組織内のシステムがClopに感染した場合、以下のような特徴的な症状が現れます。これらはインシデントを早期に認知するための重要なサインです。
出典:Medium
拡張子「.Cl0p」とファイルの暗号化
Clopランサムウェアに感染すると、サーバーやPC内のファイルが暗号化され、ファイル名の末尾に「.Cl0p(シー・エル・ゼロ・ピー)」という拡張子が追加されます。拡張子が付いたファイルは、白紙のアイコンになり、開こうとしてもエラーが表示されるなど、アクセス不能な状態になります。
「実際の拡張子」画像出典:FORTINET
ランサムノートによる脅迫
暗号化された各フォルダには、テキストファイル形式のランサムノート「ClopReadMe.txt」が残されます。この脅迫状には、データが窃取・暗号化された事実と、攻撃者への連絡方法、そして専用のリークサイト「CL0P^_-LEAKS」へのアクセス手順などが記載されています。
「実際のランサムノート」画像出典:FORTINET
ボリュームシャドウコピーの削除による復旧妨害
Clopは、Windowsの標準バックアップ機能である「ボリュームシャドウコピー」を削除することで、OSの復元機能を無効化し、被害者のデータ復旧を困難にします。これにより、被害者はバックアップに頼った対応ができず、身代金支払いを強く迫られる状況に追い込まれます。
さらにClopの最大の脅威は、情報漏洩にあります。「どの情報が、どれだけ外部に流出したのか」を正確に把握できなければ、顧客や監督官庁への報告責任を果たすことができません。被害範囲を客観的に特定し、企業として適切な対応を行うには、フォレンジック調査が不可欠です。
Clopランサムウェア感染時の初期対応
Clopランサムウェアの感染が疑われる兆候を発見した場合、初動対応の正確さが被害拡大を防ぐ鍵となります。パニックに陥らず、冷静に対応し、以下の手順を実行してください。
なお、自己判断による誤った操作は、重要な証拠データを消してしまう可能性があり、復旧や調査を困難にする恐れがあります。
ネットワークからの隔離
インシデント対応において、最も優先すべき行動は「被害拡大の防止」です。感染が疑われる端末は、すぐにネットワークから物理的に切り離してください。
- 有線LANの場合: LANケーブルを抜きます。
- Wi-Fiの場合: Wi-Fi機能をオフにします。
ネットワーク切断により、Clopが社内ネットワークで横展開し、他のサーバーや端末に広がるのを防げます。
証拠となるデータの保全
今後の調査や警察への届け出に備え、デジタル証拠を可能な限り保全することが重要です。
- 電源は切らない::PCのメモリ上には攻撃の痕跡が残っています。シャットダウンすると重要な証拠が失われるため、電源は入れたままにしてください。
- 操作しない:ファイルの削除や設定変更など、一切の操作を控えてください。意図せず証拠を破壊してしまう可能性があります。
身代金の支払いは厳禁
攻撃者はデータ復旧と引き換えに身代金の支払いを要求しますが、警察庁やセキュリティ機関は一貫して支払いを行わないよう強く推奨しています。支払いに応じたとしても、データが確実に復元される保証はなく、結果的に犯罪組織へ資金を提供することになります。さらに、「支払う企業」として認識され、将来的に再び標的にされるリスクも高まります。
専門家・関係機関への報告
自社だけで解決しようとせず、速やかに外部の専門家や関係機関に連絡してください。
- 契約しているセキュリティベンダーやIT保守会社
- フォレンジック調査の専門企業
- 管轄の都道府県警察のサイバー犯罪相談窓口
- 独立行政法人情報処理推進機構(IPA)
ランサムウェア被害は、法的な対応が求められるサイバー犯罪です。自己判断での調査は、警察や法廷に提出すべき重要なデジタル証拠を破壊してしまうリスクがあります。自社を法的に守るためにも、まずは証拠保全の専門家であるフォレンジック調査会社にご相談ください。
Clopの被害を解明するフォレンジック調査の必要性
ランサムウェア被害からの復旧は、バックアップによるデータ復元だけでは不十分です。「なぜ・どこから・どのように侵入されたのか」という根本原因を明らかにしなければ、再発のリスクを抱えたままとなります。その原因究明と対策立案に不可欠なのが、フォレンジック調査です。
フォレンジック調査でわかること
フォレンジック調査とは、システムに残されたログや操作履歴、通信痕跡を収集・解析し、攻撃の事実関係を客観的に解明する専門調査です。
