データと引き換えに多額の身代金を要求する「ランサムウェア」、ランサムウェア感染してしまうと、社内情報やシステム情報が暗号化され、データの閲覧・使用ができなくなり、業務の強制停止や情報漏洩に繋がります。
仮に「身代金」を支払っても、暗号化が解除されるかどうか、データを閲覧できるかは分からないため、不安な経営者、セキュリティ責任者の方も多いともいます。
そこで本記事では、ランサムウェアの対処方法、被害事例と感染経路、感染期間など、ランサムウェアに感染したときに重要なことを解説しています。
- 「ランサムウェアに感染してないか不安」
- 「PCがウイルスに感染してしまった」
- 「身代金を支払うように要求されている」
このような方にお勧めの記事になっています。
組織のセキュリティ担当者は、ランサムウェアの仕組みや被害を理解し、感染の初期段階で早急に適切な対応をする必要があります。
また、ランサムウェア対応の専門会社相談したい方向けにおすすめの調査会社も紹介しています。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
ランサムウェアの感染経路
そもそもランサムウェアとは、マルウェアと呼ばれるウイルスの一種です。ランサムウェアによって暗号化されたファイルを元に戻すのは極めて困難と言われており、身代金を支払ったとしても、データやファイルが元通りになる保証がないことが特徴です。
もし、ランサムウェアに感染した場合はすぐに専門のフォレンジック調査会社に相談しましょう。
▶おすすめの調査会社はこちら▶【フォレンジック調査会社一覧|選び方・依頼の流れを解説】
ランサムウェアの感染経路は主に以下の7つが挙げられます。
- VPN機器から侵入された
- リモートデスクトップから侵入された
- メールの不審なファイル・リンクを開いた
- Webサイトの不審なリンク・ボタンを開いた
- 無害を装ったアプリ/ソフトウェアをインストールした
- 偽装SMSのリンクをクリックした
- USBメモリなどの外付け機器から感染した
VPN機器から侵入された
警視庁が2024年に公開した資料によると、ランサムウェアの感染経路の約47%が「VPNからの侵入」となっており、ランサムウェアの感染経路の中でも特に多い感染経路になります。
VPN機器に脆弱性がある場合、それを狙ってサイバー攻撃されます。脆弱性とは、OSやソフトウェアのプログラム上の欠陥や不具合のことで、不正アクセスされやすい、ウイルスの感染リスクが高まること等が考えられるため、以下の対策を事前に行うようにしましょう。
- VPNのサーバーのアップデートをこまめに行う
- VPNアクセス時の認証に、二段階認証を導入する
出典:警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」
リモートデスクトップから侵入された
警視庁が2024年に公開した資料によると、ランサムウェアの感染経路の約36%が「リモートデスクトップからの侵入」となっており、2番目に多い感染経路になります。
コロナ禍に伴う急速なリモートワークの普及を背景に、主に社外から社内の端末を操作すると用途でリモートデスクトップが利用されるケースが増えました。遠隔操作等で、接続先のコンピューターの操作を実行する権限を与えてしまうためサイバー攻撃の標的になりやすいと言われています。
出典:警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」
メールの不審なファイル・リンクを開いた
感染経路の約10%ほどは、「不審メールやその添付ファイル」となっています。知らないアドレス等からきた不審なメールは開かないことを徹底しましょう。
ウイルスメールの対処方法は以下のようなものがあります。
- 怪しいメールは開かずに削除する
- メールにある怪しい添付ファイルは開かずに削除する
- 公的機関からのお知らせには気を付ける
- 身に覚えのない請求のお知らせに気を付ける
- メールアドレスやURLが不自然ではないか確認
- 日本語が不自然ではないか確認
Webサイトの不審なリンク・ボタンを開いた
ウイルス感染を狙っている詐欺目的のサイトには、既存の人気サイトや公式サイトなどを装ったウェブサイトがあります。
サイト内でファイルのダウンロード、不審なリンクをクリック等を行ってしまうと、ウイルスに感染する可能性があります。
無害を装ったアプリ/ソフトウェアをインストールした
不審なWEBサイト、アプリインストールサイトなどからアプリをダウンロードし、そこからウイルスに感染してしまう可能性があります。
