近年、国内外を問わずランサムウェア被害が急増しており、企業や組織が保有する重要データが暗号化され、事業継続に深刻な影響を及ぼすケースが相次いでいます。今回は、ファイルの拡張子が「.wait」や「.waiting」に変更され、「help.hta」や「ReadMe.hta」といったランサムノートが生成されるランサムウェア(通称「Waiting」「Crytox」など)について、その特徴と対策をまとめました。
1. ランサムウェアの概要
-
特徴
-
感染したファイルに「.wait」または「.waiting」という拡張子が付与され、元のファイルへアクセスできなくなります。
-
フォルダ内には「help.hta」「ReadMe.hta」といったランサムノート(脅迫文)ファイルが生成され、攻撃者との連絡先(Tox IDやメールアドレス)が記載されています。
-
暗号化にAES(256ビット)とRSA(2048ビット)といった強力な方式が使われているとされ、現時点で公開済みの復号ツールは確認されていません。
-
-
感染経路
-
主に不正なメール添付ファイルの開封や、脆弱性を抱えたリモート接続(RDP)などを通じて侵入し、ネットワーク上のファイルを次々に暗号化するケースが多いとみられています。
-
企業内で1台が感染すると、共有フォルダやファイルサーバに保存してあるデータまで暗号化されるリスクが高まります。
-
2. 復号化の可否
-
復号ツールは未公開
-
2025年3月現在、欧州刑事警察機構などが運営する「No More Ransom」を含め、無料で利用できる公式の復号ツールは公開されていません。
-
暗号化解除には攻撃者の保持する秘密鍵が必要とされ、正攻法での解読は極めて困難と考えられています。
-
-
バックアップの重要性
-
復号が難しいため、バックアップからの復元が事実上唯一の確実な解決策となります。
-
定期的なバックアップとオフライン保管を実施していれば、最悪の事態でもデータを復旧できる可能性が高まります。
-
3. 被害に遭った場合の対処フロー
-
感染端末やサーバの隔離
-
ネットワークから切り離して感染拡大を防止する。
-
-
専門機関やセキュリティベンダーへの相談
-
インシデント対応の専門家、もしくは管轄官公庁(警察や情報セキュリティ機関)へ連絡して状況を共有する。
-
-
バックアップを用いた復元
-
感染ファイルを無理に開こうとせず、クリーンなバックアップを使ってシステムを復旧する。
-
-
再感染防止策の実施
-
OS・ソフトウェアのアップデートや脆弱性対策を徹底し、パスワードの強化や不要なサービスの停止・ポート遮断を検討する。
-
4. 予防策・セキュリティ強化のポイント
-
メール対策の強化
-
迷惑メール対策ソリューションの導入、添付ファイルの自動スキャンやサンドボックス検証の実施。
-
-
アカウント管理の徹底
-
特権アカウントのアクセス制限や多要素認証(MFA)の導入。
-
-
ネットワークのセグメント化
-
社内LANを複数のセグメントに分割し、一部が侵害されても被害が全体に広がらないようにする。
-
-
定期的なバックアップとオフライン保管
-
バックアップを日常的に取得し、少なくとも一部はオンラインから切り離した環境(テープや外部ストレージなど)に保管する。
-
-
インシデント対応訓練
-
ランサムウェア感染を想定し、システム停止時の手順や復旧方法をあらかじめ社内で確認しておく。
-
まとめ
拡張子が「.wait」や「.waiting」に変更され、ランサムノートとして「help.hta」や「ReadMe.hta」などが生成される場合は、「Waiting」「Crytox」と呼ばれるランサムウェアによる被害が疑われます。現時点での復号化は非常に難しく、攻撃者から秘密鍵を入手しない限りファイルを取り戻すことは困難です。そのため、日頃からのバックアップや予防策が何より重要となります。万一感染が確認された場合は、速やかに被害端末を隔離し、専門家へ相談のうえで被害拡大を抑えつつ、バックアップによる復旧や再発防止策を徹底して実施してください。
今後もランサムウェアは新種・亜種が次々と確認されており、企業としては継続的なセキュリティ対策のアップデートが不可欠です。引き続き情報収集に努めるとともに、万全の備えを行うようにしましょう。