Clopのような高度な攻撃においては、以下の情報が把握できます。
- 侵入経路の特定:MOVEitやCleoの脆弱性がどのように悪用されたのか、あるいは別の手口(RDP・フィッシングなど)による侵入かを特定します。
- 被害範囲の把握:攻撃者がアクセスしたサーバー、PC、アカウントを洗い出し、影響が及んだ範囲を明確にします。
- 情報漏洩の全容解明:外部に流出した個人情報・技術資料・財務情報などの種類と量を確認します。
- マルウェアの残存確認:Clop以外のマルウェアや、将来の再攻撃を狙ったバックドアが残されていないかを検証します。
- 法的証拠の保全:警察への通報や訴訟対応に備え、操作ログや通信履歴などの証拠データを正確な状態で保存します。
上記情報は、顧客や監督官庁への正確な報告や、再発防止策の策定に不可欠です。
自力調査が招く「証拠汚染」のリスク
ランサムウェアの被害現場は、法的な観点から見れば「サイバー空間の事件現場」そのものです。自社のIT部門が善意で行う調査行為(再起動、ファイル操作、ウイルススキャンなど)が、操作ログやタイムスタンプを上書きし、証拠能力を失わせてしまうケースが後を絶ちません。
証拠が損なわれれば、警察の捜査協力や法的手続きが困難になり、結果的に企業側の不利な状況を招くこともあります。Clopのような組織的・高度な攻撃に対しては、専門家による迅速かつ客観的なフォレンジック調査が不可欠です。根本原因の解明と法的リスクの回避のためにも、自己判断での調査は絶対に避け、インシデント発生後すぐにフォレンジック調査の専門家へ相談してください。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。
こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、法人様は最短30分でWeb面談可能、といったスピード対応も行っています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社なため、官公庁や大手企業からの依頼実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
Clopから組織を守るための予防・防御策
これまで被害後の対応について解説してきましたが、最も重要なのは「被害を未然に防ぐ」ことです。以下の対策を多層的に講じることで、Clopのような脅威に対する防御力を飛躍的に高めることができます。
脆弱性管理とソフトウェアの迅速な更新
Clopはファイル転送ツールなどのゼロデイ脆弱性を悪用することで知られています。自社が利用しているソフトウェアやアプライアンスの脆弱性情報を常に収集し、セキュリティパッチが公開された際は、迅速かつ確実に適用する体制を構築することが極めて重要です。
EDRによるエンドポイント監視の強化
侵入後の内部活動を検知するために、PCやサーバー(エンドポイント)の挙動を常時監視する「EDR (Endpoint Detection and Response)」が有効です。Cobalt Strikeのような正規ツールを悪用した不審な振る舞いを検知し、攻撃の兆候を早期に捉えて自動で隔離・対応します。
バックアップ戦略の再構築(3-2-1ルール)
Clopはボリュームシャドウコピーを削除するため、OS標準のバックアップだけでは不十分です。重要なデータを確実に守るため、「3-2-1ルール」を実践してください。
- 3つのデータコピーを保持する
- 2種類の異なるメディアに保存する
- 1つはオフラインまたはオフサイト(物理的に離れた場所)で保管する
特に、ネットワークから物理的に隔離されたオフラインバックアップや、データの書き換えが不可能なイミュータブルバックアップが極めて有効です。
フィッシング対策と従業員教育
脆弱性攻撃だけでなく、フィッシングメールも依然として主要な侵入経路の一つです。全従業員に対して定期的なセキュリティ教育や標的型攻撃メール訓練を実施し、組織全体のセキュリティ意識を向上させることが不可欠です。
まとめ
Cl0pランサムウェアの関係者が過去に逮捕された例はあるものの、現在もその被害は継続しています。一度感染すると、システムの認証情報や個人情報が漏洩するリスクが非常に高く、たとえ身代金を支払ったとしても、情報が不特定多数に公開される恐れがあります。
感染が疑われる場合は、放置や自己対応を避け、専門家による感染経路の特定と情報漏洩の調査を速やかに行うことが重要です。