ランサムウェア【ransomware】とは、悪意のあるソフトウェア(マルウェア)の一種で、感染すると以下のような症状が現れます。
- ファイルの暗号化
- 身代金要求の表示
- ファイル名(拡張子)の変更
- セキュリティソフトが無効化される
ランサムウェアに感染すると、会社の顧客・従業員・システム・技術に関するデータを暗号化され、個人情報などを盗まれることもあります。最悪の場合、業務が強制停止となったり、復旧後も取引先などから損害賠償を請求される場合もあり、甚大な被害が想定されます。
もし、ランサムウェアに感染した場合はすぐに専門のフォレンジック調査会社に相談しましょう。
▶おすすめの調査会社はこちら▶【フォレンジック調査会社一覧|選び方・依頼の流れを解説】
- ランサムウェアに感染してしまいデータが見れず困っている
- ランサムウェア感染してしまい、身代金を支払うべきか検討している
- ランサムウェア感染の対応を知りたい
本記事は、ランサムウェアに感染したらどうなるか解説し、感染時の対処法と、ランサムウェア調査で実績の豊富な、おすすめの調査会社を紹介します。
ランサムウェアに感染したらどうなるのか
ランサムウェアに一度感染すると、被害はデータの暗号化や消失にとどまらず、業務の停止、情報漏えい、経済的損失、さらに社会的信用の喪失にまで広がる可能性があります。ここでは、実際にランサムウェアに感染した場合に何が起こるのか、その代表的な影響について具体的に解説していきます
- 端末が暗号化されてロックされる
- 企業の内部情報や個人情報が漏えい
- 暗号化解除や情報の非公開と引き換えに身代金を要求される
端末が暗号化されてロックされる
ランサムウェアに感染すると、最初に起こるのが端末内のファイルやシステムの暗号化です。攻撃者は被害者のPCやサーバーに不正なプログラムを送り込み、業務で使用している文書ファイル、画像、データベースなどを強力な暗号方式でロックします。
その結果、ユーザーは自分のデータに一切アクセスできなくなります。感染した端末の画面上には「ファイルを復旧したければ期限内に身代金を支払え」といった脅迫メッセージが表示され、情報の暴露やデータの消去と引き換えに身代金を要求します。
企業の内部情報や個人情報が漏えい
近年のランサムウェア攻撃は、データの暗号化だけでなく、暗号化前にデータを盗み出す「二重脅迫型」が主流です。これは攻撃者はネットワークに侵入した後、企業の機密情報や顧客の個人情報を密かに取得し、ダークウェブ上の運営サイト上に不特定多数にむけて公開することもあります。
これにより、企業は情報漏えいによる法的責任や社会的信用の低下という二次被害に直面します。特に個人情報保護法や業界のコンプライアンスに違反する恐れがあるため、深刻な経営リスクにつながるのです。
暗号化解除や情報の非公開と引き換えに身代金を要求される
ランサムウェアの目的は金銭の獲得であり、攻撃者は暗号化したデータの復旧キーや盗んだ情報の非公開と引き換えに、被害者に対して身代金を要求します。多くの場合、支払いは追跡が困難な仮想通貨(ビットコインなど)で求められ、金額は数十万円から数億円に上ることもあります。
しかし、身代金を支払ったとしてもデータが完全に復元される保証はなく、むしろ再攻撃の標的にされるリスクもあります。そのため、セキュリティ専門家や法執行機関は、原則として身代金の支払いを推奨していません。
ランサムウェアの主な感染経路
ランサムウェアの感染経路としては以下が挙げられます。
- VPN機器から侵入された
- リモートデスクトップから侵入された
- メールの不審なファイル・リンクを開いた
- Webサイトの不審なリンク・ボタンを開いた
- 無害を装ったアプリ/ソフトウェアをインストールした
- USBメモリなどの外付け機器から感染した
特に多いのが、「VPN機器から侵入された」になっており、約7割がこの感染経路からになっています。近年のリモートワークの影響もあり、感染経路で2番目に多いのが「リモートデスクトップから侵入された」で、約15%の割合を占めています。
出典:警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
ランサムウェアに感染してしまった場合、感染経路を特定することが非常に重要です。なぜなら感染経路を特定することで、どのような脆弱性やセキュリティ上の課題が存在しているかを把握でき、その課題を改善するための戦略的対応を検討することができるからです。
