ランサムウェアとは?感染したらどうなる?特徴と対策方法を解説

コラム

ランサムウェアに感染すると、会社の顧客・従業員・システム・技術に関するデータを暗号化され、見られなくなります。システム情報を暗号化される等の場合であれば、最悪業務が強制停止となったりと甚大な被害が想定されます。

  • ウイルスに感染してしまいデータ見れず困っている
  • ランサムウェア感染していまい、身代金を支払うべきか検討している
  • ランサムウェア感染の対応を知りたい

このような人に、「ランサムウェアの正しい対処方法」「必ず行うべき初期対応」「代表的なランサムウェアの種類」と、ランサムウェア調査で実績の豊富なおすすめの調査会社を紹介します。

実績のあるランサムウェア調査会社はこちら >
目次

ランサムウェアとは

ランサムウェア【ransomware】とは、悪意のあるソフトウェア(マルウェア)の一種で、感染したコンピュータやサーバー内のデータを暗号化するソフトウェアです。

攻撃者は、データの暗号化解除や破損したデータの復元を条件に高額な金銭を要求します。

IPAが発表している「情報セキュリティ10大脅威」によると、2022/23年共に、企業や組織として被害の影響が一番大きかったものが「ランサムウェアによる被害」となっており、被害や損害が大きいことが伺えます。

出典:情報セキュリティ10大脅威

ランサムウェアの感染経路

ランサムウェアの感染経路としては以下が挙げられます。

  • VPN機器から侵入された
  • リモートデスクトップから侵入された
  • メールの不審なファイル・リンクを開いた
  • Webサイトの不審なリンク・ボタンを開いた
  • 無害を装ったアプリ/ソフトウェアをインストールした
  • 偽装SMSのリンクをクリックした
  • USBメモリなどの外付け機器から感染した

特に多いのが、「VPN機器から侵入された」になっており、約7割がこの感染経路からになっています。近年のリモートワークの影響もあり、感染経路で2番目に多いのが「リモートデスクトップから侵入された」で、約15%の割合を占めています。

ランサムウェアの感染事例

ランサムウェアに感染した際の被害事例をまとめました。

  • 市内の全小中学校が利用するネットワークでランサムウェアに感染、児童・生徒の個人情報、職員の人事情報が暗号化され閲覧できなくなった
  • 「LockBit2.0」の攻撃を受け、電子カルテルと院内LANが使用不可になった
  • 国内の大学のサーバーに不正アクセスされランサムウェアに感染、在学生・卒業生の詳細情報が格納されていた

代表的なランサムウェアの種類

代表的なランサムウェアを4つ紹介します。

  • LockBit
  • WannaCry
  • Cryptowall
  • PETYA/GoldenEye

それぞれ解説していきます。

多様なランサムウェア調査に対応している専門会社

LockBit

LookBit2.0は、ロシアを拠点に活動する世界最大のサイバー犯罪集団で、企業団体の機密情報を暗号化し、身代金を要求し、従わなければ盗んだデータをリークさせます。

LookBitランサムウェアの特徴は2つあり、1つ目は、多額な身代金を請求できそうなターゲットを自動的に探して感染を拡大させることで、2つ目は、ユーザーがPCやスマートフォンなどにアクセスできないようにすることです。

世界中の企業に以下のような被害を与えています。

  • 業務に欠かせない機能を突然停止させ業務を中断させる
  • ハッカーに身代金を渡すよう脅迫する
  • 被害者が要求に従わない場合の脅迫材料としてデータを盗難し違法に公開する

WannaCry

WannaCryとは、Windows系のコンピューターを標的とし、暗号通貨の一種であるビットコインを不当に請求するマルウェアです。自己増殖のマルウェアであることが特徴で、社内のパソコン1台でも感染してしまえば、ネットワーク経由でサーバーのファイル、社内のデータをほぼ全て暗号化されてしまう危険性があります。

世界中の企業に以下のような被害を与えています。

  • 社内ネットワークを経由して次々と「WannaCry」が増殖、世界中の支社へ拡大しわずか3時間のあいだでセキュリティの脆弱性が認められる機器すべてに感染した
  • 店頭で使用していたPCに感染し、感染画面が消費者の目に触れる画面上での出来事だったため、SNSで瞬く間に拡散された

Cryptowall

Cryptowallは、CryptoLockerという前身のマルウェアからコードを取り出し、新しい名前を付けられたものです。当初はHTTPを使用してC&Cサーバーと通信する単純なランサムウェアとしてスタートしました。

バージョンアップを繰り返し、現在は「CryptoWall 5.1」が最新のバージョンになっています。

どのバージョンも暗号化やフィッシングによる基本戦略は同じですが、ランサムウェアの技術的な機能は、検知されないように変更されています。

PETYA/GoldenEye

PETYAは、2016年に初めて確認されたランサムウェアの系統です。他の種類のランサムウェアと同様に、ファイルデータを暗号化し、身代金をビットコインで支払うように誘導します。

