Mirrorランサムウェア(.Mr)の特徴と対処法を解説

コラム MIRROR

近年、企業のネットワークに侵入してファイルを暗号化し、復号と引き換えに金銭を要求する「ランサムウェア」被害が深刻化しています。なかでも「.Mr」という拡張子が付けられるMIRRORランサムウェアは、既知のDharma系列に属し、特定の侵入経路や行動パターンが見られます。

初動対応を誤ると、証拠が消失する恐れがあり、復旧や原因特定が困難になります。

そこで本記事では、MIRRORランサムウェアの特徴・感染経路・確認方法・対処法・予防策までを、専門家の視点でわかりやすく解説します。

本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。
ランサムウェア感染調査の相談先はこちら >
目次

MIRRORランサムウェアの特徴

まずはMIRRORランサムウェアがどのような挙動をするのか、代表的な特徴を整理します。

  • 「.Mr」拡張子に書き変わる
  • Dharmaランサムウェアの派生にあたる
  • ファイアウォールを無効化する
  • リモートデスクトッププロトコル(RDP)の脆弱性を利用する

画像出典:PCrisk

「.Mr」拡張子に書き変わる

暗号化されたファイルは、例えば「example.docx」といったファイルは感染後「example.docx.被害者のID.[メールアドレス].Mr」となります。このように被害者のID、tpyrcedrorrim@tuta.ioというメールアドレス「.Mr」という拡張子がファイルの末尾に追記されます。

加えて、デスクトップには「info-MIRROR.txt」という身代金要求のメモが設置され、復号と引き換えに犯人グループとの連絡を行うよう勧める内容が記載されています。

犯人グループと連絡を取っても暗号が復号される保証はないため、決して連絡はとらないでください。

Dharmaランサムウェアの派生にあたる

技術的な解析では、MIRRORはCrySIS/Dharma系列のランサムウェアの亜種と見られています。感染の挙動や暗号化アルゴリズムにも共通点があります。

ファイアウォールを無効化する

MIRRORランサムウェアはファイルの暗号化に加え、ファイアウォールを無効化して攻撃対象の耐性を低下させる機能があります。加えてボリュームシャドウコピーを意図的に削除して復旧手段を断つ戦術を採用しています。

リモートデスクトッププロトコル(RDP)の脆弱性を利用する

MIRRORランサムウェアはリモートデスクトップ(RDP)サービスの脆弱性を突いて感染します。

典型的には、総当たりでパスワードを試す「ブルートフォース攻撃」や、辞書に載る語句を順に試す「辞書攻撃」によって脆弱な認証情報を奪取し、認証管理が不十分なシステムへ不正アクセスを行います。

出典:PCrisk

以上がMIRRORランサムウェアの特徴です。MIRRORランサムウェアに感染した疑いがある、または感染が確認された場合は、即座にネットワークから端末を隔離し、ランサムウェア感染調査ができる専門の調査会社に調査を相談しましょう。

ランサムウェア感染調査の相談先はこちら >

MIRRORランサムウェアの感染経路

続いて、MIRRORランサムウェアがどのようにしてシステム内に侵入するのか、代表的な感染経路を紹介します。

  • RDP(リモートデスクトップ)の脆弱性
  • VPNの脆弱性
  • フィッシングメールや添付ファイル
  • 悪意のある広告

RDP(リモートデスクトップ)の脆弱性

企業内のサーバーや業務端末にリモート接続できる設定がされている場合、外部からの不正アクセスの入口になることがあります。特にパスワードが簡単なものになっている場合、標的になります。

VPNの脆弱性

VPN機器やソフトウェアの脆弱性を突かれることで、社内ネットワークに侵入されるケースもあります。古いファームウェアや未更新の脆弱なシステムが狙われがちです。

フィッシングメールや添付ファイル

不審なメールに添付されたファイルを開いたり、リンクをクリックすることで感染が始まることがあります。特にZIPファイルやWordマクロなどが多用されます。

悪意のある広告

Webサイトに表示される広告を悪用して、マルウェアを拡散する「マルバタイジング」と呼ばれる手口が使われることもあります。広告ネットワークの審査をすり抜けて悪意あるコードが配信されることもあります。

