データと引き換えに多額の身代金を要求する「ランサムウェア」、ランサムウェア感染してしまうと、社内情報やシステム情報が暗号化され、データの閲覧・使用ができなくなり、業務の強制停止や情報漏洩に繋がります。
仮に「身代金」を支払っても、暗号化が解除されるかどうか、データを閲覧できるかは分からないため、不安な経営者、セキュリティ責任者の方も多いともいます。
そこで本記事では、ランサムウェアの対処方法、被害事例と感染経路、感染期間など、ランサムウェアに感染したときに重要なことを解説しています。
- 「ランサムウェアに感染してないか不安」
- 「PCがウイルスに感染してしまった」
- 「身代金を支払うように要求されている」
このような方にお勧めの記事になっています。
組織のセキュリティ担当者は、ランサムウェアの仕組みや被害を理解し、感染の初期段階で早急に適切な対応をする必要があります。
また、ランサムウェア対応の専門会社相談したい方向けにおすすめの調査会社も紹介しています。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
ランサムウェアの感染経路
そもそもランサムウェアとは、マルウェアと呼ばれるウイルスの一種です。ランサムウェアによって暗号化されたファイルを元に戻すのは極めて困難と言われており、身代金を支払ったとしても、データやファイルが元通りになる保証がないことが特徴です。
ランサムウェアの感染経路は主に以下の7つが挙げられます。
- VPN機器から侵入された
- リモートデスクトップから侵入された
- メールの不審なファイル・リンクを開いた
- Webサイトの不審なリンク・ボタンを開いた
- 無害を装ったアプリ/ソフトウェアをインストールした
- 偽装SMSのリンクをクリックした
- USBメモリなどの外付け機器から感染した
VPN機器から侵入された
内閣サイバーセキュリティーセンターが2022年9月に公開した記事によると、感染経路の約68%が「VPNからの侵入」となっており、ランサムウェアの感染経路の中でも特に多い感染経路になります。
VPN機器に脆弱性がある場合、それを狙ってサイバー攻撃されます。脆弱性とは、OSやソフトウェアのプログラム上の欠陥や不具合のことで、不正アクセスされやすい、ウイルスの感染リスクが高まること等が考えられるため、以下の対策を事前に行うようにしましょう。
- VPNのサーバーのアップデートをこまめに行う
- VPNアクセス時の認証に、二段階認証を導入する
リモートデスクトップから侵入された
内閣サイバーセキュリティーセンターが2022年9月に公開した記事よると、感染経路の約15%が「リモートデスクトップからの侵入」となっており、2番目に多い感染経路になります。
コロナ禍に伴う急速なリモートワークの普及を背景に、主に社外から社内の端末を操作すると用途でリモートデスクトップが利用されるケースが増えました。遠隔操作等で、接続先のコンピューターの操作を実行する権限を与えてしまうためサイバー攻撃の標的になりやすいと言われています。
メールの不審なファイル・リンクを開いた
感染経路の約10%ほどは、「不審メールやその添付ファイル」となっています。知らないアドレス等からきた不審なメールは開かないことを徹底しましょう。
ウイルスメールの対処方法は以下のようなものがあります。
- 怪しいメールは開かずに削除する
- メールにある怪しい添付ファイルは開かずに削除する
- 公的機関からのお知らせには気を付ける
- 身に覚えのない請求のお知らせに気を付ける
- メールアドレスやURLが不自然ではないか確認
- 日本語が不自然ではないか確認
Webサイトの不審なリンク・ボタンを開いた
ウイルス感染を狙っている詐欺目的のサイトには、既存の人気サイトや公式サイトなどを装ったウェブサイトがあります。
サイト内でファイルのダウンロード、不審なリンクをクリック等を行ってしまうと、ウイルスに感染する可能性があります。
無害を装ったアプリ/ソフトウェアをインストールした
不審なWEBサイト、アプリインストールサイトなどからアプリをダウンロードし、そこからウイルスに感染してしまう可能性があります。
中には、セキュリティソフトを装い、実はウイルス感染を目的としたものもあるため、本当に必要のある、運営元のセキュリティ対策がしっかりしているソフトやアプリをダウンロードするようにしましょう。
偽装SMSのリンクをクリックした
知らない人はもちろん、身内や友達からのメッセージでも「不自然にURLを押すように誘導される」場合、詐欺サイトに飛ばされたり、ファイルをダウンロードさせられる場合があります。
身内や知り合いからのメッセージだとしても、相手側の機器がハッキングされている可能性、ウイルス感染している可能性があるため注意しましょう。
USBメモリなどの外付け機器から感染した
ウイルスに感染したUSBメモリを使用すると、パソコンが感染してしまう可能性があります。個人でのUSBメモリの使用はともかく、会社でUSBメモリを使用する際には注意するようにしましょう。
ランサムウェアの感染確認方法(症状別)
以下の状況が該当する場合は、ランサムウェアに感染している可能性がります。
- ランサムウェア対策ツールで検知している
