調査日: 2023-01-23

本レポートは、2023年1月23日に確認されたCipherランサムウェアの活動に関する技術分析を提供するものです。本マルウェアは、主にトレントサイト、悪意のある広告（マルバタイジング）、および電子メールの添付ファイル実行を介して拡散されます。

感染に成功すると、システム内のファイルを暗号化し、拡張子を「.cipher8」に変更します。また、暗号化を確実に行うために、SQLサーバーなどの特定のプロセスを強制終了させる挙動が確認されています。

Cipherランサムウェアの実行ファイルに関する詳細な分析結果を以下に示します。

実行ファイルの特定

実行ファイルのバージョン情報およびファイル属性を確認しました。

Cipherランサムウェアは、以下の段階を経てシステムへの侵害と暗号化を実行します。

• WMIコマンドによる特定プロセスの確認

  WMI (Windows Management Instrumentation) コマンドを使用し、SQLサーバーなど、攻撃対象となり得る特定のプロセスが稼働しているかを確認します。

  

  <WMIコマンドの実行>

  
  

• 特定プロセスの強制終了

  CMDコマンドラインインターフェースを介して、SQLなどの特定のプロセスを強制的に終了させます。これは、データベースファイルなどのロックを解除し、暗号化を確実に行うための一般的な手法です。

  

  <特定プロセスの強制終了>

  
  

• 暗号化対象の選定

  固定ディスクおよびリムーバブルディスクを暗号化の対象として選定し、広範囲にわたるデータ侵害を試みます。

  

  <暗号化対象の選定>

  
  

暗号化が完了すると、ファイル拡張子は変更され、各ディレクトリに身代金要求文書が配置されます。

暗号化後のファイル拡張子

暗号化が完了したファイルは、元のファイル名に.cipher8という拡張子が付加されます。

身代金要求文書（ランサムノート）

身代金要求文書は、暗号化された各ディレクトリ内に「!-Recovery_Instructions-!.html」というファイル名で生成されます。

Cipherランサムウェアの感染経路（マルバタイジング、メール添付ファイル）および動作特性（プロセス終了、広範囲暗号化）を踏まえ、以下の対策を強く推奨いたします。

• 多層防御の徹底: ネットワーク境界、メールゲートウェイ、およびエンドポイントにおいて、既知および未知の脅威に対する多層的な防御策を講じてください。
• バックアップ戦略の確立: 重要なデータは定期的にバックアップし、特にネットワークから隔離されたオフライン環境またはイミュータブル（変更不可）なストレージに保管してください。
• パッチ管理と脆弱性対応: OS、アプリケーション、特にSQLサーバーなどの重要システムに対し、最新のセキュリティパッチを迅速に適用してください。
• エンドポイント監視の強化: EDR (Endpoint Detection and Response) ソリューションを導入し、WMIコマンドの実行や不審なプロセス終了など、ランサムウェア特有の挙動をリアルタイムで監視・検知する体制を構築してください。
• ユーザー教育: 不審な電子メールの添付ファイルや、トレントサイトを含む信頼できないウェブサイト上の広告（マルバタイジング）をクリックしないよう、従業員への継続的なセキュリティ教育を実施してください。

（注：以下の図は、適切なセキュリティソリューションによる検知・遮断の例を示しています。）