ランサムウェア(Ransomware)とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、感染した端末のファイルを暗号化し、解除と引き換えに金銭を要求するマルウェアの一種です。
近年ではネットワーク内に自動で拡散するタイプも登場しており、被害の範囲は急速に広がる傾向にあります。
感染が発覚した際に対応を誤ると、情報漏えいや業務停止だけでなく、法的リスクにも直結します。
本記事では、ランサムウェア感染時に実務で即使える正しい初動対応5ステップを、現場目線で詳しく解説します。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
ランサムウェア感染時の対処方法とは?
ランサムウェアに感染した場合は、以下の対処方法を実施してください。
- システムを隔離する
- 感染範囲を特定し、被害を把握する
- 行政・専門機関へ通報する
- バックアップからシステムを復旧する
- ランサムウェア感染調査を専門の調査会社に相談する
①システムを隔離する
ランサムウェアの感染力は非常に強く、社内ネットワーク経由で他端末に爆発的に拡散する危険性があります。
そのため、感染が疑われる端末を即座にネットワークから切り離すことが最優先対応となります。
システム隔離の手順
- LANケーブルを抜き、Wi-Fi接続を無効化する
- USBメモリや外付けHDDなどの外部デバイスを取り外す
- 感染端末の電源を切らず、動作ログを確保する
- IT管理者またはCSIRTに即時報告し、全体状況を把握する
端末の電源を切ると調査に必要なログが消失する可能性があるため、再起動やシャットダウンは避けることが重要です。
②感染範囲を特定し、被害を把握する
ランサムウェア感染が疑われる場合は、影響を受けたシステムやデータの範囲を特定し、被害の規模を客観的に把握することが重要です。
ランサムウェア感染範囲特定のチェックポイント
- ランサムウェア感染した端末の台数
- 暗号化されたファイルの種類・数・保存場所
- 社内ネットワーク上の異常通信ログ(C2通信等)
- 不審なアカウントアクセス履歴
社内でランサムウェアの感染経路を調査する場合、社内のSIEM(セキュリティイベント統合監視ツール)やEDR(エンドポイント検知と応答)などを用い、証拠ベースで冷静に被害範囲を絞り込みましょう。
ランサムウェアの感染経路について詳しくは以下の記事も解説しています。
ランサムウェアの感染経路とは? 最新の傾向と防止対策を解説>
③行政機関へ通報する
ランサムウェア感染により、企業の機密データや個人情報が漏えいした場合、法的義務として通報が求められるケースがあります。
通報の遅れや隠蔽は、事後に行政処分や刑事責任、信用失墜リスクを招くおそれがありますので、早めに通報しましょう。
詳しくは以下の記事もご参照ください。
通報すべき主な機関
- 個人情報保護委員会…個人情報が漏えい、または漏えいの可能性がある場合
- 警察(サイバー犯罪対策課)…不正アクセス・脅迫などの犯罪行為を受けた場合
- IPA(情報処理推進機構)…インシデント情報の共有、技術支援を受けたい場合
- JPCERT/CC…国内CSIRT間での情報共有、感染拡大防止に協力する場合
通報時に準備すべき情報
- ランサムウェア感染の発生日時と初動対応の時刻
- ランサムウェア感染端末の台数・範囲・影響業務
- 暗号化または流出したファイルの種類
- 攻撃者の要求内容
- 自社で既に実施した対策とその結果
- 今後予定しているセキュリティ対策方針
可能であれば、ログ、パケットキャプチャ、スクリーンショットなども報告の際は整理しておきましょう。これらはランサムウェア感染の証拠となることがあります。
また行政機関に報告した後は被害状況に応じて、個人情報が漏えいした被害者への連絡や、サイバー保険関連の手続きで保険会社への連絡が必要な場合もあります。
④バックアップからシステムを復旧する