中には、セキュリティソフトを装い、実はウイルス感染を目的としたものもあるため、本当に必要のある、運営元のセキュリティ対策がしっかりしているソフトやアプリをダウンロードするようにしましょう。
フィッシングメールのリンクをクリックした
知らない人や企業はもちろんですが、取引先や上司になりすまされて「不自然にURLを押すように誘導される」場合があります。このようなフィッシングメールのリンクをクリックすると詐欺サイトに飛ばされたり、ファイルをダウンロードさせられてランサムウェア感染が発生する場合があります。
ランサムウェアの中にはフィッシングメールを感染経路とするものもあるため、フィルタリングを設定するなどしてフィッシングメールを開かないように対策しましょう。
USBメモリなどの外付け機器から感染した
ランサムウェアに感染したUSBメモリを使用すると、パソコンが感染してしまう可能性があります。個人でのUSBメモリの使用はともかく、会社でUSBメモリを使用する際には注意するようにしましょう。
以上が主なランサムウェアの感染経路です。感染経路によってはウイルスソフトを無効にしたり、認証をすり抜けてしまう場合もあります。
ランサムウェアの中には侵入の痕跡を残しにくいものもあるため、ランサムウェア調査会社に相談して専門家による感染経路を調査してもらい、適切なセキュリティ対策を行いましょう。
ランサムウェアの感染確認方法(症状別)
以下の状況が該当する場合は、ランサムウェアに感染している可能性がります。
- ランサムウェア対策ツールで検知している
- デスクトップ画面が開けない
- 身代金を要求するメッセージが表示される
- ファイルの拡張子が変更されている
- ファイルが暗号化・文字化けしている
- デスクトップに不審なファイルが作成されている
ランサムウェア対策ツールで検知している
ランサムウェア対策ツールをインストールしており、不正なマルウェア(ランサムウェア)を検知した旨のアラートが出ている場合は感染の可能性が高いです。サーバーログの画面を確認したり、スキャンしたりすることで怪しいファイル・アプリが見つかる可能性もあるため疑わしい場合は、一度ログの確認やスキャンをしてみましょう。
デスクトップ画面が開けない
ランサムウェアに感染した場合、デスクトップの画面が開けなくなることがあります。デスクトップ情報は暗号化され、使用できなくなる可能性があります。
身代金を要求するメッセージが表示される
パソコンが使用できず、画面に「身代金を要求するメッセージ」が表示される場合、ランサムウェアに感染している可能性が非常に高いです。要求に従っても、ファイルやデータが元通りになる保証がないため、慎重に対応する必要があります。
ファイルの拡張子が変更されている
ランサムウェアに感染して、暗号化されたファイルは、ファイルの拡張子が特定の文字列に変更されていることがあります。ファイルの拡張子からどのランサムウェアに感染したのかを特定することで、データを復元できる可能性があります。
例えば、暗号化されたファイルの拡張子を「.vvv」に変更するランサムウェアがあります。2016年頃に米国、オーストラリア、ドイツなど世界中で拡散され、日本にも被害が急増しました。
ファイルが暗号化・文字化けしている
ランサムウェアに感染した際は、ファイルの暗号化、文字化けしている場合があります。普段使わないファイルが自動でダウンロードされていないかチェックしてみてください。
また「ファイルサーバー」「クラウド上」もファイルのファイルも暗号化され、使用できなくなる場合があります。
デスクトップに不審なファイルが作成されている
デスクトップに見覚えのないファイルが作成されている場合、ウイルスの操作によってファイルが作成されている可能性もあるため注意する必要があります。
ランサムウェアの種類ごとに作られる拡張子をまとめました。
| ランサムウェアの種類 | 拡張子 | ランサムノート |
|---|---|---|
| 8base | .8base | info.htainfo.txt |
| MAKOP | .makop .pecunia | readme-warning.txt |
| Mallox | .mallox.malox .maloxx | RECOVERY INFORMATION.txt FILE RECOVERY.txt |
| eCh0raix | .encrypt | README_FOR_DECRYPT.txt |
| Lockbit | .LockBit .TEREN .abcd .HLJkNskOq | RESTORE-MY-FIELES.txt |
| Qilin | .MmXReVIxLV | README-RECOVER-MmXReVIxLV.txt |
