ランサムウェアに感染時は、専門家の助言を得ることで適切な対応策を検討することが重要です。
ランサムウェアに感染した場合はすぐに専門のフォレンジック調査会社に相談しましょう。
▶おすすめの調査会社はこちら▶【フォレンジック調査会社一覧|選び方・依頼の流れを解説】
そこで本記事では、企業が取るべき対処方法と、ランサムウェア調査で実績の豊富な、おすすめの調査会社を紹介します。ランサムウェア感染時は、ぜひ参考にしてください。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
ランサムウェアの感染経路とは?
ランサムウェアはさまざまな方法で感染しますが、主な感染経路は以下のようになります。
- VPN機器から感染
- リモートデスクトップから感染
- メールの添付ファイルから感染
- 悪意のあるWebサイトを訪問する
- 不正なソフトウェアやファイルのダウンロード
- ランサムウェアに感染したUSBメモリやHDDの接続
VPN機器から感染する
ランサムウェアの感染経路のうち「VPN機器からの侵入」が最も多く、約70%がこの感染経路によるものです。
VPNとは、ユーザーが外部からプライベートネットワークに接続するための技術です。リモートワーカーや外出先の従業員が企業のネットワークに安全にアクセスできるだけでなく、地理的に離れた拠点同士を安全に接続することができます。
VPN/RDP経由でランサムウェアが感染する原因は、脆弱な認証情報、ネットワーク上の脆弱性などが考えられます。
リモートデスクトップから感染
「RDP(リモートデスクトップ)からの侵入」は警察庁のデータによると、ランサムウェア感染経路としては全体の2番目に多く、約15%を占めています。
RDPとは遠隔地にあるPCなどのデスクトップをインターネットを介して手元の端末から遠隔操作できる仕組みを指します。主にリモートワークの実施とともに活用されています。
WindowsOSで使用されるRDP接続のプロトコルを利用して、ユーザーIDやパスワードを盗むか、RDPの脆弱性を悪用して侵入を試みることで、攻撃者は遠隔にあるコンピューターをランサムウェアに感染させる場合があります。
RDP経由で外部ネットワークに接続する場合、機密情報を保護するために、適切な認証情報を使用することが必要です。また、ネットワーク上の脆弱性についても、定期的な脆弱性スキャンを実施し、問題を特定して対処することがランサムウェア感染を予防するために必要になります。
出典:警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
メールの添付ファイルから感染
フィッシングメールに偽装された添付ファイルも感染経路となることがあります。不正なリンクをクリックするか、感染したファイルを開くことでランサムウェアが実行されます。
ランサムウェアに感染するフィッシングメールのよくある件名には、配達通知、支払い関連、リセット通知などがあります。受信者は注意を払い、疑わしいメールは開かずに削除することが重要です。
悪意のあるWebサイトを訪問する
これは感染サイトへの訪問や偽装された広告をクリックすることで感染する方法です。
そもそもアクセスしないように、ウェブフィルタリングとブラウザのセキュリティ拡張機能を活用して、危険なWebサイトへのアクセスをブロックする対策が必要です。
これらの対処方法と予防策を組み合わせることで、企業はランサムウェアの被害を最小限に抑え、セキュリティレベルを向上させることができます。
不正なソフトウェアやファイルのダウンロード
悪意のあるWebサイトやP2Pファイル共有サイトからソフトウェア、アプリケーション、ファイルをダウンロードするとランサムウェアに感染する場合があります。
攻撃者は、偽のダウンロードボタンや偽のソフトウェア更新メッセージを使用して、ユーザーに不正なファイルをダウンロードさせようとします。また、フリーソフトを装ったランサムウェアを含むファイルをサイト上に設置することもあります。
ランサムウェアに感染したUSBメモリやHDDの接続
USBメモリや外付けハードディスクなど、外部記録メディアを介したランサムウェア感染経路も考えられます。デバイスに保存された感染ファイルが自動的に実行されることで、ランサムウェアに感染していない端末に感染が広がる可能性があります。
