Cl0p(Clop)ランサムウェアは2021年に攻撃グループのメンバーが逮捕されましたが、グループの壊滅には至っていません。最新のデータによると2025年も攻撃が続き、2025年だけでCl0pランサムウェアによる400人以上の被害者が確認されています。
Cl0p(Clop)ランサムウェア攻撃グループに身代金を支払っても、リークサイトに情報を公開されることがあります。加えて、身代金を犯罪グループに支払ったとして、企業の責任問題に発展する可能性もあるため、身代金は絶対に支払わないようにしましょう。
本記事ではCl0pランサムウェアの特徴と感染した場合の対処法について詳しく解説しています。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
Cl0pランサムウェアの特徴
Cl0pランサムウェアは、感染するとファイルを暗号化して拡張子を「.Cl0p」、「.Clop」、「.Cllp」、「.C_L_O_P」などに変更します。
その後「ClopReadMe.txt」、「README_README.txt」、「!!!_READ_!!!.RTF」などの題名の文書が届き、身代金を支払わなければ、盗んだ情報をリークサイトの「CL0P^_-LEAKS」上で公開するといった脅迫文が表示されます。
このような手口は「二重恐喝」と呼ばれ、実際に身代金を支払っても暗号の復号や情報の公開を取りやめる確証はありません。
出典:Fortinet
Cl0pランサムウェア攻撃グループについて
Cl0pランサムウェア攻撃グループはロシアを拠点とするサイバー攻撃グループとされます。RaaS(サービスとしてのランサムウェア)を展開し、「TA505」と呼ばれるサイバー攻撃グループとの関係が深いとされています。
Cl0pランサムウェアの歴史
Cl0pランサムウェアは2019年に発見され、CryptoMixの亜種として知られるランサムウェアです。TA505というサイバー攻撃グループに利用されているとされ、2019年にCl0pランサムウェアはTA505のスピアフィッシング攻撃に使われたことが判明しています。
しかし2020年以降以降、「CL0P^_-LEAKS」と連携した「二重恐喝」やファイル転送プラットフォームなどの脆弱性を利用したゼロデイ攻撃を行うことが特徴的です。
2021年にはCl0pランサムウェアの攻撃メンバー6人が警察に逮捕されましたが、以降もCl0pランサムウェアの感染被害は続きます。
特に2023年は「暗号化しないランサムウェア」による個人情報の窃取と、脅迫を主とする大規模な攻撃が相次ぎました。
Fortra社のGoAnywhere MFTプラットフォームの脆弱性を悪用した攻撃や、MOVEit Transferと呼ばれるファイル転送ソフトの脆弱性悪用による、2,772の組織から情報が流出したことが報告されています。
Cl0pランサムウェアの感染経路
Cl0pランサムウェアの感染経路は様々ですが、ソフトの脆弱性が活用されていることが多数報告されています。
2023年にアメリカで大規模な感染被害をもたらしたCl0pランサムウェアは、ファイル転送ソフトであるMOVEit Transferの脆弱性「CVE-2023-34362」を狙って攻撃しました。これは「認証されていない人物でもデータベースにアクセスできる」といったものです。その結果約6,200万人以上の個人情報が漏洩したとされます。
出典:WIRED
また、2024年12月には感染経路に、Cleo製ファイル転送ソフト脆弱性「CVE-2024-50623」と「CVE-2024-55956」が使われます。
以上の脆弱性はそれぞれ「遠隔で無制限にファイルのダウンロードとアップロードができる」「未認証のユーザーがホストシステム上で任意のbash、PowerShellコマンドを実行できる」というものです。
Cleo Harmony®、Cleo VLTrader®、Cleo LexiCom®を使用している場合は、すぐにセキュリティパッチ バージョン5.8.0.24以降のセキュリティパッチを適用しましょう。
ただしCl0pランサムウェアの感染は、単にファイル転送ソフトなどの脆弱性だけが原因とは限りません。過去のサイバー攻撃や詐欺などによる情報漏洩などが関係いている場合も考えられます。
法人端末がCl0pランサムウェアに感染した場合は、情報漏えいや業務停止の危険性から、早めに専門家に相談することをおすすめします。これは被害状況によっては、子会社や関連企業なども感染の影響を受ける可能性があるためです。
Cl0pランサムウェアに感染した場合の対処法
Cl0pランサムウェアの特徴と感染時の対処法について徹底解説ランサムウェアに感染した場合、以下の手順で対処しましょう。
- ネットワークから切断する
- ログなどの証拠を収集する
- 警察に相談する
- 取得済みバックアップからデータ復旧を行う
- ランサムウェア感染調査会社に相談する
ネットワークから切断する
感染が確認された端末は、直ちにネットワークから切断する必要があります。LANケーブルを抜くか、Wi-Fiをオフにして、物理的に接続を遮断します。これにより、ランサムウェアの拡散を防ぎ、他の端末やシステムへの感染を阻止できます。
また、攻撃者によるデータの窃取や追加のマルウェアのダウンロードを防ぐことができます。ネットワークから切断することで、被害の拡大を最小限に抑え、対応のための時間を確保することができます
ログなどの証拠を収集する
感染端末のログやシステム情報を収集することは、攻撃の経路や範囲を特定する上で重要です。システムログ、ネットワークログ、セキュリティソフトのログなどを保存します。
また、暗号化されたファイルの拡張子や、表示されたランサムノートの内容も記録します。これらの情報は、ランサムウェアの種類を特定し、適切な対応策を講じる上で重要な手がかりとなります。さらに、法的対応や保険請求の際の証拠としても活用できます。
警察に相談する
