ランサムウェア【ransomware】とは、悪意のあるソフトウェア(マルウェア)の一種で、感染すると以下のような症状が現れます。
- ファイルの暗号化
- 身代金要求の表示
- ファイル名(拡張子)の変更
- セキュリティソフトが無効化される
ランサムウェアに感染すると、会社の顧客・従業員・システム・技術に関するデータを暗号化され、個人情報などを盗まれることもあります。最悪の場合、業務が強制停止となったり、復旧後も取引先などから損害賠償を請求される場合もあり、甚大な被害が想定されます。
もし、ランサムウェアに感染した場合はすぐに専門のフォレンジック調査会社に相談しましょう。
▶おすすめの調査会社はこちら▶【フォレンジック調査会社一覧|選び方・依頼の流れを解説】
- ランサムウェアに感染してしまいデータが見れず困っている
- ランサムウェア感染していまい、身代金を支払うべきか検討している
- ランサムウェア感染の対応を知りたい
本記事はこのような人に、「ランサムウェアの正しい対処方法」「必ず行うべき初期対応」「代表的なランサムウェアの種類」と、ランサムウェア調査で実績の豊富な、おすすめの調査会社を紹介します。
ランサムウェアに感染したらどうなるのか
ランサムウェアに感染したら起こりうる被害は以下の通りです。
- システムダウンし、業務停止する
- 身代金を支払うことによる金銭的被害
- 企業の内部情報、個人情報の漏えい
システムダウンし、業務停止する
ランサムウェア感染した場合、データやファイルの暗号化を掛けられてしまいますが、同様に業務システムに暗号化がかかることがあります。レジで使用しているPOSシステムや店舗で使用している端末機器も暗号化されてしまい、使用できなくなった事例が報告されています。
身代金を支払うことによる金銭的被害
ランサムウェア感染にかかり、データを暗号化され重要なデータ、システムなどが使用できなくなることは、企業にとって大きなダメージです。支払えば解決するだろうと思い、攻撃者が指定した金額の身代金を支払ってしまう企業は多くあります。
しかし、攻撃者が、身代金を支払う企業に目を付け、何度もウイルスを侵入させてくる可能性もあります。また、窃取した情報をリークさせないことを引き合いに再度金銭を要求してくる可能性もあります。
マルウェアを運営しているハッカー集団に金銭を支払うことで、支払った金銭は新しいマルウェアの開発等の犯罪に使われてしまいます。もし支払うと犯罪の片棒を担ぐことになるとも言えます。
こういった背景から基本的には「身代金は支払わない」スタンスでいることが重要です。
企業の内部情報、個人情報の漏えい
ランサムウェアに感染した場合、企業の機密データや個人情報を窃取されることになります。当然、情報がリークする可能性があること、犯人が意図的にリークさせることもあります。個人情報等のデータをダークウェブで販売する犯罪グループもあるため、注意が必要です。
2022年4月に「改正個人情報保護法」が施行されたこともあり、企業は情報の管理をより一層確実なものにする必要があります。
ランサムウェア感染時にやってはいけないこと
ランサムウェア感染時にやってはいけないこと3つを解説します。
- 端末の再起動
- 感染した端末のバックアップを取る
- 身代金の支払い
端末の再起動
ランサムウェアに感染した際には、再起動を行わないようにしましょう。再起動を行うことで止まっていた暗号化が進行してしまう可能性があります。
感染した端末のバックアップを取る
感染後にはバックアップはしないようにしましょう。ランサムウェア自体を一緒にバックアップしてしまい、バックアップの保存先にある他のファイルにも被害を加えてしまう危険性があるためです。
ランサムウェア対策として、事前にバックアップしておくことは非常に有効的な手段であるため感染前であればバックアップはとるようにしましょう。
身代金の支払い
ランサムウェア感染直後に感染解除と引き換えに身代金を要求されますが、身代金には応じないようにしてください。
理由としては以下の2つがあります。
- ランサムウェア被害企業の76%が身代金支払い、約3分の1がデータの復元に失敗している