ランサムウェアの感染経路とは? 最新の傾向と防止対策を解説>
ランサムウェア感染時にやってはいけないこと
ランサムウェア感染時にやってはいけないこと3つを解説します。
- 端末の再起動
- 感染した端末のバックアップを取る
- 身代金の支払い
端末の再起動
ランサムウェアに感染した際には、再起動を行わないようにしましょう。再起動を行うことで止まっていた暗号化が進行してしまう可能性があります。
感染した端末のバックアップを取る
感染後にはバックアップはしないようにしましょう。ランサムウェア自体を一緒にバックアップしてしまい、バックアップの保存先にある他のファイルにも被害を加えてしまう危険性があるためです。
ランサムウェア対策として、事前にバックアップしておくことは非常に有効的な手段であるため感染前であればバックアップはとるようにしましょう。
身代金の支払い
ランサムウェア感染直後に感染解除と引き換えに身代金を要求されますが、身代金には応じないようにしてください。
理由としては以下の2つがあります。
- ランサムウェア被害企業の76%が身代金支払い、約3分の1がデータの復元に失敗している
- 犯罪組織の資金源になり、犯罪の片棒を担ぐことになる
上記の理由から身代金を支払わないようにしましょう。
ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説>
ランサムウェアに感染したときの対処法
ランサムウェア感染の際の対処方法を解説します。
- 感染端末をオフラインにする
- パスワードを変更する
- セキュリティ上の脆弱性をふさぐ
- 復元ツールが公開されていれば試す(※リスク高い)
- 警察に相談する
- ランサムウェア感染の専門家に相談する
感染端末をオフラインにする
ランサムウェアは感染が拡大するリスクが高いため、感染したコンピューターを即座にネットワークから隔離しましょう。これにより、他のデバイスやシステムへの感染を防止し、被害を拡大させないようにします。
パスワードを変更する
感染が判明したら、すぐに社内システムや外部サービスのすべてのパスワードを変更することが重要です。ランサムウェアは端末だけでなく、ログイン情報を盗み取る機能を持つものもあり、アカウント乗っ取りによる二次被害のリスクがあります。
特に優先すべきは、管理者権限のあるアカウント、VPNやメール、クラウドサービスのパスワードです。変更時は以下の手順を参考にしてください。
【手順】
- 感染端末ではなく、安全な端末からログインする
- 優先度の高いアカウントから順に変更
- 強固なパスワードを使用(英数記号12文字以上)
- 二要素認証を有効にする
セキュリティ上の脆弱性をふさぐ
ランサムウェアは、OSやアプリケーションの脆弱性を悪用して侵入するケースが多いため、感染後は直ちにパッチの適用や設定の見直しを行い、再感染のリスクを排除する必要があります。以下の対策が有効です。
【手順】
- WindowsやmacOSなど、使用しているOSを最新バージョンにアップデートする
- 使用中のソフトウェア(ブラウザ、Office、Javaなど)も最新版へ更新
- 使用していないポートの遮断、不要なサービスの無効化
- セキュリティソフトでフルスキャンを実施し、残存する脅威を除去
こうした対処により、同様の手口での再攻撃を防止できます
復元ツールが公開されていれば試す(※リスク高い)
ランサムウェアに感染した場合の対処方法として、「復号ツール」を使用してデータを復旧する方法があります。ただし復号ツールを使用する際には、信頼性のあるサイトからダウンロードすることが重要です。不正なウェブサイトからのダウンロードは更なる被害を招く可能性があるため避けるべきです
なお、ランサムウェア撲滅を目指す「ID Ransomware」や「No More Ransom」というプロジェクトでは、ランサムウェアの復号ツールも公開されています。
ID Ransomware
ID Ransomwareは、感染したランサムウェアの種類を特定するウェブサイトです。感染したファイルの一部を提供し、感染したランサムウェアを特定します。特定後、復元ツールが存在するかどうかを確認できます。
No More Ransom