ランサムウェア感染調査の相談先はこちら >

ランサムウェア感染時の対処法

ランサムウェアに感染した場合は、まず他端末への感染の拡大を防ぎ、感染の証拠を確保・保全することが最優先です。以下のステップを意識してください。

>>ランサムウェア感染時の対処方法とは?一連の流れを解説

  • ネットワークから端末を隔離する
  • 証拠保全
  • 影響範囲の把握
  • サイバーセキュリティの専門業者に相談する

ネットワークから端末を隔離する

感染が疑われる端末はすぐにネットワークから切断し、共有フォルダやバックアップへのアクセスを遮断します。電源断は避け、現状維持を優先します。

ネットワークから端末を隔離する手順は以下の通りです。

  1. ネットワークケーブルやWi-Fiを切断する
  2. バックアップ媒体や共有ドライブを一時的に隔離する
  3. 電源断はせず、現状を保持する

証拠保全

復旧を急ぐ前に、システムイメージやログを取得し、ハッシュ値で完全性を担保します。証拠は後の調査や訴訟に活用できる重要なデータです。

証拠保全の手順は以下の通りです。

  1. ディスクイメージを取得する
  2. サーバや端末のイベントログを退避する
  3. 取得データにハッシュ値を付与し改ざん防止を徹底する

影響範囲の把握

暗号化の対象や被害時刻を整理し、外部への情報流出の有無も確認します。被害範囲が明確になれば、復旧や通知対応の判断がしやすくなります。

ランサムウェア感染の影響範囲の把握は以下の通りです。

  1. 暗号化ファイルの種類や端末数を特定する
  2. 感染の開始時刻を時系列で整理する
  3. 外部送信や情報漏えいの有無を確認する

サイバーセキュリティの専門業者に相談する

自力での復旧には限界があり、誤った操作で被害が拡大する恐れがあります。早期にフォレンジック調査を行えば、感染経路や被害範囲を正確に特定し、再発防止策につなげることができます。

被害調査とフォレンジック調査の重要性

ランサムウェア被害の対応では、単なる復旧(ファイル復元)だけでなく、なぜ侵入されたのか、どこまで被害が広がったのかを調査・説明する責任があります。これは社内説明、顧客・監督官庁への報告、訴訟対応のすべてに影響します。

そのため、デジタルフォレンジック調査によって「感染経路」「被害範囲」「漏洩の有無」「操作証拠」「内部不正の可能性」などを客観的に把握することが極めて重要です。また、調査会社は必要に応じて、法執行機関との連携・報告書の作成・再発防止策の策定支援などにも対応しており、内部リソースではカバーしきれない範囲を担ってくれます。

>>【解説】フォレンジック調査とは?調査の流れや専門会社を紹介

このような高度なサイバー攻撃には、社内リソースだけでは限界があります。 被害を最小限に抑えるためにも、信頼できる外部フォレンジック調査会社との連携を進めましょう。

>>フォレンジック調査会社の選び方|費用・期間・おすすめ企業を解説

ランサムウェア感染調査の相談先はこちら >

編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)

情報漏洩サイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。

こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。

まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。

デジタルデータフォレンジック

費用★見積り無料 まずはご相談ください
調査対象PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービスマルウェア・ランサムウェア感染調査、情報漏洩調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など
特長✓累積ご相談件数39,451件以上
✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済)
警視庁からの捜査協力依頼・感謝状受領の実績多数

デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。

規模が大きな調査会社でありながら、個人端末のハッキング調査不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。

ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。

相談・見積りを無料で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。

デジタルデータフォレンジックに相談する >

MIRRORランサムウェアの感染対策

MIRRORランサムウェアに備えるためには、日常のセキュリティ運用を見直し、技術的対策と組織的対策をバランスよく実施することが重要です。ここでは、実践的かつ再発防止にもつながる感染対策の基本を紹介します。

  • リモートアクセスのセキュリティ強化
  • 多要素認証(MFA)の全社導入
  • バックアップ体制の再設計

リモートアクセスのセキュリティ強化

ランサムウェアはRDPなどの外部アクセス経路から侵入する事例が多いため、リモート接続の強化は急務です。具体的にはRDPポートの公開停止やVPNの利用制限、IP制限、ログ監視を導入し、不審な接続試行を早期に検知できるようにします。

  1. RDPを外部公開している場合は遮断し、VPN経由に限定する
  2. IPホワイトリスト制御・地理的制限を導入する
  3. RDP接続のログ取得・定期レビューを実施する

多要素認証(MFA)の全社導入

アカウント乗っ取りを防ぐ有効な手段としてMFA(多要素認証)の導入が推奨されます。管理者アカウントだけでなく、クラウドサービスやSaaSにアクセスする全ユーザーに対して適用することで、初期侵入リスクを大幅に軽減できます。

  1. クラウド管理コンソールのMFA設定を義務化する
  2. 業務アプリ・メールなども対象範囲に加える
  3. MFAの導入状況を社内で定期的に監査する

バックアップ体制の再設計

MIRRORランサムウェアに感染した時にそなえ、隔離された外部バックアップやオフラインバックアップを定期的に取得し、万が一暗号化されても復元できる体制を整えておく必要があります。

  1. バックアップはネットワークから分離した場所に保存する
  2. 定期的にリストアテストを実施し、可用性を確認する
  3. 取得ログと変更監視でバックアップ破壊の兆候を検知する

暗号化や情報漏えいといった直接的な被害だけでなく、調査や報告対応にかかる時間・コストも見落とせません。特に感染時の痕跡が消失する恐れがあるため、早い段階での専門家への相談が被害拡大を防ぐ鍵となります。

ランサムウェア感染調査の相談先はこちら >
MIRROR
最新情報をチェックしよう!