| BianLian | .bianlian | Look at this instruction.txt |
| Akira | .akira | akira_readme.txt fn.txt |
| cl0p | .cl0p | ClopReadMe.txt README_README.txt |
| Blacksuit | .blacksuit | readme.blacksuit.txt |
ランサムノートには「身代金と引き換えに暗号化されたデータを復号する」旨が書いてあることがありますが、身代金を支払ってもデータの復号や情報公開が取りやめになるとは限りません。
端末に保存したファイルの拡張子が変化し、ランサムノートが届いた場合は、身代金は支払わずにランサムウェア感染調査会社に相談しましょう。感染調査や感染後の手続きのアドバイスが受けられることがあります。
ランサムウェア感染時に起こりうる被害
ランサムウェアに感染した際に起こりうる被害が以下になります。
- システムダウンによる業務停止
- 身代金を払うことによる金銭的被害
- 個人情報・機密データの情報漏洩
いずれの被害も企業活動に大きな支障が発生し、復旧に多くの期間と費用がかかる可能性があります。また感染後の対応によっては企業の責任が問われて訴訟問題や幹部・取締役の辞任、最悪の場合は倒産のリスクも発生します。
以上のリスクを踏まえたうえでランサムウェアに感染した場合、身代金は支払わずにランサムウェア感染調査ができる調査会社に相談し、各所への被害報告と適切なセキュリティ対策のための調査を行うことをおすすめします。
システムダウンによる業務停止
業務システムが暗号化され、システムが停止することによって、それまでのシステムができなくなることがあります。2022年に起きたコープを狙ったランサムウェア感染では、店舗で使用するPOSや端末がインターネットに接続できなくなりました。
出典:日経XTEC
身代金を支払うことによる金銭的被害
ランサムウェアの目的が金銭の場合が多いですが、金銭は支払わないようにしましょう。
一度支払うと、再度詐欺を働きかけられる可能性があるためです。
以前の不特定多数を狙う「ばらまき型」では、どの程度の金銭を被害者が支払うのか、予測できないため、攻撃者の最近の傾向としては、身代金を支払う可能性が高い「特定の企業や組織」をターゲットにする傾向があります。
個人情報・機密データの情報漏えい
近年のランサムウェア感染の傾向は、企業の技術情報や営業秘密などの機密情報や、顧客、従業員の個人情報などが窃取され、ランサムウェア攻撃グループが運営するサイトやSNS上で不特定多数に公開する「二重恐喝」と呼ばれる手口が使われています。
実際に企業によってはランサムウェアに感染したことで取引先の顧客情報、関連小会社の情報も流出し、100万人以上の情報が漏洩する事例もあります。
ランサムウェア感染によって情報漏洩が発生した恐れがある場合、2022年4月に改訂された「改正個人情報保護法」に基づき、被害者と個人情報保護委員会に対する説明義務や、感染経路等のウイルス感染の範囲、窃取された情報の範囲の調査義務が法人に発生します。
ランサムウェアに感染した場合、専門の調査会社を利用していち早く調査を行い、事実の解明とセキュリティの強化に努めましょう。
ランサムウェアに感染した際の対処方法
ランサムウェアに感染した際の対処手順を具体的に4つ解説します。
- 端末とネットワークを隔離する
- 身代金要求への対応
- 復号ツールを調べる(※リスクあり)
- 専門家に相談する
端末とネットワークを隔離する
ランサムウェアの感染に気付いた場合、まず初めに被害を拡大・拡散させないためにも端末をネットワークから遮断しましょう。有線LANで繋がっている場合は、ケーブルを抜き、無線LANで繋がっている場合は機能をオフにしましょう。
タイミングが早ければ、感染拡大はもちろん、ファイルの暗号化を途中で食い止められる可能性もあります。
身代金要求への対応
ランサムウェアに感染した場合、注意するべきなのが「身代金」への対応です。
基本的にハッカーや詐欺師は、金銭を目的としてウイルスを侵入させるパターンがほどんどです
これは、誘拐などの身代金要求と同じで、要求に従い金銭を支払ったからといって、データやファイルの暗号化を戻す、戻せる保証はどこにもありません。
反対に身代金を支払ったことで、攻撃者に狙い目だと認識され、さらなる要求をされる場合があります。実際に、身代金を支払ったが3分の1程度のデータが復旧されなかったり、不完全なデータだったりという報告もあります。そのため、基本的に支払わない方針で対処することをおすすめします。
出典:ITmedia
復号ツールを調べる(※リスクあり)