- 犯罪組織の資金源になり、犯罪の片棒を担ぐことになる
上記の理由から身代金を支払わないようにしましょう。
ランサムウェアに感染したときの対処法
ランサムウェア感染の際の対処方法を解説します。
- 感染端末をオフラインにする
- セキュリティソフトでスキャン・ウイルス除去する
- 復元ツールが公開されていれば試す(※リスク高い)
- システムを復旧する
- サイバー警察相談窓口に相談する
- ランサムウェア感染の専門家に相談する
感染端末をオフラインにする
ランサムウェアは感染が拡大するリスクが高いため、感染したコンピューターを即座にネットワークから隔離しましょう。これにより、他のデバイスやシステムへの感染を防止し、被害を拡大させないようにします。
セキュリティソフトでスキャン・ウイルス除去する
セキュリティソフトを導入することで、ダウンロードされたファイルのフィルタリングや悪意あるコードの検知・削除が可能になります。
また、送受信されたメール、Webアクセス、コンピューター内のファイルなどに潜む、ランサムウェアを検知・駆除できます。
復元ツールが公開されていれば試す(※リスク高い)
ランサムウェアに感染した場合の対処方法として、「復号ツール」を使用してデータを復旧する方法があります。ただし復号ツールを使用する際には、信頼性のあるサイトからダウンロードすることが重要です。不正なウェブサイトからのダウンロードは更なる被害を招く可能性があるため避けるべきです
なお、ランサムウェア撲滅を目指す「ID Ransomware」や「No More Ransom」というプロジェクトでは、ランサムウェアの復号ツールも公開されています。
ID Ransomware
ID Ransomwareは、感染したランサムウェアの種類を特定するウェブサイトです。感染したファイルの一部を提供し、感染したランサムウェアを特定します。特定後、復元ツールが存在するかどうかを確認できます。
No More Ransom
No More Ransomは、複数のサイバーセキュリティ企業や法執行機関が提携して運営するプロジェクトです。感染したランサムウェアの復号ツールが提供されている場合があります。対応するランサムウェアの復号ツールが利用可能かどうかを確認して試すことができます。
ただし、これらの復元ツールを試す際には、リスクを理解した上で行う必要があります。一部のランサムウェアは解読が困難であり、復号ツールが提供されていても100%の成功を保証するものではありません。また感染した端末機器を調査したい場合は、サイバーセキュリティ専門家へ相談することをおすすめします。
ランサムウェア感染時のデータ復旧については下記の記事でも詳しく解説しています。
システムを復旧する
ランサムウェアに感染した場合、まずは冷静に対処しましょう。
データのバックアップがある場合は、ボリュームシャドウコピーを活用して復元を試みることができます。ボリュームシャドウコピーとは、コンピューターがシャットダウンしている間でもファイルのバックアップを作成できる機能です。そのため、ランサムウェアに感染していても、ボリュームシャドウコピーからファイルの復元を試みることができます。
ただしボリュームシャドウコピーからファイルの復元に成功した場合でも、ランサムウェアの感染が完全に解除されたとは限りません。またバックアップがない場合は、復元が難しい場合があるので、いずれの場合も信頼できるサイバーセキュリティ専門家に相談し、適切な対応策を立てることが重要です。
サイバー警察相談窓口に相談する
サイバー警察とは、インターネットを介した犯罪やサイバー攻撃に対応する専門機関で、ランサムウェアや詐欺、個人情報流出などに関する相談を受け付けています。窓口に相談することで、被害状況に応じた適切なアドバイスを得られ、攻撃者に身代金を支払うリスクなどを回避できます。
ただし、セキュリティに関して具体的にどこを強化すべきかなどは詳細に調べてもらえないことがあるため、セキュリティ強化や公的機関への報告が必要な場合は、ランサムウェア感染の専門家にも相談することをおすすめします。
ランサムウェア感染の専門家に相談する