定期的なバックアップを取っていれば、感染前のデータでシステムを復旧できます。ただし、バックアップデータが感染済み端末と同一ネットワーク内に保存されている場合、バックアップもランサムウェアに感染している可能性があるため、復旧前に確認が必要です。
また、復旧作業にあたりデータやログが上書きされると、感染経路や攻撃の手口などの調査が困難になることがあります。不安がある場合は、専門家に相談して調査してもらってから復旧作業を行うことをおすすめします。
復旧時のポイント
- 復旧はネットワーク非接続環境で実施
- バックアップデータも事前に安全性確認のためウイルスチェックを行う
- 復旧前に、現在のシステムイメージやログを保全(技術的に可能なら)
状況によっては「No More Ransom」プロジェクトのような無料の復号ツールを使用できる可能性もあります。復旧作業の前に、必ず情報収集を行ってください。
⑤ランサムウェア感染調査を専門の調査会社に相談する
ランサムウェアは「ファイルが暗号化されたから削除して終わり」という単純なものではありません。
攻撃者は認証情報を窃取し、バックドアを仕込んだ上で、長期間にわたって監視・再攻撃してくるケースもあります。
そのため、感染の全体像を把握し、再発を防ぐためにはフォレンジック調査が不可欠です。
フォレンジック調査とは、パソコンやサーバー、ネットワーク機器などのデジタル証拠を専門的に解析し、インシデントの全容を明らかにする調査手法です。
ランサムウェア感染などサイバー攻撃の「証拠保全」「経路特定」「漏えい内容の把握」などを行うため、警察・裁判所・監査対応などの場面でも使われる正式な調査方式とされています。
フォレンジック調査を実施することで判明する事実は以下のとおりです。
フォレンジック調査でわかること
- ランサムウェアの感染経路や感染手口
- 社内アカウントや権限昇格の悪用履歴
- ランサムウェアが他端末・他セグメントへ二次感染したかどうか
- 攻撃者が設置したバックドアやマルウェアの残留状況
- 外部へ流出・持ち出しされた可能性のあるファイルの特定
企業のランサムウェア感染は調査範囲が広く、社内対応のみでは全ての調査が難しいケースが多く、証拠保全の手順を誤ると、証拠能力が失われるリスクがあるため、フォレンジック調査会社の支援を受けることをおすすめします。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
ランサムウェア感染を調査できるフォレンジック調査会社をご紹介します。
こちらの業者は、対応件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、ハッキング調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
ランサムウェア感染時に避けるべき行動
ランサムウェアに感染した際、多くの組織が「とりあえず何かやらなきゃ」と焦り、身代金の支払いやシステムの復旧を優先するといった誤った行動を取ってしまいます。
しかし、間違った初動対応は、復旧の遅延・証拠の破壊・被害の拡大といった、取り返しのつかない事態を招きます。
ここでは、ランサムウェア感染時に避けるべき行動を、技術的な根拠とともに解説します。
- 感染したままネットワーク接続を続ける
- 自己解除を試みる
- バックアップ復旧だけで対策を終える
- 身代金を支払う
- 感染後にバックアップを取る
感染したままネットワーク接続を続ける
ランサムウェアに感染した端末をネットワークに接続したままにしておくと、被害は他の端末やシステムに急速に拡大する恐れがあります。
特に、ネットワークを介して共有ドライブやファイルサーバーにアクセス可能な環境下では、感染が組織全体に広がる可能性が極めて高くなります。感染したPCをそのままにしておくことで、社内のサーバーやバックアップストレージにまでマルウェアが到達し、復旧手段すら失うケースも存在します。
感染が疑われた場合は、即座にLANケーブルを抜き、Wi-Fiを無効化し、物理的に隔離しましょう。
自己解除を試みる
