ランサムウェアとは?感染したらどうなる?特徴と対策方法を解説

コラム

ランサムウェアに感染すると、会社の顧客・従業員・システム・技術に関するデータを暗号化され、見られなくなります。システム情報を暗号化される等の場合であれば、最悪業務が強制停止となったりと甚大な被害が想定されます。

  • ウイルスに感染してしまいデータ見れず困っている
  • ランサムウェア感染していまい、身代金を支払うべきか検討している
  • ランサムウェア感染の対応を知りたい

このような人に、「ランサムウェアの正しい対処方法」「必ず行うべき初期対応」「代表的なランサムウェアの種類」と、ランサムウェア調査で実績の豊富なおすすめの調査会社を紹介します。

実績のあるランサムウェア調査会社はこちら >
本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。
目次

ランサムウェアに感染したら真っ先にやるべきこと

感染した際は、焦らず冷静に対応することが重要です。特に以下の2つの行動が真っ先に行うべき対応策です。

ネットワークから隔離する

ランサムウェア感染に気付いてまず初めに「端末とネットワークを隔離」してください。

ネットワークに繋がっていることで、不正なファイルのダウンロードが続いたり、ウイルスを拡散していたりする可能性があります。インターネットには遮断し、電源は切らずにスリープモード等で放置するようしましょう。

サイバーセキュリティ専門家へ相談する

ランサムウェアには自己判断で対処せず、感染が疑われる場合、信頼できるサイバーセキュリティ専門家に相談しましょう。専門家は専門知識を持っており、適切な対処方法やデータ復旧手段を教えてもらえるだけでなく、感染の経路や原因となる脆弱性を突き止めることもできます

ただし専門家は多く存在するため、選ぶ際には、信頼性が高く技術力があるサイバーセキュリティ専門家を選ぶことが重要です。また、セキュリティ対策の強化や予防策も並行して検討しておきましょう。

実績のあるランサムウェア調査会社はこちら >

ランサムウェアとは

ランサムウェア【ransomware】とは、悪意のあるソフトウェア(マルウェア)の一種で、感染したコンピュータやサーバー内のデータを暗号化するソフトウェアです。

攻撃者は、データの暗号化解除や破損したデータの復元を条件に高額な金銭を要求します。

IPAが発表している「情報セキュリティ10大脅威」によると、2022/23年共に、企業や組織として被害の影響が一番大きかったものが「ランサムウェアによる被害」となっており、被害や損害が大きいことが伺えます。

出典:情報セキュリティ10大脅威

ランサムウェア感染時のよくある症状

Phobos系ランサムウェアの感染画面

ランサムウェア感染時のよくある症状は、以下のようなものが挙げられます。

  • ファイルの暗号化
  • 身代金要求の表示
  • ファイル名(拡張子)の変更
  • システムの動作が不安定になる
  • 不審なプロセスや接続
  • セキュリティソフトの無効化

これらの症状が感染時に見られる場合は、素早く対処する必要があります。感染拡大を防ぐためにも、冷静に対応し、信頼できる専門家に相談することが重要です。また、バックアップを定期的に取得しておくなど、予防策も併せて考えることが大切です。

ランサムウェアの感染時、症状から感染有無を確認する方法は下記の記事でも詳しく解説しています。

【解説】ランサムウェアの感染確認方法は?被害と初動対応を紹介

ランサムウェアの感染経路

ランサムウェアの感染経路としては以下が挙げられます。

  • VPN機器から侵入された
  • リモートデスクトップから侵入された
  • メールの不審なファイル・リンクを開いた
  • Webサイトの不審なリンク・ボタンを開いた
  • 無害を装ったアプリ/ソフトウェアをインストールした
  • 偽装SMSのリンクをクリックした
  • USBメモリなどの外付け機器から感染した

特に多いのが、「VPN機器から侵入された」になっており、約7割がこの感染経路からになっています。近年のリモートワークの影響もあり、感染経路で2番目に多いのが「リモートデスクトップから侵入された」で、約15%の割合を占めています。