ランサムウェアに感染した場合の対処方法として、「復号ツール」を使用してデータを復旧する方法があります。ランサムウェア撲滅を目指す「No More Ransom」という国際的なプロジェクトでは、ランサムウェアの復号ツールも公開されています。
感染をしている端末をチェックできれば、復号ツールを使用して暗号されたデータを復元することができる場合があります。感染している端末や機器を調査したい場合は、デジタル調査の専門家へ相談することをおすすめします。
専門家に相談する
ランサムウェアに感染してしまった場合、法人の場合、感染経路や情報漏洩の範囲、被害の範囲を調査する必要があります。これは2022年4月に施行された「改正個人情報保護法」で義務化されています。
法律での「事業者の守るべき責務」は次の通りになっています。
- 漏えい等が発生した場合、個人情報保護委員会への報告、および本人への通知が義務化される(従来は努力義務)
- ペナルティ(罰金)の強化
- 不正アクセスによる漏えいは件数を問わず、たとえ1件であっても本人への通知が義務化
特に、法人による命令違反で課せらえる罰金刑は、上限50万円から1億円に引き上げられます。被害企業にセキュリティ体制の不備や過失が認められる場合、取引先から損害賠償請求を受ける可能性もあります。
したがって、感染が疑われる場合は専門会社に相談して調査をするようにしましょう。
全国50社以上ある、サイバー攻撃のインシデント調査会社から、「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の判断基準で大規模、小規模サイバー攻撃調査に対応しているおすすめの調査業者を厳選しました。
ランサムウェアの感染調査でおすすめの会社:デジタルデータフォレンジック(おすすめ度)
「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。
- 「ウイルス感染調査や対処を個人で行うのが不安」
- 「ウイルスが感染しているかどうか早く知りたい」
- 「確実な調査や対処を行いたい」
このような場合は、「ウイルス感染しているのか」「いつ、どのような経路でウイルス感染したのか」「漏洩した情報の範囲」について専門業者で調査することをおすすめします。
こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社なため、官公庁や大手企業からの依頼実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
ランサムウェアとマルウェアの違い
マルウェアとは「malicious software(悪意のあるソフトウェア)」の略語であり、意図的に機器に不具合を起こす目的で作成されたソフトウェアのことです。マルウェアの例として、侵入した端末のユーザー行動を監視して個人情報を外部に送信する「スパイウェア」や、安全なファイルに偽装してインストールさせる「トロイの木馬」などが代表的です。
ランサムウェアはこのように数多く存在するマルウェアの一種に相当します。
ランサムウェアは名前の通り、「Ransom(身代金)」という単語が使用されており、その名の通り身代金を要求するマルウェアのことを指します。
一般的にランサムウェアに感染すると、ファイルの暗号化や端末のロックが発生します。その後端末に暗号の復号と引き換えに身代金の支払いを要求する脅迫文(ランサムノート)が送信されます。
ただしランサムウェアは多くの種類が存在するため、症状も一概に同じとは言えません。
例えば過去に話題となったLockbitランサムウェアやBlacksuitランサムウェアなどは、データの暗号化に加えて情報の流出と犯人グループのサイトで情報を公開すると脅迫する二重恐喝と呼ばれる手口が特徴的です。
更に最近では、データを暗号化しない「ノーウェアランサム」という新しいタイプも登場しました。これは、データの盗難と公開の脅威を利用して身代金を要求する手法で、警察庁の調べによると2023年より被害が報告されています。
出典:警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」
ランサムウェアの潜伏期間
「The Active Adversary Playbook 2022」によるとランサムウェアは感染してもすぐにデータが暗号化されるとは限らず、潜伏期間は15日〜24日間潜伏する場合もあるという結果が出ています。
まとめ
ランサムウェアに感染した可能性がある場合、早急に対応する必要があります。システムの不具合で稼働が停止するリスク、情報漏洩が発生するリスクを考慮して正しい選択をするようにしましょう。