ランサムウェアとは、感染したコンピュータやサーバー内のデータを暗号化する悪意のあるソフトウェア(マルウェア)の一種です。感染すると、攻撃者はデータの暗号化解除や破損したデータの復元を条件に高額な金銭を要求します。
もしランサムウェアの感染が発覚したら、迅速な対応が必要です。これにより感染経路や被害の範囲を素早く特定し、適切な復旧手段を取ることでシステムを早期に元の状態に戻すことが可能となります。
本記事では、ランサムウェア感染時における5つの効果的な対処方法を詳細に解説します。
感染拡大の防止から被害の最小化、復旧手段まで、被害を最小限に抑えるための対策を一挙にご紹介します。ぜひ参考にしてください。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
ランサムウェアによる被害は、経済的損失だけでなく、企業の信頼性や顧客からの信頼を失う可能性もあります。そのため、感染時のフロー策定、定期的なバックアップの実施やセキュリティソフトウェアの導入など、ランサムウェアに対する予防策や対策を講じることが重要です。
ランサムウェア感染時の対処方法とは?
ランサムウェアに感染した場合は、以下の対処方法を試してください。
①システムの隔離
②ランサムウェアの感染範囲を確認する
③行政に通報および対応策の決定
④バックアップをもとにシステムを復旧する
⑤ランサムウェア感染調査を専門の調査会社に相談する
ランサムウェアに感染した場合はすぐに専門のフォレンジック調査会社に相談しましょう。
▶おすすめの調査会社はこちら▶【フォレンジック調査会社一覧|選び方・依頼の流れを解説】
①システムを隔離する
ランサムウェアの特性として感染力が強いことが挙げられます。特に企業や組織内では、共有フォルダーやネットワークドライブを多くの従業員が利用するため、感染した1つのコンピューターから共有リソースにアクセスすることで、他のコンピューターにも感染が広がりやすくなります。
ランサムウェア感染を検知したら、早急に感染したコンピューターをネットワークから隔離し、他のシステムへの拡散を防ぎましょう。
②ランサムウェアの感染範囲を確認する
感染が疑われる場合には、まずインシデントの内容や範囲を確認し、その影響範囲を評価します。ただし、その確認は、自社内だけで行うのは不適切です。一方で、感染が疑われる場合には、専門家からのアドバイスを受けることで、より正確に感染範囲を把握することができます。
もし個人情報の漏えいが確認できた場合は、速やかに個人情報保護委員会への「報告」が必要です(この報告には被害の詳細、原因、対応策などが含まれる必要があります)。
③行政に通報および対応策の決定
ランサムウェアに感染した場合、企業の機密データや個人情報が盗まれ、犯人が意図的に情報を漏らすこともあります(個人情報などのデータをダークウェブで販売する犯罪グループも存在します)。
したがってランサムウェア攻撃が発生した場合、改正個人情報保護法に基づく対応が必要となります。
改正個人情報保護法では、個人情報の漏えいが発生した、もしくはその可能性が疑われる場合は、速やかに個人情報保護委員会への報告、および被害者本人への通知も義務付けられています。そのためランサムウェアの感染時は関連する行政機関に通報し、適切な対応策を決定する必要があります。
④バックアップをもとにシステムを復旧する
定期的にバックアップを取得していた場合は、感染前のクリーンなデータを使用してシステムを復旧します。バックアップはランサムウェア感染時のデータ復旧において非常に重要な役割を果たします。
ランサムウェアに感染したら、バックアップを使用する前に感染した可能性のあるファイルを特定し、隔離してランサムウェアを削除します。もし感染ファイルが残った状態で放置すると、感染が拡大したり、他のファイルに被害が及ぶ可能性があります。
その他「No More Ransom」と呼ばれるプロジェクトのサイトでは、多数の復号ツールが無料公開されています。感染しているファイルの拡張子などをチェックできれば、復号ツールを使用して暗号化されたデータを復元することができる場合があります。
ただし、暗号化されたファイルを復号する場合、攻撃者に身代金を支払って購入しないよう気を付けましょう。
⑤ランサムウェア感染調査を専門の調査会社に相談する
ランサムウェアに感染した場合、感染したファイルやデータを削除するだけでは不十分です。なぜなら不正アクセスを実行する際に、認証情報などを盗み取り、ダークウェブ上の攻撃者のサイトで暴露したりする恐れがあるからです。そのため感染したファイルは、すべて漏えいリスクがあることを考慮しなければなりません。
もし被害を調査する必要がある場合、感染したファイルやデータを削除するのは控え、まずは専門業者まで対応を依頼するようにしましょう。特に企業におけるランサムウェア感染の場合、感染端末や調査内容が膨大となり、社内で対応を簡潔するのが困難となる可能性があります。
