INCランサムウェアは、二重恐喝という極めて悪質な手法で企業や組織を狙う、現代の主要なサイバー脅威です。本記事では、INCランサムウェアの巧妙な攻撃手口とデータ窃取・公開を伴う恐喝のメカニズムを徹底解説します。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
INCランサムウェアの主な特徴
ここでは、INCランサムウェアの主な特徴、さらには感染時にシステム内で見られる挙動について、詳しく解説します。
出典:SentinelOne
二重恐喝型ランサムウェア
INCランサムウェアの最大の特徴は、二重恐喝という手法を用いる点です。これは、単にターゲットのファイルを暗号化するだけでなく、システムから機密情報を窃取することを含みます。
攻撃者は、窃取したデータをダークウェブ上のリークサイトに公開すると脅迫し、その公開を阻止するために被害者に身代金を要求します。身代金の支払いを拒否した場合、データは実際に公開されるリスクがあります。
標的型攻撃を行う
このランサムウェアグループは、特定の企業や組織を狙い撃ちにする標的型攻撃を行います。大規模企業だけでなく、医療、教育、製造業など、多岐にわたる業界の重要なシステムが標的となることが確認されています。
彼らは、無作為に攻撃するのではなく、より大きな金銭的利益を見込める組織を慎重に選定します。
INCランサムウェア感染時の具体的挙動
INCランサムウェアにシステムが感染した場合、以下のような具体的な挙動が見られます。
ファイル拡張子が「.INC」に変更される
ランサムウェアがファイルを暗号化すると、そのファイル名の末尾に「.INC」という特徴的な拡張子が追加されます。これにより、どのファイルが暗号化されたかを視覚的に識別できます。
「INC-README.txt」という身代金要求メッセージファイルが生成される
暗号化またはデータ窃取が完了した後、被害者のシステム内に「INC-README.txt」というテキストファイルが生成されます。このファイルは、攻撃者からの身代金要求の詳細、連絡方法、そしてデータ公開の脅迫などが記載されたメッセージです。
もし、ファイル拡張子が「.INCに変更されている」、あるいは「INC-README.txt」といった身代金要求メッセージが生成されていることを確認されたら、それはすでにランサムウェアに感染している可能性が極めて高い状態です。
このような具体的な挙動を確認された際は、決して時間を無駄にせず、すぐに専門のフォレンジック企業へ相談してください。
INCランサムウェアの感染手口
INCランサムウェアが企業ネットワークに侵入する主な手口は複数存在します。
出典:SentinelOne
脆弱性の悪用
インターネットに公開されているサーバーやアプリケーションの未パッチの脆弱性を積極的に悪用します。例えば、FortinetのSQLインジェクション脆弱性(CVE-2023-48788)やCitrix NetScalerの脆弱性(CVE-2023-3519)などが確認されています。
スピアフィッシング
標的となる組織の従業員に対し、巧妙に偽装した標的型メール詐欺(スピアフィッシング)を仕掛け、悪意のあるリンクのクリックや添付ファイルの開封を誘い込み、マルウェアを侵入させます。
INCランサムウェアの攻撃はどのように行われたか?
実際の事例(2024年4月)におけるINCランサムウェアの攻撃経路は、多くの企業が直面し得る典型的な侵入手口を浮き彫りにしています。
出典:TREND MICRO
①初期侵入
脆弱性の悪用攻撃の出発点は、インターネットに公開されていたFortinetのエンドポイント管理サーバーにあった未パッチのSQLインジェクション脆弱性(CVE-2023-48788)でした。
②内部での足場固めと横展開
正規ツールの悪用一度内部に侵入すると、攻撃者はAnyDeskのような正規のリモート監視・管理(RMM)ツールをインストールし、自身の活動を隠蔽しようとします。
さらに、彼らはパス・ザ・ハッシュ技術を駆使して水平移動を行い、ネットワーク内の他のシステムへのアクセスを拡大していきます。特に、ドメイン管理者アカウントが侵害されたことは、ネットワーク全体のセキュリティが危険に晒されたことを示します。
③偵察とデータ窃取
netscan.exeのようなツールを用いてネットワーク偵察を行い、価値あるデータやシステムを探し出します。そして、特筆すべきは、今回の事例ではファイルの暗号化ではなく、Resticのようなバックアップツールを用いて大量の機密データが静かに窃取・流出されたことです。
これは、ランサムウェアグループが常に手法を変化させ、企業の防御網を迂回しようとしている現実を示しています。データが窃取されただけでも、企業は多大な風評被害、法的責任、そして事業継続への影響を被る可能性があります。
万が一感染してしまったら専門家へ相談する
どれだけ強固な対策を講じていても、サイバー攻撃のリスクをゼロにすることは困難です。もしシステムがINCランサムウェア、あるいはその他のマルウェアに感染してしまった場合、最も重要なのは迅速かつ適切に対応することです。
感染が疑われる、あるいは被害が確認された際には、すぐに社内のインシデント対応チームまたは専門のフォレンジック企業に相談することを強く推奨します。フォレンジック調査の専門家は、攻撃の全貌(侵入経路、影響範囲、窃取されたデータの内容など)を正確に特定し、再発防止のための具体的なアドバイスを提供してくれます。これにより、被害の最小化と早期復旧、そして将来的な防御力向上につなげることができます。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
ランサムウェア感染時に、情報漏えいや不正アクセスがないか調査してくれる専門会社をご紹介します。
こちらの業者は、対応件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、ハッキング調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