Cl0pランサムウェアに感染したら、最寄りの警察署やサイバー事案に関する相談窓口に相談すると、適切なアドバイスがもらえます。
また、取得したログなどを証拠として提出することで、警察の捜査につながり、犯人グループの逮捕につながることがあります。
取得済みバックアップからデータ復旧を行う
定期的に取得していたバックアップがランサムウェアに感染していなければ、バックアップからシステムのデータを復旧します。復旧作業は、ランサムウェア除去ソフトなどで完全にランサムウェアを除去してから実施します。
ランサムウェア感染調査会社に相談する
Cl0pランサムウェアに感染してしまった場合、情報漏洩が発生した可能性が極めて高く、法人の場合、個人情報などが漏洩した場合、セキュリティ対策のための感染経路調査だけでなく、感染による情報漏洩の範囲、被害の範囲を調査する必要があります。これは2022年4月に施行された「改正個人情報保護法」で個人情報の漏えいが発覚した場合、個人情報保護委員会へ報告義務が発生したためです。
法律での「事業者の守るべき責務」は次の通りになっています。
- 漏えい等が発生した場合、個人情報保護委員会への報告、および本人への通知が義務化される(従来は努力義務)
- ペナルティ(罰金)の強化
- 不正アクセスによる漏えいは件数を問わず、たとえ1件であっても本人への通知が義務化
法人が措置命令違反で課せられる罰金刑は上限50万円から1億円に引き上げられました。被害企業にセキュリティ体制の不備や過失が認められる場合、取引先から損害賠償請求を受ける可能性もあります。
全国50社以上ある、サイバー攻撃のインシデント調査会社から、「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の判断基準で大規模、小規模サイバー攻撃調査に対応しているおすすめの調査業者を厳選しました。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。
- 「ランサムウェア感染調査や対処を個人で行うのが不安」
- 「ランサムウェアが感染しているかどうか早く知りたい」
- 「確実な調査や対処を行いたい」
このような場合は、「ランサムウェアに感染しているのか」「いつ、どのような経路でランサムウェアに感染したのか」「漏洩した情報の範囲」について専門業者で調査することをおすすめします。
こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、法人様は最短30分でWeb面談可能、といったスピード対応も行っています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社なため、官公庁や大手企業からの依頼実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
Cl0pランサムウェア感染を予防する方法
Cl0pランサムウェアに感染しないためには、社内セキュリティを強化することが重要です。主なセキュリティ対策の方法は以下の通りです。
- ランサムウェア対策ソフトを導入する
- データのバックアップを定期的に取得しておく
- ユーザー認証情報を強力なものに再設定する
- ネットワーク セグメンテーションを実施する
- 最新のOSやバージョンにアップデートする
ランサムウェア対策ソフトを導入する
Cl0pランサムウェアの対策にはランサムウェア対策ソフトの導入が効果的です。高度な振る舞い解析やWebフィルタリング、ウイルスの検知・駆除などの機能によって、未知のランサムウェアにも対応できる能力を持っています。
データのバックアップを定期的に取得しておく
ランサムウェア感染に備えて、データのバックアップを定期的に取得しておきましょう。ランサムウェア感染に伴うデータの喪失を最小限に抑えられます。数カ月から1年分のバックアップを、クラウド上や外付けHDDなどに保存しておき、感染リスクを低減させましょう。
ユーザー認証情報を強力なものに再設定する
ユーザー認証情報を強化するには、VPNやリモートデスクトップに二要素認証(2FA)やトークンベースの認証を導入し、複雑で長いパスワードに設定しておきましょう。これにより、フィッシング攻撃や資格情報の侵害によるアクセスを防ぎます。
定期的なパスワード変更やアカウントの監視を実施し、不正アクセスの兆候を早期に発見することが重要です。最小権限の原則に基づくゼロトラストセキュリティを実装することで、マルウェアが検知されずに必要なアクセス権を取得する可能性を低減できます。
ネットワーク セグメンテーションを実施する
ネットワークセグメンテーションとは重要なデータや機密情報を含むシステムを分離し、アクセス制御を厳格化することです。これにより端末がランサムウェアに感染しても、感染範囲を制限できます。
また、端末の異常な通信パターンや不審なアクセスを検出しやすくなり、早期の対応が可能になります。さらに、セグメント間の通信を監視し、必要最小限のアクセスのみを許可することで、ランサムウェアの拡散リスクを大幅に低減できます。
最新のOSやバージョンにアップデートする
Cl0pランサムウェアの感染を予防するためには、最新のOSやバージョンにアップデートすることが最も重要です。過去にCl0pランサムウェアの感染が報告されたMOVEit TransferやGoAnywhere MFT、現在被害が報告されているCleo製のファイル転送ソフトなどを使用している場合、バージョンが古ければすぐにパッチを適用して脆弱性を修正しましょう。
まとめ
Cl0pランサムウェアの攻撃メンバーは過去に逮捕されましたが、現在もCl0pランサムウェアの被害は発生しています。一度感染すると、システムの認証情報や個人情報が漏洩する恐れがあります。身代金の支払いの有無に関係なく不特定多数に情報が公開される可能性があるため、すぐにランサムウェア感染の専門家に相談し、感染経路や情報漏えい調査を行い、被害の全容の把握に努めましょう。