感染直後にインターネットで調べた対処法を試したり、復号ツールをダウンロードして自力で復旧を試みるのは非常に危険です。暗号化されたファイルに対して誤った復旧操作を行うと、復号が不可能になる可能性があるほか、システム内部のログや痕跡を上書きしてしまい、原因調査や証拠保全に支障をきたします。
また、感染中のマルウェアを不用意に操作することで、隠れていたバックドアが起動し、さらなる攻撃を招くリスクもあります。ランサムウェアは単純なウイルスではなく、複数のプロセス・常駐モジュール・外部通信を組み合わせた高度な攻撃であるため、自己対応ではなく、必ず専門家の指示を仰ぐことが求められます。
バックアップ復旧だけで対策を終える
バックアップがあるからといって、それだけで「ランサムウェア対応が完了した」と考えるのは極めて危険です。そもそも感染に至った原因が特定されていなければ、再度同じ攻撃を受ける可能性が高く、復旧後の環境がまた短期間で汚染されるリスクを抱えることになります。
さらに、攻撃者がネットワーク上にバックドアやスクリプトを残していた場合、バックアップから復旧した直後に同じマルウェアが活動を再開することもあるので注意しましょう。
身代金を支払う
攻撃者の指示に従い、ビットコインなどで身代金を支払って復号キーの提供を受けようとする行為は、結果的に自社のリスクをさらに高めるだけでなく、攻撃者側の資金源を助長する結果にもなります。
まず第一に、支払いを行ったとしても確実に復号キーが提供される保証はなく、復旧できなかったという事例も多く存在します。加えて、支払った企業が「交渉に応じる対象」としてマークされ、将来的に別のグループから再び攻撃を受けるリスクも高まります。
さらに、攻撃者が国際制裁リストに該当している場合、送金行為自体が法令違反と見なされる可能性もあります。従って、身代金の支払いは避けるべきであり、対応は常に警察およびセキュリティの専門家と連携して進めるべきです。
感染後にバックアップを取る
感染後にバックアップを取る行為は、かえって復旧作業を困難にします。感染時の状態を保存することで、既に汚染されたマルウェアや設定、攻撃者が残した不正なプロセスまでもがそのままバックアップに含まれ、後の再展開時に再感染の原因となる可能性があります。
正しいデジタル証拠保全は、フォレンジックの知識を持つ専門家によって、整合性のある状態でディスクイメージとして取得されるべきです。自己流のバックアップ保存は、「安全な復旧」の妨げになるだけでなく、証拠能力すら損なうことになります。
ランサムウェア感染が発覚したら以上の点に注意して、すぐにフォレンジック調査会社に相談して証拠保全・解析作業を実施してもらいましょう。
ランサムウェア感染を防ぐための予防策
ランサムウェア感染を予防するには、以下の対策を実施するのがおすすめします。
- インシデント対応計画とチームを作成
- メールセキュリティ対策の強化
- OSおよびソフトウェアを常に最新の状態に保つ
- ユーザー権限の制限
- 定期的なバックアップ
- VPNの適切な管理と多要素認証(MFA)の導入
- 従業員にセキュリティ教育を実施
- ランサムウェア対策ソフトを導入
インシデント対応計画とチームを作成
感染後に迅速かつ迷わず動けるように、インシデント対応計画(IRP:Incident Response Plan)を策定し、専任チーム(CSIRTまたはIRT)を編成しておくことが必要です。
対応計画のポイント
- 社内での感染検知手順、通報ルート、初動対応フローの明文化
- ランサムウェア感染時の責任者や報告先を決定する
- 復旧手順・手段の事前検証を行う
- 関係者(社内・顧客・行政)への連絡体制を確立
対応チームにはIT部門、セキュリティ専門家、法務部門、広報部門などの代表者を含め、各役割を明確に定義することが求められます。さらに、定期的な訓練や模擬演習を実施することで、実際の感染時に迅速かつ効果的に対応できる体制を整えることができます。
メールセキュリティ対策の強化
ランサムウェアはフィッシングメールや添付ファイルを通じて感染する場合があります。そのため、メールの受信段階で不審なメールを確実にブロックする体制が求められます。
