ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、データを暗号化し、解除と引き換えに金銭を要求するマルウェアの一種です。
近年、ランサムウェアの手口は高度化し、ネットワークを介して自動拡散するタイプも登場します。企業や個人を問わず被害が拡大しており、迅速かつ適切なランサムウェア対処法を知っておくことが不可欠です。
本記事では、ランサムウェア感染時の具体的な対処法を解説します。もしランサムウェア感染の疑いがある場合は、早急に専門の調査会社へ相談することをおすすめします。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
ランサムウェア感染時の対処方法とは?
ランサムウェアに感染した場合は、以下の対処方法を実施してください。
- すぐにシステムを隔離する
- 感染範囲を特定し、被害を把握する
- 行政・専門機関へ通報する
- バックアップからシステムを復旧する
- ランサムウェア感染調査を専門の調査会社に相談する
- 重要なパスワードを変更し、二次被害を防ぐ
ランサムウェアに感染した際は、専門のフォレンジック調査会社へ相談することをおすすめします。すぐに相談することで、リアルタイムでアドバイスを受けながら対処を行うことができます。
①システムを隔離する
ランサムウェアは感染力が非常に強く、ネットワークを通じて急速に拡散する特性があります。
特に企業や組織では、共有フォルダーやネットワークドライブを介して他の端末に感染するリスクが高く、放置すると被害が拡大する恐れがあります。
感染が確認された場合は、速やかに以下の対応を実施してください。
システム隔離の手順
- LANケーブルを抜く、Wi-Fi接続を無効化する
- USBメモリや外付けHDDなどの外部デバイスを取り外す
- 感染端末の電源を切らず、動作ログを確保する
- システム管理者へ即時報告し、組織全体の感染状況を確認する
端末の電源を切ると調査に必要なログが消失する可能性があるため、再起動やシャットダウンは避けることが重要です。
②感染範囲を特定し、被害を把握する
ランサムウェア感染が疑われる場合は、影響を受けたシステムやデータの範囲を特定し、被害の規模を把握することが重要です。
感染範囲特定のポイント
- どの端末が影響を受けたのかを確認
- 影響を受けたファイルの種類や重要度を把握
- 外部とのデータ送受信履歴を調査
- 不審なアカウントアクセス履歴をチェック
より正確に感染範囲を特定するためには、セキュリティ専門家からのアドバイスを受けながら対応を進めることが推奨されます。
③行政機関へ通報する
ランサムウェア感染により、企業の機密データや個人情報が漏えいする恐れがあります。被害を最小限に抑えるため、速やかに適切な機関へ通報し、迅速な対応を行うことが重要です。また、個人情報漏えいが判明した場合は、個人情報保護委員会へ速やかに報告する必要があります。
詳しくは以下の記事をご参照ください。
通報すべき主な機関
- 個人情報保護委員会
- 警察(サイバー犯罪対策課)
通報時に準備すべき情報
- 感染日時・影響範囲
- 感染経路の特定
- 攻撃者の要求内容
- 既に実施した対策と結果
機関へ通報することで、迅速な対応が可能となり、被害の拡大を防ぐことができます。
④バックアップからシステムを復旧する
定期的なバックアップを取っていれば、感染前のデータでシステムを復旧できます。ただし、バックアップが同一ネットワーク内に保存されている場合、感染している可能性があるため、復旧前に確認が必要です。また、復旧作業でデータが上書きされると、後の調査が困難になることがあります。不安がある場合は、専門家に相談してから復旧作業を行うことをおすすめします。
復旧時のポイント
- 感染ファイルを特定し隔離したうえで、安全な環境で復旧を実施
- バックアップデータのウイルスチェックを行い、安全性を確認
- 「No More Ransom」などの無料復号ツールを活用
- 感染の疑いがあるファイルは復旧せず、安全性を十分に検証
また、古いバックアップを使用する際は、業務への影響を考慮し慎重に判断する必要があります。適切なバックアップ管理を行うことで、安全かつ迅速な復旧が可能になります。
⑤ランサムウェア感染調査を専門の調査会社に相談する
ランサムウェア感染時、感染ファイルやデータを削除するだけでは不十分です。認証情報が盗まれ、ダークウェブ上で公開されるリスクもあるため、慎重な対応が求められます。
調査会社に依頼するメリット
- 感染経路の特定と分析可能
- 被害範囲の詳細な特定
- 再発防止策の提案
企業のランサムウェア感染は調査範囲が広く、社内対応のみでは解決が難しいケースが多いため、フォレンジック調査会社の支援を受けることをおすすめします。
⑥重要なパスワードを変更し、二次被害を防ぐ
ランサムウェア感染後は、不正アクセスや情報漏えいの可能性を踏まえ、以下の対応を迅速に実施することが重要です。
対応ポイント
- システムやクラウドサービス、メールアカウントなどの重要なパスワードを変更
- 二要素認証(2FA)を導入し、セキュリティを強化
- 全従業員のパスワード変更を徹底し、不正アクセスのリスクを低減
ランサムウェアは、一度の感染で終わるとは限りません。適切な対策を講じることで、さらなる被害を防ぐことができます。また、感染の疑いがある場合は、早急に専門の調査会社に依頼することをおすすめします。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
ランサムウェア感染を調査してくれる専門会社をご紹介します。
こちらの業者は、対応件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、ハッキング調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