No More Ransomは、複数のサイバーセキュリティ企業や法執行機関が提携して運営するプロジェクトです。感染したランサムウェアの復号ツールが提供されている場合があります。対応するランサムウェアの復号ツールが利用可能かどうかを確認して試すことができます。
ただし、これらの復元ツールを試す際には、リスクを理解した上で行う必要があります。一部のランサムウェアは解読が困難であり、復号ツールが提供されていても100%の成功を保証するものではありません。
ランサムウェア感染時のデータ復旧について詳しくは下記の記事でも詳しく解説しています。
警察に相談する
ランサムウェアによる被害は明確なサイバー犯罪であり、法的な対応や捜査を促進するためにも、早期に警察(サイバー犯罪対策課など)へ相談すべきです。特に企業の場合、被害届の提出により、情報漏えいの事実確認や法的責任を明確にできます。相談の際は以下の情報を準備しましょう。
【準備事項】
- 感染日時と影響の範囲(端末数、被害データ)
- 脅迫メッセージや支払い要求の内容(スクリーンショットなど)
- 不審なファイルや通信ログ
警察に被害届を出す前に、ランサムウェア感染調査会社と連携し、証拠保全や調査を行うことで、後の捜査や内部調査で重要な判断材料になります。
ランサムウェア感染の専門家に相談する
ランサムウェアに感染した場合、法人では感染経路の特定や情報漏えいの有無、被害範囲の調査が法的に求められます。これは、2022年4月施行の改正個人情報保護法により、漏えい発生時の報告義務や通知義務が明確に定められたためです。違反すれば、最大1億円の罰金や損害賠償のリスクもあります。
フォレンジック調査会社に相談すれば、攻撃の侵入経路や原因の解明、情報漏えいの有無や範囲の分析を専門的に行い、公的機関に提出可能な調査報告書の作成まで対応してくれます。さらに、再発防止策の提案や復旧支援も含まれており、単なる技術対応を超えた経営リスクへの備えとしても重要な役割を果たします。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
全国50社以上ある、サイバー攻撃のインシデント調査会社から、「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の判断基準で大規模、小規模サイバー攻撃調査に対応しているおすすめの調査業者を厳選しました。
「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。
- 「ランサムウェア感染調査や対処を個人で行うのが不安」
- 「ランサムウェアが感染しているかどうか早く知りたい」
- 「確実な調査や対処を行いたい」
このような場合は、「ランサムウェアに感染しているのか」「いつ、どのような経路でウイルス感染したのか」「漏洩した情報の範囲」について専門業者で調査することをおすすめします。
こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社なため、官公庁や大手企業からの依頼実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
ランサムウェアの感染事例
実際にランサムウェアに感染した際の被害事例をまとめました。
- 市内の全小中学校が利用するネットワークでランサムウェアに感染、児童・生徒の個人情報、職員の人事情報が暗号化され閲覧できなくなった
- 「LockBit2.0」の攻撃を受け、電子カルテと院内LANが使用不可になった
- 国内の大学のサーバーに不正アクセスされランサムウェアに感染、在学生・卒業生の詳細情報が格納されていた
これらの被害事例は、いずれも二重恐喝という手段が取られています。
二重恐喝とは、感染した端末からデータを盗み、そのデータを公開すると脅迫する手口です。従来のランサムウェアは、感染した端末のデータを暗号化し、復号キーを身代金と引き換えに要求していました。
しかし、この手口は、データを暗号化するだけでなく、そのデータを公開すると脅迫します。これにより、被害者は身代金を支払わなければ、データが公開され、大きな損害を被る可能性が生じます。
どの端末であってもランサムウェアに感染した場合は、バックアップからの復旧だけでなく、信頼できるサイバーセキュリティ専門家と連携し、脆弱性や感染経路の調査、脅迫時の適切なフロー、漏えいデータの確認をおこなうことが重要です。また専門家の協力を借りることで、効果的な対策を行えることから被害防止も可能です。