ランサムウェアに感染してしまった場合、法人の場合、感染経路や情報漏洩の範囲、被害の範囲を調査する必要があります。これは2022年4月に施行された「改正個人情報保護法」で義務化されています。
法律での「事業者の守るべき責務」は次の通りになっています。
- 漏えい等が発生した場合、個人情報保護委員会への報告、および本人への通知が義務化される(従来は努力義務)
- ペナルティ(罰金)の強化
- 不正アクセスによる漏えいは件数を問わず、たとえ1件であっても本人への通知が義務化
特に、法人による命令違反で課せられる罰金刑は、上限50万円から1億円に引き上げられます。被害企業にセキュリティ体制の不備や過失が認められる場合、取引先から損害賠償請求を受ける可能性もあります。
全国50社以上ある、サイバー攻撃のインシデント調査会社から、「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の判断基準で大規模、小規模サイバー攻撃調査に対応しているおすすめの調査業者を厳選しました。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。
- 「ランサムウェア感染調査や対処を個人で行うのが不安」
- 「ランサムウェアが感染しているかどうか早く知りたい」
- 「確実な調査や対処を行いたい」
このような場合は、「ランサムウェアに感染しているのか」「いつ、どのような経路でウイルス感染したのか」「漏洩した情報の範囲」について専門業者で調査することをおすすめします。
こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社なため、官公庁や大手企業からの依頼実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
ランサムウェアの感染経路
ランサムウェアの感染経路としては以下が挙げられます。
- VPN機器から侵入された
- リモートデスクトップから侵入された
- メールの不審なファイル・リンクを開いた
- Webサイトの不審なリンク・ボタンを開いた
- 無害を装ったアプリ/ソフトウェアをインストールした
- 偽装SMSのリンクをクリックした
- USBメモリなどの外付け機器から感染した
特に多いのが、「VPN機器から侵入された」になっており、約7割がこの感染経路からになっています。近年のリモートワークの影響もあり、感染経路で2番目に多いのが「リモートデスクトップから侵入された」で、約15%の割合を占めています。
出典:警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
ランサムウェアに感染してしまった場合、感染経路を特定することが非常に重要です。なぜなら感染経路を特定することで、どのような脆弱性やセキュリティ上の課題が存在しているかを把握でき、その課題を改善するための戦略的対応を検討することができるからです。
しかし、感染経路の調査は専門知識と経験が必要です。そのため、信頼できるサイバーセキュリティ専門家に相談して感染経路を調査してもらう
代表的なランサムウェアの種類
ランサムウェアには多くの種類があり、過去に作成されたランサムウェアを元に、新しいものが生み出されることもあります。ここでは代表的なランサムウェアを6つ紹介します。
- LockBit
- WannaCry
- Cryptowall
- PETYA/GoldenEye
- 8Base
- Black suit
LockBit
LookBit2.0は、ロシアを拠点に活動する世界最大のサイバー犯罪集団で、企業団体の機密情報を暗号化し、身代金を要求し、従わなければ盗んだデータをリークさせます。
LookBitランサムウェアの特徴は2つあり、1つ目は、多額な身代金を請求できそうなターゲットを自動的に探して感染を拡大させることで、2つ目は、ユーザーがPCやスマートフォンなどにアクセスできないようにすることです。
世界中の企業に以下のような被害を与えています。
- 業務に欠かせない機能を突然停止させ業務を中断させる
- ハッカーに身代金を渡すよう脅迫する