出典:警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」

ランサムウェアに感染してしまった場合、感染経路を特定することが非常に重要です。なぜなら感染経路を特定することで、どのような脆弱性やセキュリティ上の課題が存在しているかを把握でき、その課題を改善するための戦略的対応を検討することができるからです。

しかし、感染経路の調査は専門知識と経験が必要です。そのため、信頼できるサイバーセキュリティ専門家に相談して感染経路を調査してもらうことを強く推奨します。

ランサムウェアの感染事例

ランサムウェアに感染した際の被害事例をまとめました。

  • 市内の全小中学校が利用するネットワークでランサムウェアに感染、児童・生徒の個人情報、職員の人事情報が暗号化され閲覧できなくなった
  • 「LockBit2.0」の攻撃を受け、電子カルテルと院内LANが使用不可になった
  • 国内の大学のサーバーに不正アクセスされランサムウェアに感染、在学生・卒業生の詳細情報が格納されていた

これらの被害事例は、いずれも二重恐喝という手段が取られています。

二重恐喝とは、感染した端末からデータを盗み、そのデータを公開すると脅迫する手口です。従来のランサムウェアは、感染した端末のデータを暗号化し、復号キーを身代金と引き換えに要求していました。しかし、この手口は、データを暗号化するだけでなく、そのデータを公開すると脅迫します。これにより、被害者は身代金を支払わなければ、データが公開され、大きな損害を被る可能性が生じます。

したがって、感染した場合は、バックアップからの復旧だけでなく、信頼できるサイバーセキュリティ専門家と連携し、脆弱性や感染経路の調査、脅迫時の適切なフロー漏えいデータの確認をおこなうことが重要です。また専門家の協力を借りることで、効果的な対策を行えることから被害防止も可能です。

実績のあるランサムウェア調査会社はこちら >

ランサムウェア感染時にやってはいけないこと

ランサムウェア感染時にやってはいけないこと3つを解説します。

  • 再起動
  • バックアップ
  • 身代金の支払い

再起動

ランサムウェアに感染した際には、再起動を行わないようにしましょう。再起動を行うことで止まっていた暗号化が進行してしまう可能性があります。

バックアップ

感染後にはバックアップはしないようにしましょう。ランサムウェア自体を一緒にバックアップしてしまい、バックアップの保存先にある他のファイルにも被害を加えてしまう危険性があるためです。

ランサムウェア対策として、事前にバックアップしておくことは非常に有効的な手段であるため感染前であればバックアップはとるようにしましょう。

身代金の支払い

ランサムウェア感染直後に感染解除と引き換えに身代金を要求されますが、身代金には応じないようにしてください。

理由としては以下の2つがあります。

  • ランサムウェア被害企業の76%が身代金支払い、約3分の1がデータの復元に失敗している
  • 犯罪組織の資金源になり、犯罪の片棒を担ぐことになる

上記の理由から身代金を支払ないようにしましょう。

万が一ランサムウェアに感染したときの対処法

ランサムウェア感染の際の対処方法を解説します。

  • 感染端末をオフラインにする
  • セキュリティソフトでスキャン・ウイルス除去する
  • 復元ツールが公開されていれば試す(※リスク高い)
  • システムを復旧する
  • 専門家に相談する
実績のあるランサムウェア調査会社はこちら >

感染端末をオフラインにする

ランサムウェアは感染が拡大するリスクが高いため、感染したコンピューターを即座にネットワークから隔離しましょう。これにより、他のデバイスやシステムへの感染を防止し、被害を拡大させないようにします。

セキュリティソフトでスキャン・ウイルス除去する

セキュリティソフトを導入することで、ダウンロードされたファイルのフィルタリングや悪意あるコードの検知・削除が可能になります。

また、送受信されたメール、Webアクセス、コンピューター内のファイルなどに潜む、ランサムウェアを検知・駆除できます。

復元ツールが公開されていれば試す(※リスク高い)

ランサムウェアに感染した場合の対処方法として、「復号ツール」を使用してデータを復旧する方法があります。ただし復号ツールを使用する際には、信頼性のあるサイトからダウンロードすることが重要です。不正なウェブサイトからのダウンロードは更なる被害を招く可能性があるため避けるべきです