メール対策のポイント
- 迷惑メール・スパムフィルタの強化と定期的なチューニング
- 添付ファイル・URLのサンドボックス実行による検査
- SPF/DKIM/DMARCなど、送信元認証技術の導入
- HTMLメールをプレーンテキストに変換してスクリプト実行を防止
加えて、ユーザーが怪しいメールを即時報告できる仕組みの導入や標的型メール攻撃の訓練の実施も、現場では効果的です。
OSおよびソフトウェアを常に最新の状態に保つ
ランサムウェア感染は既知の脆弱性(CVE)を悪用することがあります。OSやアプリケーションの脆弱性を狙った攻撃を防ぐため、常に最新のセキュリティパッチを適用することが重要です。
特に、VPN機器・ファイアウォール・NASなどの外部公開機器の脆弱性の放置はランサムウェアの感染に直結するので、公開されている脆弱性の情報には注意しましょう。
ユーザー権限の制限
ランサムウェアは、感染したユーザーの権限を奪って、他の端末へ感染を広げていきます。このようなラテラルムーブメントを防ぐために、社内のユーザーには必要最低限の権限のみ与えて感染時の被害も最小限にしましょう。
権限管理のポイント
- 定期的に権限を見直し、不要なアクセスを削除
- 管理者権限の利用を最小限に制限
- 機密データへのアクセス制限を強化
- ファイルサーバーやデータベースのアクセス制御を厳格化
特に管理者権限の使用は厳しく制限し、日常的な業務には一般ユーザーアカウントを使用するなど工夫しましょう。
定期的なバックアップ
万が一ランサムウェアに感染した場合に備え、バックアップの運用を最適化しておくことが重要です。
しかしバックアップが存在しても、構成や保存方法に不備があれば意味がありません。バックアップを取得保管する際の注意点は以下の通りです。
バックアップ際の注意事項
- 異なる場所(オンサイト+クラウド)に複数のデータを保存
- 日次・週次・月次の異なる頻度でバックアップデータを取得する
- オフラインバックアップを導入
- 定期的な復旧テスト最低年1回を目安に実施
VPNの適切な管理と多要素認証(MFA)の導入
攻撃者はリモートアクセス手段(特にVPN)を狙います。VPNの設定不備・脆弱性・認証漏れは、ランサムウェアの初期侵入口として最も利用されています。
VPNの管理ポイント
- VPNのファームウェアを最新状態に維持
- 多要素認証(MFA)を導入し、不正ログインを防ぐ
- VPNログを監視し、不審なアクセスを検出
- 利用ポリシーを厳格化し、必要なユーザーのみ接続許可を出す。
従業員にセキュリティ教育を実施
ランサムウェア感染のトリガーは人間の操作ミスやセキュリティ知識の不足であることが多いため、
従業員にセキュリティ教育を実施し、ランサムウェアの感染拡大を予防することが最もコスト対効果が高くなります。
セキュリティ教育の内容
- フィッシングメールの見分け方や報告方法
- 安全なパスワード管理の方法
- USBメモリや外部ストレージの使用ルールを明確化
- セキュリティインシデント発生時の報告手順を共有
eラーニングや集合研修だけでなく、標的型メール訓練など体感型のセキュリティ訓練の実施も効果的です。
ランサムウェア対策ソフトを導入
ランサムウェア対策に特化したセキュリティソフトを導入することで、リアルタイムの脅威検知やブロックが可能になります。多くの対策ソフトには、振る舞い検知機能や異常なファイル暗号化の監視機能が備わっており、感染の早期発見に役立ちます。
まとめ
ランサムウェア対策で最も重要なのは、「被害をゼロにする」のではなく、「被害を最小限に抑える仕組みを事前に作っておく」ことです。感染が発覚してから慌てて動くようでは遅く、初動対応に迷った時点で勝負は決まっています。
ランサムウェアの対処は迅速な対応が求められます。感染が確認されたら、まずネットワークからシステムを隔離し、専門家に相談しましょう。感染調査を専門会社に依頼すれば、情報漏えいや感染経路の特定など、より詳細な分析を受けることができます。
適切な対策を講じることで、感染リスクを最小限に抑え、安全な環境を維持しましょう。