- 被害者が要求に従わない場合の脅迫材料としてデータを盗難し違法に公開する
出典:kaspersky
WannaCry
WannaCryとは、Windows系のコンピューターを標的とし、暗号通貨の一種であるビットコインを不当に請求するマルウェアです。自己増殖のマルウェアであることが特徴で、社内のパソコン1台でも感染してしまえば、ネットワーク経由でサーバーのファイル、社内のデータをほぼ全て暗号化されてしまう危険性があります。
世界中の企業に以下のような被害を与えています。
- 社内ネットワークを経由して次々と「WannaCry」が増殖、世界中の支社へ拡大しわずか3時間のあいだでセキュリティの脆弱性が認められる機器すべてに感染した
- 店頭で使用していたPCに感染し、感染画面が消費者の目に触れる画面上での出来事だったため、SNSで瞬く間に拡散された
出典:kaspersky
Cryptowall
Cryptowallは、CryptoLockerという前身のマルウェアからコードを取り出し、新しい名前を付けられたものです。当初はHTTPを使用してC&Cサーバーと通信する単純なランサムウェアとしてスタートしました。
バージョンアップを繰り返し、現在は「CryptoWall 5.1」が最新のバージョンになっています。
どのバージョンも暗号化やフィッシングによる基本戦略は同じですが、ランサムウェアの技術的な機能は、検知されないように変更されています。
出典:proofpoint
PETYA/GoldenEye
PETYAは、2016年に初めて確認されたランサムウェアの系統です。他の種類のランサムウェアと同様に、ファイルデータを暗号化し、身代金をビットコインで支払うように誘導します。
旧式のランサムウェアとは異なり、コンピューターのハードディスク全体をロックし、ハードディスク上の全てのファイルにアクセスできなくします。
GoldenEyeは「PETYA」の亜種にあたるランサムウェアです。2017年6月下旬には欧州を中心に、大規模なサイバー攻撃を仕掛けたことで、企業や組織のシステムが深刻な被害を受けていることが確認されています。
出典:kaspersky
8base
8baseは2022年3月に初めて確認された攻撃グループで、フィッシング詐欺などの手口で不正アクセスを行います。過去に製造業、建設業など中小企業を中心にデータの暗号化と窃取した情報の暴露を行う「二重脅迫」の被害事例が報告されています。
出典:Trend Micro
Black suit
BlackSuit(ブラックスーツ)は、2023年5月に初めて確認された、WindowsおよびLinuxを標的とするランサムウェア攻撃グループです。このグループは、ロシア系のランサムウェアグループ「Conti」や「Royal」と関連があるとされています。
国内では2024年6月に大手企業のKADOKAWAが攻撃を受け、データの暗号化や情報漏えいが発生し、一部のサービスが停止に追い込まれました。
出典:Trend Micro
以上で紹介したもの以外にも多くのランサムウェアが存在します。ランサムウェアの感染時、症状から感染有無を確認したい場合、下記の記事で確認方法を詳しく解説しています。
ランサムウェアの感染事例
ランサムウェアに感染した際の被害事例をまとめました。
- 市内の全小中学校が利用するネットワークでランサムウェアに感染、児童・生徒の個人情報、職員の人事情報が暗号化され閲覧できなくなった
- 「LockBit2.0」の攻撃を受け、電子カルテルと院内LANが使用不可になった
- 国内の大学のサーバーに不正アクセスされランサムウェアに感染、在学生・卒業生の詳細情報が格納されていた
これらの被害事例は、いずれも二重恐喝という手段が取られています。
二重恐喝とは、感染した端末からデータを盗み、そのデータを公開すると脅迫する手口です。従来のランサムウェアは、感染した端末のデータを暗号化し、復号キーを身代金と引き換えに要求していました。しかし、この手口は、データを暗号化するだけでなく、そのデータを公開すると脅迫します。これにより、被害者は身代金を支払わなければ、データが公開され、大きな損害を被る可能性が生じます。