なお、ランサムウェア撲滅を目指す「ID Ransomware」や「No More Ransom」というプロジェクトでは、ランサムウェアの復号ツールも公開されています。

ID Ransomware

ID Ransomwareは、感染したランサムウェアの種類を特定するウェブサイトです。感染したファイルの一部を提供し、感染したランサムウェアを特定します。特定後、復元ツールが存在するかどうかを確認できます。

No More Ransom

No More Ransomは、複数のサイバーセキュリティ企業や法執行機関が提携して運営するプロジェクトです。感染したランサムウェアの復号ツールが提供されている場合があります。対応するランサムウェアの復号ツールが利用可能かどうかを確認して試すことができます。

ただし、これらの復元ツールを試す際には、リスクを理解した上で行う必要があります。一部のランサムウェアは解読が困難であり、復号ツールが提供されていても100%の成功を保証するものではありません。また感染した端末機器を調査したい場合は、サイバーセキュリティ専門家へ相談することをおすすめします。

ランサムウェア感染時のデータ復旧については下記の記事でも詳しく解説しています。

ランサムウェア感染時のデータ復旧

システムを復旧する

ランサムウェアに感染した場合、まずは冷静に対処しましょう。

データのバックアップがある場合は、ボリュームシャドウコピーを活用して復元を試みることができます。ボリュームシャドウコピーとは、コンピューターがシャットダウンしている間でもファイルのバックアップを作成できる機能です。そのため、ランサムウェアに感染していても、ボリュームシャドウコピーからファイルの復元を試みることができます。

ただしボリュームシャドウコピーからファイルの復元に成功した場合でも、ランサムウェアの感染が完全に解除されたとは限りません。またバックアップがない場合は、復元が難しい場合があるので、いずれの場合も信頼できるサイバーセキュリティ専門家に相談し、適切な対応策を立てることが重要です。

専門家に相談する

ランサムウェアに感染してしまった場合、法人の場合、感染経路や情報漏洩の範囲、被害の範囲を調査する必要があります。これは2022年4月に施行された「改正個人情報保護法」で義務化されています。

法律での「事業者の守るべき責務」は次の通りになっています。

  • 漏えい等が発生した場合、個人情報保護委員会への報告、および本人への通知が義務化される(従来は努力義務)
  • ペナルティ(罰金)の強化
  • 不正アクセスによる漏えいは件数を問わず、たとえ1件であっても本人への通知が義務化

特に、法人による命令違反で課せられる罰金刑は、上限50万円から1億円に引き上げられます。被害企業にセキュリティ体制の不備や過失が認められる場合、取引先から損害賠償請求を受ける可能性もあります。

全国50社以上ある、サイバー攻撃のインシデント調査会社から、「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の判断基準で大規模、小規模サイバー攻撃調査に対応しているおすすめの調査業者を厳選しました。

編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)

実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。

  • 「ランサムウェア感染調査や対処を個人で行うのが不安」
  • 「ランサムウェアが感染しているかどうか早く知りたい」
  • 「確実な調査や対処を行いたい」

このような場合は、「ランサムウェアに感染しているのか」「いつ、どのような経路でウイルス感染したのか」「漏洩した情報の範囲」について専門業者で調査することをおすすめします。

こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、幅広い調査に対応していておすすめです。

まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。

デジタルデータフォレンジック

費用★見積り無料 まずはご相談ください
調査対象PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービスマルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など
特長✓累積ご相談件数32,000件以上
✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済)
警視庁からの捜査協力依頼・感謝状受領の実績多数

デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計2万3千件以上の豊富な実績があります。

規模が大きな調査会社なため、官公庁や大手企業からの依頼実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。

ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。

相談・見積りを無料で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。

↓調査項目・プラン・料金などは公式サイトへ↓

デジタルデータフォレンジックに相談する >

ランサムウェアに感染したら起こりうる被害

ランサムウェアに感染したら起こりうる被害は以下の通りです。

  • システムダウンし、業務停止する
  • 身代金を支払うことによる金銭的被害
  • 企業の内部情報、個人情報の漏えい

ランサムウェアに感染した場合、上記の被害が容易に想定されます。手遅れになる前にランサムウェア感染調査のプロに調査を依頼して、原因の解明を行うようにすることをおすすめします。

実績のあるランサムウェア調査会社はこちら >

システムダウンし、業務停止する

ランサムウェア感染した場合、データやファイルの暗号化を掛けられてしまいますが、同様に業務システムに暗号化がかかることがあります。レジで使用しているPOSシステムや店舗で使用している端末機器も暗号化されてしまい、使用できなくなった事例が報告されています。

身代金を支払うことによる金銭的被害

ランサムウェア感染にかかり、データを暗号化され重要なデータ、システムなどが使用できなくなることは、企業にとって大きなダメージです。支払えば解決するだろうと思い、攻撃者が指定した金額の身代金を支払ってしまう企業は多くあります。

しかし、攻撃者が、身代金を支払う企業に目を付け、何度もウイルスを侵入させてくる可能性もあります。また、窃取した情報をリークさせないことを引き合いに再度金銭を要求してくる可能性もあります。

マルウェアを運営しているハッカー集団に金銭を支払うことで、支払った金銭は新しいマルウェアの開発等の犯罪に使われてしまいます。もし支払うと犯罪の片棒を担ぐことになるとも言えます。

こういった背景から基本的には「身代金は支払わない」スタンスでいることが重要です。

企業の内部情報、個人情報の漏えい

ランサムウェアに感染した場合、企業の機密データや個人情報を窃取されることになります。当然、情報がリークする可能性があること、犯人が意図的にリークさせることもあります。個人情報等のデータをダークウェブで販売する犯罪グループもあるため、注意が必要です。

2022年4月に「改正個人情報保護法」が施行されたこともあり、企業は情報の管理をより一層確実なものにする必要があります。

実績のあるランサムウェア調査会社はこちら >

代表的なランサムウェアの種類

代表的なランサムウェアを4つ紹介します。

  • LockBit
  • WannaCry
  • Cryptowall
  • PETYA/GoldenEye

それぞれ解説していきます。

多様なランサムウェア調査に対応している専門会社

LockBit

LookBit2.0は、ロシアを拠点に活動する世界最大のサイバー犯罪集団で、企業団体の機密情報を暗号化し、身代金を要求し、従わなければ盗んだデータをリークさせます。

LookBitランサムウェアの特徴は2つあり、1つ目は、多額な身代金を請求できそうなターゲットを自動的に探して感染を拡大させることで、2つ目は、ユーザーがPCやスマートフォンなどにアクセスできないようにすることです。

世界中の企業に以下のような被害を与えています。

  • 業務に欠かせない機能を突然停止させ業務を中断させる
  • ハッカーに身代金を渡すよう脅迫する
  • 被害者が要求に従わない場合の脅迫材料としてデータを盗難し違法に公開する

WannaCry

WannaCryとは、Windows系のコンピューターを標的とし、暗号通貨の一種であるビットコインを不当に請求するマルウェアです。自己増殖のマルウェアであることが特徴で、社内のパソコン1台でも感染してしまえば、ネットワーク経由でサーバーのファイル、社内のデータをほぼ全て暗号化されてしまう危険性があります。

世界中の企業に以下のような被害を与えています。

  • 社内ネットワークを経由して次々と「WannaCry」が増殖、世界中の支社へ拡大しわずか3時間のあいだでセキュリティの脆弱性が認められる機器すべてに感染した
  • 店頭で使用していたPCに感染し、感染画面が消費者の目に触れる画面上での出来事だったため、SNSで瞬く間に拡散された

Cryptowall

Cryptowallは、CryptoLockerという前身のマルウェアからコードを取り出し、新しい名前を付けられたものです。当初はHTTPを使用してC&Cサーバーと通信する単純なランサムウェアとしてスタートしました。