ランサムウェア感染時に避けるべき行動
ランサムウェアに感染した際、焦って誤った行動を取ると被害が拡大する恐れがあります。以下の行動は避けるようにしましょう。
感染したままネットワーク接続を続ける
ランサムウェアはネットワークを介して他のシステムやデバイスに拡散する可能性があります。感染が確認された場合、速やかにネットワークから切断し、被害の拡大を防ぐことが重要です。
自己解除を試みる
専門知識がないままランサムウェアの解除を試みると、データの損失やさらなる被害を招く恐れがあります。自己判断での対応は避け、サイバーセキュリティの専門家に相談することが推奨されます。
バックアップ復旧だけで対策を終える
バックアップからの復旧だけでは、再感染のリスクを完全に排除できません。感染経路の特定やシステムの脆弱性対策を講じることで、再発を防ぐ必要があります。
身代金を支払う
身代金を支払っても、データが確実に復旧される保証はなく、攻撃者を助長する結果となる可能性があります。被害に遭遇した場合は、サイバーセキュリティの専門家や警察に相談し、適切な対応策や復旧手段を検討することが重要です。
感染後にバックアップを取る
感染後にバックアップを取ると、既に感染した状態を保存することになり、復旧時に問題を引き起こす可能性があります。バックアップは定期的に、かつ感染前の状態で行うことが重要です。
上記の行動を避け、慎重に対応することで、ランサムウェア感染時の被害を最小限に抑えることが可能です。不適切な対応はセキュリティリスクを高めるため、感染の疑いがある場合は専門家への相談をおすすめします。
ランサムウェア感染を防ぐための予防策
ランサムウェア感染を予防するには、以下の対策を実施するのがおすすめします。
- インシデント対応計画とチームを作成
- メールセキュリティ対策の強化
- OSおよびソフトウェアを常に最新の状態に保つ
- ユーザー権限の制限
- 定期的なバックアップ
- VPNの適切な管理と多要素認証(MFA)の導入
- 従業員にセキュリティ教育を実施
- ランサムウェア対策ソフトを導入
インシデント対応計画とチームを作成
ランサムウェア感染時の対応を迅速に行うためには、事前に計画を策定し、専任の対応チームを組織しておくことが重要です。
対応計画のポイント
- 感染の検知方法を明確化
- 初動対応の手順を策定(隔離・通報・調査)
- データ復旧プロセスを事前にテスト
- 関係者(社内・顧客・行政)への連絡体制を確立
対応チームにはIT部門、セキュリティ専門家、法務部門、広報部門などの代表者を含め、各役割を明確に定義することが求められます。さらに、定期的な訓練や模擬演習を実施することで、実際の感染時に迅速かつ効果的に対応できる体制を整えることができます。
メールセキュリティ対策の強化
ランサムウェアの主要な感染経路はメールです。不審なメールを排除するために、セキュリティ対策を強化しましょう。
メール対策のポイント
- 疑わしいメールのフィルタリングを強化
- 添付ファイルやリンクのスキャンを実施
- 送信元アドレスの認証技術(SPF・DKIM・DMARC)を導入
- HTMLメールをテキスト形式に変換し、不正スクリプトを防ぐ
OSおよびソフトウェアを常に最新の状態に保つ
OSやアプリケーションの脆弱性を狙った攻撃を防ぐため、常に最新のセキュリティパッチを適用することが重要です。特に企業では、自動更新を有効にし、定期的にシステムの状態を確認しましょう。
ユーザー権限の制限
ランサムウェア感染時の影響を最小限に抑えるため、必要最小限のアクセス権限のみを付与し、管理を徹底することが必要です。
権限管理のポイント
- 定期的に権限を見直し、不要なアクセスを削除
- 管理者権限の利用を最小限に制限
- 機密データへのアクセス制限を強化
- ファイルサーバーやデータベースのアクセス制御を厳格化
特に管理者権限の使用を厳しく制限し、日常的な業務には一般ユーザーアカウントを使用するなど、各人に必要最小限のアクセス権限のみ付与します。
定期的なバックアップ
万が一ランサムウェアに感染した場合に備え、バックアップの運用を最適化しておくことが重要です。
バックアップ際の注意事項
- 異なる場所(オンサイト+クラウド)に保存
- 日次・週次・月次の異なる頻度で取得
- オフラインバックアップを導入
- 定期的な復旧テストを実施
VPNの適切な管理と多要素認証(MFA)の導入
VPN機器はランサムウェアの感染経路として狙われやすいため、適切に管理し、多要素認証(MFA)を導入しましょう。
VPNの管理ポイント
- VPNのファームウェアを最新状態に維持
- 多要素認証(MFA)を導入し、不正ログインを防ぐ
- VPNログを監視し、不審なアクセスを検出
- 利用ポリシーを厳格化し、必要なユーザーのみ接続許可
従業員にセキュリティ教育を実施
従業員の誤操作による感染を防ぐため、定期的なセキュリティ教育を実施。
セキュリティ教育の内容
- フィッシングメールの特徴を学ぶ
- 安全なパスワード管理を徹底
- USBメモリや外部ストレージの使用ルールを明確化
- セキュリティインシデント発生時の報告手順を共有
ランサムウェア対策ソフトを導入
ランサムウェア対策に特化したセキュリティソフトを導入することで、リアルタイムの脅威検知やブロックが可能になります。多くの対策ソフトには、振る舞い検知機能や異常なファイル暗号化の監視機能が備わっており、感染の早期発見に役立ちます。
まとめ
ランサムウェアの対処は迅速な対応が求められます。感染が確認されたら、まずネットワークから隔離し、専門家に相談しましょう。感染調査を専門会社に依頼すれば、情報漏えいや感染経路の特定など、より詳細な分析を受けることができます。
適切な対策を講じることで、感染リスクを最小限に抑え、安全な環境を維持しましょう。