ランサムウェア感染の対策方法
ランサムウェアに対し、有効とされる対策方法は以下の通りです。
- OSやVPN機器を最新版にアップデートする
- 定期的に複数のバックアップを取る
- アクセスの権限を最小化する
- メールのセキュリティを強化する
- ランサムウェア対策ソフトを導入する
- ランサムウェア感染時の対応計画を作成しておく
企業がとるべきランサムウェアの対策方法については下記の記事でも詳しく解説しています。
OSやVPN機器を最新の状態にアップデートする
ランサムウェア感染を防ぐためには、OSやVPN機器を常に最新の状態に保つことが重要です。攻撃者は、古いソフトウェアやシステムの既知の脆弱性を悪用して不正侵入を試みます。定期的なアップデートにより、これらの脆弱性が修正され、攻撃のリスクを大幅に低減できます。
特にVPN機器は、リモートアクセスを可能にするため攻撃対象になりやすいため、適切なパッチを適用することでセキュリティを強化できます。ファームウェアの更新も忘れずに行いましょう。
定期的に複数のバックアップを取る
ランサムウェアに一度感染すると、データの復旧・復元が困難です。コンピューターを一度初期化することになり、データを復旧するためにはバックアップが必要です。
バックアップしたデータまでランサムウェアに感染しないように、ネットワークの構築を工夫する必要がありますが、バックアップデータを取ることにより、システムやデータを復旧することができます。ランサムウェア対策を兼ねたデータ保存機器の導入も検討すべきです。
アクセスの権限を最小化する
ランサムウェア感染を予防するために、ユーザーやシステムが業務上必要な最低限の権限のみを持つよう設定することも効果があります。
アクセス権限を制限することで、ランサムウェアが感染した範囲を特定のフォルダやユーザーに限定でき、被害の拡大を防げます。さらに、不要な特権アカウントを無効化し、重要データやシステムへのアクセスを厳格に管理することで、攻撃者がシステム内部での活動を進めることを阻止できます。
メールのセキュリティを強化する
近年のランサムウェアはフィッシングメールを介してシステムに侵入することがあります。これを防ぐためには、メールフィルタリングやスパム対策を導入し、不審なメールや添付ファイルを自動で検出・隔離する仕組みを整えましょう。
さらに、不審なリンクや添付ファイルを開かないよう従業員を指導し、メールに多要素認証(MFA)を導入することで、不正アクセスのリスクを低減し、組織全体のセキュリティを強化できます。
ランサムウェア対策ソフトを導入する
ランサムウェア対策には、専用ソフトウェアやEDR(Endpoint Detection and Response)の導入が効果的です。従来型のウイルス対策ソフトは既知の脅威に対応する一方、EDRは未知の攻撃や高度な脅威にも対応可能です。EDRは、端末(エンドポイント)の動作をリアルタイムで監視し、異常な挙動を検出すると迅速に対応します。
これにより、ランサムウェアの初期段階での侵入やデータ暗号化の試みを未然に防ぐことができます。また、EDRは攻撃の痕跡を記録し、原因究明や再発防止にも役立ちます。
ランサムウェア感染時の対応計画を作成しておく
ランサムウェアの被害を最小限に抑えるためには、事前に感染時の対応計画(インシデントレスポンス計画)を策定しておくことが重要です。この計画には、感染発覚時の初動対応、関係部署や外部機関(警察、セキュリティベンダー等)への連絡体制、データのバックアップからの復旧手順、法的対応や広報対応などを網羅的に含めるべきです。
また、実際の感染を想定した定期的な訓練を実施することで、従業員の対応力を高め、混乱を防ぐことが可能になります。特に企業においては、対応の遅れが業務停止や顧客信用の失墜につながるため、明確で実行可能な計画の整備と見直しが不可欠です。
まとめ
ランサムウェアに感染した際の対処方法・被害事例とおすすめのランサムウェア感染調査会社を解説しました。
ランサムウェア感染はすぐにでも対応する必要があり、対応スピードが解決の鍵になります。ランサムウェア感染調査会社では、ランサムウェアへの対応の実績も豊富なため、ランサムウェアに感染した場合、一度相談してみるとよいでしょう。