旧式のランサムウェアとは異なり、コンピューターのハードディスク全体をロックし、ハードディスク上の全てのファイルにアクセスできなくします。

GoldenEyeは「PETYA」の亜種にあたるランサムウェアです。2017年6月下旬には欧州を中心に、大規模なサイバー攻撃を仕掛けたことで、企業や組織のシステムが深刻な被害を受けていることが確認されています。

ランサムウェアに感染したら起こりうる被害

ランサムウェアに感染したら起こりうる被害は以下の通りです。

  • システムダウンし、業務停止する
  • 身代金を支払うことによる金銭的被害
  • 企業の内部情報、個人情報の漏えい

ランサムウェアに感染した場合、上記の被害が容易に想定されます。手遅れになる前にランサムウェア感染調査のプロに調査を依頼して、原因の解明を行うようにすることをおすすめします。

実績のあるランサムウェア調査会社はこちら >

システムダウンし、業務停止する

ランサムウェア感染した場合、データやファイルの暗号化を掛けられてしまいますが、同様に業務システムに暗号化がかかることがあります。レジで使用しているPOSシステムや店舗で使用している端末機器も暗号化されてしまい、使用できなくなった事例が報告されています。

身代金を支払うことによる金銭的被害

ランサムウェア感染にかかり、データを暗号化され重要なデータ、システムなどが使用できなくなることは、企業にとって大きなダメージです。支払えば解決するだろうと思い、攻撃者が指定した金額の身代金を支払ってしまう企業は多くあります。

しかし、攻撃者が、身代金を支払う企業に目を付け、何度もウイルスを侵入させてくる可能性もあります。また、窃取した情報をリークさせないことを引き合いに再度金銭を要求してくる可能性もあります。

マルウェアを運営しているハッカー集団に金銭を支払うことで、支払った金銭は新しいマルウェアの開発等の犯罪に使われてしまいます。もし支払うと犯罪の片棒を担ぐことになるとも言えます。

こういった背景から基本的には「身代金は支払わない」スタンスでいることが重要です。

企業の内部情報、個人情報の漏えい

ランサムウェアに感染した場合、企業の機密データや個人情報を窃取されることになります。当然、情報がリークする可能性があること、犯人が意図的にリークさせることもあります。個人情報等のデータをダークウェブで販売する犯罪グループもあるため、注意が必要です。

2022年4月に「改正個人情報保護法」が施行されたこともあり、企業は情報の管理をより一層確実なものにする必要があります。

実績のあるランサムウェア調査会社はこちら >

ランサムウェアの対策方法

ランサムウェアの対策方法は以下の通りです。

  • 不審なリンクや添付ファイルは開かない
  • OSやソフトウェアを最新の状態にアップデトする
  • ウイルス対策ソフト
  • EDR製品を導入する
  • 定期的に複数のバックアップを取る

不審なリンクや添付ファイルは開かない

ランサムウェアの感染経路として3番目に多いのが、「メールやメールに添付されていたファイルを開いた」です。見覚えのないメールや知らない人からのメールは、開かないようにしましょう。

また、不審なリンクが送られてきた場合、クリックしないようにしましょう。詐欺サイトに繋がるリンクの可能性も十分にあります。

OSやソフトウェアを最新の状態にアップデートする

OSやソフトウェアは常に最新の状態にアップデートしておきましょう。実際にウイルスが感染する経路で多いのが、しばらくアップデートされていないセキュリティに脆弱性のあるソフトウェアからの感染です。

ランサムウェア対策ソフト

ランサムウェア対策ソフトとは、身代金要求型ウイルスであるランサムウェアを検知し、デバイスに感染しないように対策をしてくれるセキュリティーツールのことです。

EDR製品を導入する

EDR(Endpoint Detection and Response)とは、サーバー、パソコン、スマートフォンなどネットワークに接続されているエンドポイントの操作や動作の監視を行い、サイバー攻撃を受けたことを発見し次第対処するソフトウェアの総称です。

以下のようなEDR製品が代表としてあります。

  • Sentinelone
  • Cybereason EDR
  • Sophos Intercept X EndpointS
  • MVISION EDR
  • ESET Enterprise Inspector
  • Microsoft Defender for Business

定期的に複数のバックアップを取る

ランサムウェアに一度感染すると、データの復旧・復元が困難です。コンピューターを一度初期化することになり、データ復旧するためにはバックアップが必要です。

バックアップしたデータまでランサムウェアに感染しないように、ネットワークの構築を工夫する必要はありますが、バックアップデータを取ることにより、システムやデータを復旧することができます。

ランサムウェア対策を兼ねたデータ保存機器を導入することを検討することも重要だと言えます。

ランサムウェアからデータを守るための最適な機器「DDBPRO」はこちら >

万が一ランサムウェアに感染したときの対処法

ランサムウェア感染の際の対処方法を解説します。

  • ネットワークから隔離する
  • セキュリティソフトでスキャン・ウイルス除去する
  • 復元ツールが公開されていれば試す(※リスク高い)
実績のあるランサムウェア調査会社はこちら >