Mac環境・iPhoneに感染するランサムウェアもある
またこれまでは主にWindows環境での感染が報告されていましたが、最近では高いセキュリティを備えているiPhoneなどスマホのランサムウェア感染例も増えています。
端末に関わらず、ランサムウェアに感染した場合は、バックアップからの復旧だけでなく、信頼できるサイバーセキュリティ専門家と連携し、脆弱性や感染経路の調査、脅迫時の適切なフロー漏えいデータの確認をおこなうことが重要です。また専門家の協力を借りることで、効果的な対策を行えることから被害防止も可能です。
ランサムウェアの対策方法
ランサムウェアに対し、有効とされる対策方法は以下の通りです。
- OSやVPN機器を最新版にアップデートする
- 定期的に複数のバックアップを取る
- アクセスの権限を最小化する
- メールのセキュリティを強化する
- ランサムウェア対策ソフトを導入する
企業がとるべきランサムウェアの対策方法については下記の記事でも詳しく解説しています。
OSやVPN機器を最新の状態にアップデートする
ランサムウェア感染を防ぐためには、OSやVPN機器を常に最新の状態に保つことが重要です。攻撃者は、古いソフトウェアやシステムの既知の脆弱性を悪用して不正侵入を試みます。定期的なアップデートにより、これらの脆弱性が修正され、攻撃のリスクを大幅に低減できます。
特にVPN機器は、リモートアクセスを可能にするため攻撃対象になりやすいため、適切なパッチを適用することでセキュリティを強化できます。ファームウェアの更新と忘れずに行いましょう。
定期的に複数のバックアップを取る
ランサムウェアに一度感染すると、データの復旧・復元が困難です。コンピューターを一度初期化することになり、データ復旧するためにはバックアップが必要です。
バックアップしたデータまでランサムウェアに感染しないように、ネットワークの構築を工夫する必要はありますが、バックアップデータを取ることにより、システムやデータを復旧することができます。
ランサムウェア対策を兼ねたデータ保存機器を導入することを検討することも重要だと言えます。
アクセスの権限を最小化する
ランサムウェア感染を予防するために、ユーザーやシステムが業務上必要な最低限の権限のみを持つよう設定することも効果があります。
アクセス権限を制限することで、ランサムウェアが感染した範囲を特定のフォルダやユーザーに限定でき、被害の拡大を防げます。さらに、不要な特権アカウントを無効化し、重要データやシステムへのアクセスを厳格に管理することで、攻撃者がシステム内部での活動を進めることを阻止できます。
メールのセキュリティを強化する
近年のランサムウェアはフィッシングメールを介してシステムに侵入することがあります。これを防ぐためには、メールフィルタリングやスパム対策を導入し、不審なメールや添付ファイルを自動で検出・隔離する仕組みを整えましょう。
さらに、不審なリンクや添付ファイルを開かないよう従業員を指導し、メールに多要素認証(MFA)を導入することで、不正アクセスのリスクを低減し、組織全体のセキュリティを強化できます。
ランサムウェア対策ソフトを導入する
ランサムウェア対策には、専用ソフトウェアやEDR(Endpoint Detection and Response)の導入が効果的です。従来型のウイルス対策ソフトは既知の脅威に対応する一方、EDRは未知の攻撃や高度な脅威にも対応可能です。EDRは、端末(エンドポイント)の動作をリアルタイムで監視し、異常な挙動を検出すると迅速に対応します。
これにより、ランサムウェアの初期段階での侵入やデータ暗号化の試みを未然に防ぐことができます。また、EDRは攻撃の痕跡を記録し、原因究明や再発防止にも役立ちます。
まとめ
ランサムウェアに感染した際の、対処方法・確認項目・被害事例とおすすめのランサムウェア感染調査会社を解説しました。
ランサムウェア等の重大なインシデントはすぐにでも対応する必要があり、対応スピードが解決の鍵になります。ランサムウェア調査におすすめの会社では、ランサムウェアへの対応の実績も豊富なため、ランサムウェアに感染した可能性がある場合、一度相談してみるとよいでしょう。