バージョンアップを繰り返し、現在は「CryptoWall 5.1」が最新のバージョンになっています。

どのバージョンも暗号化やフィッシングによる基本戦略は同じですが、ランサムウェアの技術的な機能は、検知されないように変更されています。

PETYA/GoldenEye

PETYAは、2016年に初めて確認されたランサムウェアの系統です。他の種類のランサムウェアと同様に、ファイルデータを暗号化し、身代金をビットコインで支払うように誘導します。

旧式のランサムウェアとは異なり、コンピューターのハードディスク全体をロックし、ハードディスク上の全てのファイルにアクセスできなくします。

GoldenEyeは「PETYA」の亜種にあたるランサムウェアです。2017年6月下旬には欧州を中心に、大規模なサイバー攻撃を仕掛けたことで、企業や組織のシステムが深刻な被害を受けていることが確認されています。

ランサムウェアの対策方法

ランサムウェアの対策方法は以下の通りです。

  • 不審なリンクや添付ファイルは開かない
  • OSやソフトウェアを最新の状態にアップデトする
  • ウイルス対策ソフト
  • EDR製品を導入する
  • 定期的に複数のバックアップを取る
  • スマホ・iPhoneに感染するケースもある

企業がとるべきランサムウェアの対策方法については下記の記事でも詳しく解説しています。

企業が取るべきランサムウェアへの4つの対策方法

不審なリンクや添付ファイルは開かない

ランサムウェアの感染経路として3番目に多いのが、「メールやメールに添付されていたファイルを開いた」です。見覚えのないメールや知らない人からのメールは、開かないようにしましょう。

また、不審なリンクが送られてきた場合、クリックしないようにしましょう。詐欺サイトに繋がるリンクの可能性も十分にあります。

OSやソフトウェアを最新の状態にアップデートする

OSやソフトウェアは常に最新の状態にアップデートしておきましょう。実際にウイルスが感染する経路で多いのが、しばらくアップデートされていないセキュリティに脆弱性のあるソフトウェアからの感染です。

ランサムウェア対策ソフト

ランサムウェア対策ソフトとは、身代金要求型ウイルスであるランサムウェアを検知し、デバイスに感染しないように対策をしてくれるセキュリティーツールのことです。

EDR製品を導入する

EDR(Endpoint Detection and Response)とは、サーバー、パソコン、スマートフォンなどネットワークに接続されているエンドポイントの操作や動作の監視を行い、サイバー攻撃を受けたことを発見し次第対処するソフトウェアの総称です。

以下のようなEDR製品が代表としてあります。

  • Sentinelone
  • Cybereason EDR
  • Sophos Intercept X EndpointS
  • MVISION EDR
  • ESET Enterprise Inspector
  • Microsoft Defender for Business

定期的に複数のバックアップを取る

ランサムウェアに一度感染すると、データの復旧・復元が困難です。コンピューターを一度初期化することになり、データ復旧するためにはバックアップが必要です。

バックアップしたデータまでランサムウェアに感染しないように、ネットワークの構築を工夫する必要はありますが、バックアップデータを取ることにより、システムやデータを復旧することができます。

ランサムウェア対策を兼ねたデータ保存機器を導入することを検討することも重要だと言えます。

ランサムウェアからデータを守るための最適な機器「DDBPRO」はこちら >

スマホ・iPhoneに感染するケースもある

これまでは主にWindows環境での感染が報告されていましたが、最近ではMac環境やスマホのランサムウェア感染例も増えています。スマホやIphoneを使用しているから安心はできないことを知っておく必要があります。

デジタルデータフォレンジックに相談する >

まとめ

ランサムウェアに感染した際の、対処方法・確認項目・被害事例とおすすめのランサムウェア感染調査会社を解説しました。

ランサムウェア等の重大なインシデントはすぐにでも対応する必要があり、対応スピードが解決の鍵になります。ランサムウェア調査におすすめの会社では、ランサムウェアへの対応の実績も豊富なため、ランサムウェアに感染した可能性がある場合、一度相談してみるとよいでしょう。

最新情報をチェックしよう!