ランサムウェア感染における企業リスク
ランサムウェア感染に感染することで以下のリスクが発生することがあります。
- 営業停止のリスク
- 顧客や取引先の信頼を失うリスク
- システムの復旧対応のコスト
- 情報漏えいのリスク
営業停止のリスク
企業のシステムがランサムウェアに感染すると重要なデータやシステムが暗号化され、業務に必要不可欠なファイルにアクセスできなくなり、営業停止に陥るリスクがあります。
例えば、製造業では生産ラインの停止、医療機関では電子カルテや診療報酬システムが影響を受け、診療継続が困難になる事態も想定されます。ランサムウェア感染から復旧するまで1か月以上かかる場合もあり、収益面で企業の経営に重大な影響を及ぼします。
顧客や取引先の信頼を失うリスク
企業がランサムウェアに感染することによる営業停止や情報漏えいなどの被害によって顧客や取引先と関係が著しく悪化することがあります。感染状況によっては数十万件に及ぶ取引先や顧客のカード情報や口座情報などの個人情報が漏洩し、取引停止や損害賠償請求といった裁判に発展する可能性もあります。
企業の場合、サイバーセキュリティ対策の不備が、信頼の低下や株価下落などにつながり、最悪の場合は倒産の可能性もあります。
システムの復旧対応のコスト
ランサムウェア感染後のシステム復旧は、感染したシステムの特定、データの復旧、再発防止策の実施などの手順があります。ランサムウェア感染調査の外注費用や再発防止のためのセキュリティ強化策の導入には追加のコストが発生し、企業の予算に大きな影響を与えることがあります。
なおランサムウェア感染時に、システムの復旧と引き換えに身代金を要求されることがありますが、復号やシステムの復旧が行われる確証はなく、更に追加で身代金を要求される可能性もあります。
また支払った身代金は攻撃者の資金となり、責任問題となる場合もあるため支払わないようにしましょう。
情報漏えいのリスク
端末がランサムウェアに感染すると、侵入時にデータを盗み出した上でデータを暗号化することがあります。その後、身代金の支払いがなければ、盗んだデータを攻撃者のサイトで不特定多数へ公開するといった「二重脅迫」と呼ばれる手口が使われることがあります。
二重脅迫が行われた時点で社内の機密情報や顧客、社員の個人情報は盗まれた可能性が高く、身代金を支払っても情報が公開されない保証がないのが現状です。
ランサムウェアに感染したら、一度専門家に相談し、情報漏えい調査で何人の、何の情報が漏洩した可能性があるか調査し、パスワードなどの変更やクレジットカードの停止などを速やかに行うことをおすすめします。
ランサムウェアに感染したら企業が行うべき6つ対応のステップ
ランサムウェアに感染した場合、適切な「初動対応」が欠かせません。まず不審な動作やファイルの暗号化など感染の症状を確認し、サイバーセキュリティ専門家に連絡し、感染経路の特定や感染内容の解析を依頼します。ただし、これらの対応はステップを順序立てて実施する必要があります。
以下では、ランサムウェア感染時に企業が実施すべき6つの対応策を紹介します。
- ネットワークを遮断する
- 警察や行政へ通報する
- 社内で対応策を実施する
- 感染範囲を確認する
- 復号ツールを探す
- バックアップをもとにシステムを復旧する
- 専門家へ相談する
ネットワークを遮断する
感染拡大を防ぐために、感染したコンピューターやサーバーをネットワークから隔離する必要があります。これにより、感染が他のシステムやデバイスに広がるのを阻止します。
警察や行政へ通報する
ランサムウェアに感染すると、企業の機密データや漏えいする恐れがあります。また、犯人が情報を漏らすこともあります。
そのため、ランサムウェア攻撃が発生した場合は、改正個人情報保護法に基づく対応が必要です。改正個人情報保護法では、個人情報の漏えいが発生した場合は、速やかに個人情報保護委員会への報告、および被害者本人への通知が義務付けられています。
ランサムウェアに感染した場合は、関連する行政機関に通報し、適切な対応策を決定しましょう。
ランサムウェア感染時、改正個人情報保護法で調査・報告が義務化