ネットワークから隔離する

ランサムウェア感染に気付いてまず初めに「端末とネットワークを隔離」してください。

ネットワークに繋がっていることで、不正なファイルのダウンロードが続いたり、ウイルスを拡散していたりする可能性があります。インターネットには遮断し、電源は切らずにスリープモード等で放置するようしましょう。

セキュリティソフトでスキャン・ウイルス除去する

セキュリティソフトを導入することで、ダウンロードされたファイルのフィルタリングや悪意あるコードの検知・削除が可能になります。

また、送受信されたメール、Webアクセス、コンピューター内のファイルなどに潜む、ランサムウェアを検知・駆除できます。

復元ツールが公開されていれば試す(※リスク高い)

ランサムウェアに感染した場合の対処方法として、「復号ツール」を使用してデータを復旧する方法があります。ランサムウェア撲滅を目指す「No More Ransom」という国際的なプロジェクトでは、ランサムウェアの復号ツールも公開されています。

感染をしている端末をチェックできれば、復号ツールを使用して暗号されたデータを復元することができる場合があります。感染している端末や機器を調査したい場合は、デジタル調査の専門家へ相談することをおすすめします。

専門家に相談する

ランサムウェアに感染してしまった場合、法人の場合、感染経路や情報漏洩の範囲、被害の範囲を調査する必要があります。これは2022年4月に施行された「改正個人情報保護法」で義務化されています。

法律での「事業者の守るべき責務」は次の通りになっています。

  • 漏えい等が発生した場合、個人情報保護委員会への報告、および本人への通知が義務化される(従来は努力義務)
  • ペナルティ(罰金)の強化
  • 不正アクセスによる漏えいは件数を問わず、たとえ1件であっても本人への通知が義務化

特に、法人による命令違反で課せられる罰金刑は、上限50万円から1億円に引き上げられます。被害企業にセキュリティ体制の不備や過失が認められる場合、取引先から損害賠償請求を受ける可能性もあります。

全国50社以上ある、サイバー攻撃のインシデント調査会社から、「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の判断基準で大規模、小規模サイバー攻撃調査に対応しているおすすめの調査業者を厳選しました。

編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)

実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。

  • 「ランサムウェア感染調査や対処を個人で行うのが不安」
  • 「ランサムウェアが感染しているかどうか早く知りたい」
  • 「確実な調査や対処を行いたい」

このような場合は、「ランサムウェアに感染しているのか」「いつ、どのような経路でウイルス感染したのか」「漏洩した情報の範囲」について専門業者で調査することをおすすめします。

こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、幅広い調査に対応していておすすめです。

まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。

デジタルデータフォレンジック

費用★見積り無料 まずはご相談ください
調査対象PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービスマルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など
特長✓累積ご相談件数23,000件以上
✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済)
警視庁からの捜査協力依頼・感謝状受領の実績多数

デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計2万3千件以上の豊富な実績があります。

規模が大きな調査会社なため、官公庁や大手企業からの依頼実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。

ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。

相談・見積りを無料で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。

↓調査項目・プラン・料金などは公式サイトへ↓

デジタルデータフォレンジックに相談する >

ランサムウェア感染時にやってはいけないこと

ランサムウェア感染時にやってはいけないこと3つを解説します。

  • 再起動
  • バックアップ
  • 身代金の支払い

再起動

ランサムウェアに感染した際には、再起動を行わないようにしましょう。再起動を行うことで止まっていた暗号化が進行してしまう可能性があります。

バックアップ

感染後にはバックアップはしないようにしましょう。ランサムウェア自体を一緒にバックアップしてしまい、バックアップの保存先にある他のファイルにも被害を加えてしまう危険性があるためです。

ランサムウェア対策として、事前にバックアップしておくことは非常に有効的な手段であるため感染前であればバックアップはとるようにしましょう。

身代金の支払い

ランサムウェア感染直後に感染解除と引き換えに身代金を要求されますが、身代金には応じないようにしてください。

理由としては以下の2つがあります。

  • ランサムウェア被害企業の76%が身代金支払い、約3分の1がデータの復元に失敗している
  • 犯罪組織の資金源になり、犯罪の片棒を担ぐことになる

上記の理由から身代金を支払ないようにしましょう。

スマホ・iPhoneに感染するケースもある

これまでは主にWindows環境での感染が報告されていましたが、最近ではMac環境やスマホのランサムウェア感染例も増えています。スマホやIphoneを使用しているから安心はできないことを知っておく必要があります。

デジタルデータフォレンジックに相談する >

まとめ

ランサムウェアに感染した際の、対処方法・確認項目・被害事例とおすすめのランサムウェア感染調査会社を解説しました。

ランサムウェア等の重大なインシデントはすぐにでも対応する必要があり、対応スピードが解決の鍵になります。ランサムウェア調査におすすめの会社では、ランサムウェアへの対応の実績も豊富なため、ランサムウェアに感染した可能性がある場合、一度相談してみるとよいでしょう。

最新情報をチェックしよう!