ランサムウェア感染時、改正個人情報保護法で調査・報告が義務化
ランサムウェアに感染してしまった場合、法人の場合、感染経路や情報漏洩の範囲、被害の範囲を調査する必要があります。これは2022年4月に施行された「改正個人情報保護法」で義務化されています。
法律での「事業者の守るべき責務」は次の通りになっています。
- 漏えい等が発生した場合、個人情報保護委員会への報告、および本人への通知が義務化される(従来は努力義務)
- ペナルティ(罰金)の強化
- 不正アクセスによる漏えいは件数を問わず、たとえ1件であっても本人への通知が義務化
特に、法人による命令違反で課せられる罰金刑は、上限50万円から1億円に引き上げられます。被害企業にセキュリティ体制の不備や過失が認められる場合、取引先から損害賠償請求を受ける可能性もあります。
サイバーセキュリティの専門家に対応を依頼する
ランサムウェアによるデータの暗号化やシステムの乗っ取りは一般的なユーザーやIT担当者には対処が難しい場合がありますが、サイバーセキュリティの専門家は復旧のサポートを提供し、被害を最小限に抑えることができます。
このことから企業や組織は、インシデント後もスムーズ対応できるように、事前にサイバーセキュリティ対策を整備し、専門家との連携や協力体制を構築することが大切となってきます。
適切な相談先の選び方とは
ランサムウェアの感染時には、迅速で適切な対応を行うために信頼性のある専門家やセキュリティ調査会社の協力を得ることが重要です。
まずランサムウェア対応の専門家やセキュリティ調査会社は、長年の経験と幅広い専門知識を持っていることが求められます。その会社がこれまでにどれだけのランサムウェア対応の経験を持っているか、どのような成果を上げてきたかを調べることが重要です。
また、ランサムウェアの感染は時間が重要な要素となります。感染が発覚したら即座に対応する必要がありますので、専門家が迅速に対応できるかどうかも確認してください。
ここからは全国50社以上ある、サイバー攻撃のインシデント調査会社から、「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の判断基準で大規模、小規模サイバー攻撃調査に対応しているおすすめの調査業者を厳選しました。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。
- 「ランサムウェア感染調査や対処を個人で行うのが不安」
- 「ランサムウェアが感染しているかどうか早く知りたい」
- 「確実な調査や対処を行いたい」
このような場合は、「ランサムウェアに感染しているのか」「いつ、どのような経路でウイルス感染したのか」「漏洩した情報の範囲」について専門業者で調査することをおすすめします。
こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社なため、官公庁や大手企業からの依頼実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
ランサムウェア感染時にやってはいけないこと
ランサムウェア感染時にやってはいけないこと5つを解説します。
- オンラインやネットワークに接続を続ける
- むやみに自己解除を試みる
- 感染被害を確認せずにバックアップ復旧のみで対応する
- プロや警察へ相談せず身代金を支払う
- 感染後にバックアップを取る
ランサムウェアに感染した際には、焦って誤った行動を取らないように注意が必要です。以下は感染時にやってはいけないことの一部です。
オンラインやネットワークに接続を続ける
感染が確認されたら、感染したコンピューターを即座にネットワークから切断しましょう。感染したコンピューターがオンラインに接続されたままだと、攻撃が広がるリスクが高まります。
むやみに自己解除を試みる
ランサムウェアの自己解除を試みることは危険です。攻撃者によってデータが暗号化された場合、自己解除を試みることで暗号化が進み、データの復旧が困難になることがあります。
感染被害を確認せずにバックアップ復旧のみで対応する
感染を確認した後にすぐにバックアップから復旧を試みることは危険です。感染が拡大しているか、他のファイルやシステムに感染が広がっているかを確認せずに復旧すると、再感染のリスクやデータ損失の可能性があります。まずは感染の範囲を把握し、適切な対応策を検討することが重要です。
プロや警察へ相談せず身代金を支払う
被害に遭遇した場合は、サイバーセキュリティ専門家や警察に相談することが重要です。プロのアドバイスを得ることで、適切な対応策や復旧手段を見つけることができます。一方で、専門家に相談せずに身代金を支払ってしまうと、再攻撃のリスクや、追加で身代金を要求されるなど、より多くの被害をもたらす可能性が高まります。
感染後にバックアップを取る