ランサムウェアに感染してしまった場合、法人の場合、感染経路や情報漏洩の範囲、被害の範囲を調査する必要があります。これは2022年4月に施行された「改正個人情報保護法」で義務化されています。
法律での「事業者の守るべき責務」は次の通りになっています。
- 漏えい等が発生した場合、個人情報保護委員会への報告、および本人への通知が義務化される(従来は努力義務)
- ペナルティ(罰金)の強化
- 不正アクセスによる漏えいは件数を問わず、たとえ1件であっても本人への通知が義務化
特に、法人による命令違反で課せられる罰金刑は、上限50万円から1億円に引き上げられます。被害企業にセキュリティ体制の不備や過失が認められる場合、取引先から損害賠償請求を受ける可能性もあります。
感染範囲を確認する
感染範囲の確認は感染対応の重要なステップです。感染範囲を把握することで、復旧に必要な作業や期間を見積もることができます。また企業や組織にとっての被害の大きさを評価できることから、作業の優先順位付けや復旧作業の計画立案が可能となります。
復号ツールを探す
身代金を支払わずにデータを復旧する方法として、「復号ツール」の使用があります。
復号ツールは、暗号化されたファイルを元の状態に戻すために使用される特殊なプログラムです。これはセキュリティ企業や公的機関が復号ツールを提供することがあります。たとえば「ID Ransomware」や「No More Ransom」では、感染したランサムウェアの特定と復号ツールの提供が行われています。
ただし、復号ツールを試す際にはリスクを理解しておく必要があります。一部のランサムウェアでは未対応で成功を保証するものではありません。自力での対応が困難と感じられる場合は、サイバーセキュリティー専門家のまで相談することも重要です。
バックアップをもとにシステムを復旧する
定期的なバックアップがあれば、感染前のデータを復旧し、システムを元の状態に戻すことができます。ただし、バックアップデータを使用する前に、感染したファイルとバックアップデータを比較し、感染していないことを確認します。またバックアップの内容が古すぎる場合、データ消失が発生する恐れがあるため、適切な確認を挟んだうえでバックアップからの復旧を行いましょう。
なお、バックアップからの復旧は重要な対処方法ですが、セキュリティ上の問題を解決するには不十分です。バックアップだけでは新たな脆弱性による感染リスクが残り、セキュリティ対策の欠如も解消できません。
したがって、ランサムウェア感染時にはバックアップからの復旧に加え、信頼できるサイバーセキュリティ専門家に相談し、感染原因の特定、感染範囲の把握、セキュリティ対策の強化が重要です。
特に専門家はインシデント対応にまつわる専門知識を持っており、感染の経路や原因となる脆弱性を突き止めることができます。
専門家へ相談する
サイバーセキュリティの専門家は、専門知識とインシデント対応の経験に豊富であり、感染経路(脆弱性)や被害実態を迅速に把握し、適切な対処方法を提案することができます。
近年のランサムウェアは企業の端末を標的としており、単に暗号化されたシステムを復旧しただけでは、感染経路となった脆弱性が放置されてしまいます。
ランサムウェアによっては、一般的な感染経路と言われるVPNやRDPの脆弱性以外の経路で感染が行われる可能性もあるため、再感染や不正アクセスを防ぐためにサイバーセキュリティの専門家に相談することが重要です。
適切な相談先の選び方とは
ランサムウェア対応の専門家やセキュリティ調査会社を選ぶ際は、長年の経験と幅広い専門知識を持っていることが求められます。その会社がこれまでにどれだけのランサムウェア対応の経験を持っているか、どのような成果を上げてきたかを調べることが重要です。
また、ランサムウェアの感染は時間が重要な要素となります。感染が発覚したら即座に対応する必要がありますので、専門家が迅速に対応できるかどうかも確認してください。
ここからは全国50社以上ある、サイバー攻撃のインシデント調査会社から、「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の判断基準で大規模、小規模サイバー攻撃調査に対応しているおすすめの調査業者を厳選しました。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。
