企業や個人を問わず、ランサムウェアの脅威は年々巧妙化しています。その中でも「Cerberランサムウェア」は感染すると、重要なデータが暗号化されアクセス不能となり、復号と引き換えに身代金を要求されます。誤った対応は証拠が消失する恐れがあり、被害範囲の特定や再発防止が困難になります。
そこで本記事では、Cerberランサムウェアの特徴や感染経路、被害を受けた際の正しい対処法、そして予防策について具体的に解説します。
>>ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
Cerberランサムウェアとは?
Cerberランサムウェアに感染すると、.jpg、.doc、.raw、.avi などのさまざまなファイル形式が暗号化され、「.cerber」といった固有の拡張子が付与されます。
画像出典:PCrisk
ファイルを暗号化させたCerberランサムウェアは、デスクトップの壁紙を変更し、さらにディスプレイ上に「#DECRYPT MY FILES#.txt」「DECRYPT MY FILES#.html」「DECRYPT MY FILES#.vbs」 といった3種類の身代金支払いに関する脅迫文を残します。
画像出典:PCrisk
加えてCerberランサムウェアには亜種も存在し、「.cerber2」「.cerber3」「.beef」などの特定の拡張子のほか、ランダムな文字列の拡張子が付与されるケースも確認されています。
このようなCerberランサムウェアの亜種も同様に、拡張子が変更されたファイルに加えて、「READ_THI$_FILE.hta」「_HELP_HELP_HELP_random.hta」「!!!_README!!!random.hta」といった脅迫文ファイルが生成されます。
これらのファイルは、指定されたランサム支払い用のWebサイトを開くよう設計されており、被害者に仮想通貨による支払いを促す内容が記載されています。
出典:PCrisk
Cerberランサムウェアの消滅と復活
Cerberランサムウェアは2019年末ごろに消滅したとされましたが、 2021年に活動を再開したとみられています。(ランサムウェアを特定するサービスID Ransomwareでは「CerberImposter」と定義)
拡張子や脅迫文も変わり、感染時の拡張子は「.locked」、身代金支払いの脅迫文は「$$RECOVERY_README$$.html」といった表示となります。
Cerberランサムウェアの感染経路
ランサムウェアの代表的な感染経路には以下のようなものがあります。
>>ランサムウェアの感染経路とは? 最新の傾向と防止対策を解説
- VPN機器の脆弱性を利用した感染
- 脆弱なRDP(リモートデスクトップ)設定を悪用した不正ログイン
- 不審メールやその他添付ファイルを利用した感染
出典:警察庁
特に2023年以降のCerberランサムウェアは、CVE-2021-26084(認証されていない遠隔の第三者が任意のコードを実行できる)、CVE-2021-22205(GitLab CE/EEの11.9以降のバージョンでリモートコマンドが実行できる)といった脆弱性を標的としており、一刻も早い脆弱性の修正が望まれます。
出典:JPCERTCC
出典:NIST
もしCerberランサムウェアへの感染が疑われる、または確認された場合は、即座にネットワークから該当端末を隔離し、ランサムウェア感染調査ができる専門の調査会社に調査を相談しましょう。
ランサムウェア感染時の対処法
感染した場合は、まず拡大を防ぎつつ証拠を確保することが最優先です。以下のステップを意識してください。
- ネットワークから端末を隔離する
- 証拠保全
- 影響範囲の把握
- サイバーセキュリティの専門業者に相談する
ネットワークから端末を隔離する
感染が疑われる端末はすぐにネットワークから切断し、共有フォルダやバックアップへのアクセスを遮断します。電源断は避け、現状維持を優先します。
ネットワークから端末を隔離する手順は以下の通りです。
- ネットワークケーブルやWi-Fiを切断する
- バックアップ媒体や共有ドライブを一時的に隔離する
- 電源断はせず、現状を保持する
証拠保全
復旧を急ぐ前に、システムイメージやログを取得し、ハッシュ値で完全性を担保します。証拠は後の調査や訴訟に活用できる重要なデータです。
証拠保全の手順は以下の通りです。
- ディスクイメージを取得する
- サーバや端末のイベントログを退避する
- 取得データにハッシュ値を付与し改ざん防止を徹底する
影響範囲の把握
暗号化の対象や被害時刻を整理し、外部への情報流出の有無も確認します。被害範囲が明確になれば、復旧や通知対応の判断がしやすくなります。
ランサムウェア感染の影響範囲の把握は以下の通りです。
- 暗号化ファイルの種類や端末数を特定する
- 感染の開始時刻を時系列で整理する
- 外部送信や情報漏えいの有無を確認する
サイバーセキュリティの専門業者に相談する
自力での復旧には限界があり、誤った操作で被害が拡大する恐れがあります。早期にフォレンジック調査を行えば、感染経路や被害範囲を正確に特定し、再発防止策につなげることができます。
被害調査とフォレンジック調査の重要性
ランサムウェア被害の対応では、単なる復旧(ファイル復元)だけでなく、なぜ侵入されたのか、どこまで被害が広がったのかを調査・説明する責任があります。これは社内説明、顧客・監督官庁への報告、訴訟対応のすべてに影響します。
そのため、デジタルフォレンジック調査によって「感染経路」「被害範囲」「漏洩の有無」「操作証拠」「内部不正の可能性」などを客観的に把握することが極めて重要です。また、調査会社は必要に応じて、法執行機関との連携・報告書の作成・再発防止策の策定支援などにも対応しており、内部リソースではカバーしきれない範囲を担ってくれます。
>>【解説】フォレンジック調査とは?調査の流れや専門会社を紹介
このような高度なサイバー攻撃には、社内リソースだけでは限界があります。 被害を最小限に抑えるためにも、信頼できる外部フォレンジック調査会社との連携を進めましょう。
>>フォレンジック調査会社の選び方|費用・期間・おすすめ企業を解説
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
情報漏洩やサイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。
こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、情報漏洩調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,451件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、個人端末のハッキング調査、不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
Cerberランサムウェアの予防法
Cerberランサムウェアを防ぐためには、以下の対策が有効です。
- OS・ソフトウェアを常に最新状態に更新する
- リモート接続(RDP)は原則無効化し、利用する場合はVPNや多要素認証を導入する
- 定期的にバックアップを取得し、オフライン環境に保管する
- 従業員教育を通じて、不審なメールやリンクを開かない意識を徹底する
予防策を講じていても、完全に防ぐことは難しいのが現実です。異常が疑われた段階で早めに専門調査を依頼することが、被害拡大を防ぐ唯一の方法といえます。
まとめ
Cerberランサムウェアは、暗号化後に拡張子を付与し、亜種の中には壁紙を強制的に変えてしまうものもあります。特に2023年以降は特定の脆弱性を狙って感染するので、感染時の初動対応を誤ると被害が拡大しかねません。
重要なのは、感染を疑ったらすぐに隔離・証拠保全・影響範囲の確認を行い、速やかに専門業者へ相談することです。誤った対応や放置は被害が拡大する恐れがあるため、早期の行動が最も効果的な防御策となります。