感染後にバックアップを取ることは、元のバックアップが感染している可能性があるため危険です。感染が拡大する可能性があるため、感染後には新しいバックアップを取得する前に、セキュリティ対策や感染拡大の防止に集中することが重要です。
これらの対処方法に従って、感染時の対応を慎重に行うことで被害を最小限に抑えることができます。もし不適切な対応を行った場合、セキュリティリスクが上昇している恐れもあるため、サイバーセキュリティ専門家まで対応を依頼されることをおすすめします。
ランサムウェア感染を予防するには
ランサムウェア感染を予防するには、以下のセキュリティ対策を実施するのが適切です。
- ランサムウェア感染に対応する計画及びチームを作成する
- メールのセキュリティを強化する
- ユーザー権限を制限する
- 定期的にデータのバックアップを作成する
- VPN機器にアップデートと多要素認証の設定を行う
- 従業員にセキュリティ教育を実施する
- ランサムウェア対策ソフトを導入する
ランサムウェア感染に対応する計画及びチームを作成する
企業におけるランサムウェア感染を予防するには、感染時の計画を策定し、計画に基づいたチームを編成することが重要です。計画は、感染の検知方法、感染時の初期対応、データ復旧の流れ、そして関係者への連絡体制まで包括的に作成することが重要です。
チームには、IT部門、セキュリティ専門家、法務部門、広報部門の代表者を含め、それぞれの役割と責任を明確に定義しておきます。定期的な訓練や模擬演習を実施することで、実際の感染時に迅速かつ効果的に対応できる体制を整えることができます。
メールのセキュリティを強化する
メールは主要なランサムウェア感染経路の一つであるため、セキュリティ強化が不可欠です。フィルタリングで不審なメールを自動的に検出・隔離するだけでなく、添付ファイルやリンクのスキャンを実施し、マルウェアを含む可能性のあるコンテンツをブロックします。
また、送信元アドレスの認証技術導入によるなりすましメールの防止や、HTMLメールをテキスト形式に変換する設定を行い、悪意のあるスクリプトの実行を防ぐことで、メールを介したランサムウェア感染リスクを大幅に低減できます。
ユーザー権限を制限する
定期的に権限を見直し、不要な権限を削除することで、ランサムウェアが感染しても被害を局所化し、重要データの暗号化を防ぐことができます。
特に管理者権限の使用を厳しく制限し、日常的な業務には一般ユーザーアカウントを使用するなど、各人に必要最小限のアクセス権限のみ付与します。
また、ファイルサーバーやデータベースへのアクセス権限も細かく設定することで、不正アクセスや情報漏えいを防ぎます。
定期的にデータのバックアップを作成する
重要なデータは日次、週次、月次など複数の頻度で定期的にバックアップし、オフラインまたはクラウド上の安全な場所に保存します。
また、バックアップデータの整合性と復元可能性を定期的にテストし、確実に復旧できることを確認しておくと、ランサムウェア感染時でもデータを失うリスクを最小限に抑え、迅速な業務復旧が可能となります。
VPN機器にアップデートと多要素認証の設定を行う
ランサムウェアの感染経路として狙われやすい傾向にあるVPN機器は、ファームウェアを常に最新の状態に保ち、既知の脆弱性を修正しておきましょう。次に、多要素認証(MFA)を導入し、パスワードだけでなく、スマートフォンアプリや物理トークンなどの追加の認証要素を要求します。
これにより、盗難されたパスワードや認証情報だけでは不正アクセスができなくなります。また、VPNログを監視し、不審なアクセスパターンを検出する仕組みを構築しておくと、VPNを介したランサムウェア侵入のリスクを大幅に軽減できます。
従業員にセキュリティ教育を実施する
企業のランサムウェア感染を予防するには従業員へのセキュリティ教育を実施し、最新のランサムウェアの手口や予防策について情報を共有します。
セキュリティ教育の内容としては、フィッシングメールの見分け方、不審な添付ファイルやリンクの取り扱い、安全なパスワード管理、セキュリティインシデントの報告手順や、感染時の初期対応などの周知徹底に努めましょう。
ランサムウェア対策ソフトを導入する
ランサムウェア対策ソフトは、従来のアンチウイルスソフトよりも高度な検知機能を持ち、ランサムウェアの特徴的な動作を監視するものなどがあるので、導入しておきましょう。
例えば、大量のファイル暗号化操作を検知し、即座にプロセスを停止する機能や、ランサムウェアの既知の挙動をAIで学習し、新種の脅威にも対応する機能などがあります。中にはファイルの変更履歴を保持し、暗号化されたファイルを復元する機能を持つものもあります。
まとめ
ランサムウェア感染時の対処方法とおすすめの調査会社について説明しました。
ランサムウェアの対処は迅速に行う必要があります。ランサムウェアに感染したらシステムをネットワークから隔離し、専門家に相談しましょう。ランサムウェア感染調査会社に相談すると、ランサムウェアに対する豊富な調査実績を元に、情報漏えいや感染経路について詳細に調べてもらうことができます。