- 「ランサムウェア感染調査や対処を個人で行うのが不安」
- 「ランサムウェアが感染しているかどうか早く知りたい」
- 「確実な調査や対処を行いたい」
このような場合は、「ランサムウェアに感染しているのか」「いつ、どのような経路でウイルス感染したのか」「漏洩した情報の範囲」について専門業者で調査することをおすすめします。
こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社なため、官公庁や大手企業からの依頼実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
ランサムウェア感染の予防策
ランサムウェアは、企業にとって大きな脅威です。しかし、ランサムウェアの感染を未然に防ぐために、企業が取るべき対応は下記のとおりです。
- 最新のOSやセキュリティパッチを適用する
- 多要素認証や強力なパスワードに再設定する
- 不審なメールの添付ファイルやリンクをクリックしない
- 不正なWebサイトにアクセスしない
- データのバックアップを定期的に作成する
- ランサムウェア対策ソフトを導入する
最新のOSやセキュリティパッチを適用する
セキュリティパッチは、既知の脆弱性を修正するためにリリースされます。定期的にシステムとソフトウェアのセキュリティパッチを更新し、既知の脆弱性を修正することで、ランサムウェアの感染を防ぐことができます。
さらに、最新のセキュリティパッチを適用することで、新たに発見された脆弱性を修正することができます。
多要素認証や強力なパスワードに再設定する
強力なパスワードを使用することで、マルウェアの推測を困難にすることができます。また、定期的にパスワードを変更することで、セキュリティを強化することができます。
強力なパスワードの例としては、大文字と小文字、数字、記号を組み合わせたものがあります。
不審なメールの添付ファイルやリンクをクリックしない
不審な送信者からのメールに添付されたファイルやリンクを開くことは、ランサムウェアに感染する可能性があります。そのため、不審なメールの添付ファイルやリンクをクリックしないように注意することが重要です。さらに、不審なメールを受信した場合は、企業のセキュリティ担当者に報告することが必要です。
不正なWebサイトにアクセスしない
ランサムウェアが仕掛けられた不正なWebサイトにアクセスすることは、ランサムウェアに感染する可能性があります。そのため、不正なWebサイトにアクセスすることを避け、信頼できるサイトのみを利用することが重要です。
また、不正なWebサイトを発見した場合は、企業のセキュリティ担当者に報告することが必要です。
データのバックアップを定期的に作成する
データのバックアップを定期的に作成することで、ランサムウェアの感染時にデータを復旧することができます。バックアップは、社内の別の場所やクラウドサービスなどに保存することができます。また、バックアップの更新も定期的に行うことが重要です。
これらの対応策を実施することで、企業はランサムウェアの被害を最小限に抑え、セキュリティを強化できます。
ランサムウェア対策ソフトを導入する
新種のランサムウェア感染に対応するために、従来のウイルス対策ソフトだけでは不十分な場合があります。ランサムウェア対策ソフトは、Webフィルタリング、ウイルスの検知・駆除、リアルタイム保護、振る舞い解析などの機能を備えています。
エンドポイント保護、ネットワーク監視、データバックアップなど、多層的なアプローチを採用することで、攻撃の早期検知・防止が可能となります。最新のセキュリティツールを導入し、常に更新することで、組織の防御レベルを高めることができます。
まとめ
この記事ではランサムウェア感染の主な感染経路と感染時の対応方法とおすすめの調査会社について説明しました。
ランサムウェアの感染拡大を防ぐためには、感染時の初動対応を迅速に行う必要があります。ただし、企業の端末など、感染端末が複数台に及ぶと感染経路の特定や情報漏洩調査を自力で行うのは困難です。
このような場合、ランサムウェア感染調査会社に相談することで、感染による被害範囲や感染経路などを特定し、適切なセキュリティ対策につなげられる場合があります。