- デスクトップ画面が開けない
- 身代金を要求するメッセージが表示される
- ファイルの拡張子が変更されている
- ファイルが暗号化・文字化けしている
- デスクトップに不審なファイルが作成されている
ランサムウェア対策ツールで検知している
ラランサムウェア対策ツールをインストールしており、不正なマルウェア(ランサムウェア)を検知した旨のアラートが出ている場合は感染の可能性が高いです。サーバーログの画面を確認したり、スキャンしたりすることで怪しいファイル・アプリが見つかる可能性もあるため疑わしい場合は、一度ログの確認やスキャンをしてみましょう。
デスクトップ画面が開けない
ランサムウェアに感染した場合、デスクトップの画面が開けなくなることがあります。デスクトップ情報は暗号化され、使用できなくなる可能性があります。
身代金を要求するメッセージが表示される
パソコンが使用できず、画面に「身代金を要求するメッセージ」が表示される場合、ランサムウェアに感染している可能性が非常に高いです。要求に従っても、ファイルやデータが元通りになる保証がないため、慎重に対応する必要があります。
ファイルの拡張子が変更されている
ランサムウェアに感染して、暗号化されたファイルは、ファイルの拡張子が特定の文字列に変更されていることがあります。ファイルの拡張子からどのランサムウェアに感染したのかを特定することで、データを復元できる可能性があります。
例えば、暗号化されたファイルの拡張子を「.vvv」に変更するランサムウェアがあります。2016年頃に米国、オーストラリア、ドイツなど世界中で拡散され、日本にも被害が急増しました。
ファイルが暗号化・文字化けしている
ランサムウェアに感染した際は、ファイルの暗号化、文字化けしている場合があります。普段使わないファイルが自動でダウンロードされていないかチェックしてみてください。
また「ファイルサーバー」「クラウド上」もファイルのファイルも暗号化され、使用できなくなる場合があります。
デスクトップに不審なファイルが作成されている
デスクトップに見覚えのないファイルが作成されている場合、ウイルスの操作によってファイルが作成されている可能性もあるため注意する必要があります。
ランサムウェアの種類ごとに作られる拡張子をまとめました。
| ランサムウェアの種類 | 拡張子 | ランサムノート |
|---|---|---|
| mars | .mars | – |
| MAKOP | .makop .pecunia | readme-warning.txt |
| Phobos | .Phobos .Dever | – |
| eCh0raix | .encrypt | README_FOR_DECRYPT.txt |
| Lockbit | .LockBit .TEREN .abcd .HLJkNskOq | RESTORE-MY-FIELES.txt |
| Locky | .locky | – |
| DeadBolt | .deadbolt | – |
ランサムウェア感染時に起こりうる被害
ランサムウェアに感染した際に起こりうる被害が以下になります。
- システムダウンによる業務停止
- 身代金を払うことによる金銭的被害
- 個人情報・機密データの情報漏洩
ランサムウェアに感染した場合は、まずサイバー攻撃に対応している専門業者に相談することをおすすめします。
システムダウンによる業務停止
業務システムが暗号化され、システムが停止することによって、それまでのシステムができなくなることがあります。2022年に起きたコープを狙ったランサムウェア感染では、店舗で使用するPOSや端末がインターネットに接続できなくなりました。
出典:日経XTEC
身代金を支払うことによる金銭的被害
ランサムウェアの目的が金銭の場合が多いですが、金銭は支払わないようにしましょう。
一度支払うと、再度詐欺を働きかけられる可能性があるためです。
以前の不特定多数を狙う「ばらまき型」では、どの程度の金銭を被害者が支払うのか、予測できないため、攻撃者の最近の傾向としては、身代金を支払う可能性が高い「特定の企業や組織」をターゲットにする傾向があります。
個人情報・機密データの情報漏えい
ランサムウェアに感染した場合、企業の機密データや個人情報を窃取されることになります。個人情報が重要視されている昨今、個人情報の流出は企業にとって重大なインシデントになります。お客様からの信用を、一気に失う理由にもなりかねません。
2022年4月に改訂された「改正個人情報保護法」では、情報漏洩等のインシデントが起きた際、被害者に説明義務があること、感染経路等のウイルス感染の範囲、窃取された情報の範囲を調査する義務もあることを定めています。
ランサムウェアに感染した際の対処方法
ランサムウェアに感染した際の対処手順を具体的に4つ解説します。
- 端末とネットワークを隔離する
- 身代金要求への対応
- 復号ツールを調べる(※リスクあり)
- 専門家に相談する
端末とネットワークを隔離する
ランサムウェアの感染に気付いた場合、まず初めに被害を拡大・拡散させないためにも端末をネットワークから遮断しましょう。有線LANで繋がっている場合は、ケーブルを抜き、無線LANで繋がっている場合は機能をオフにしましょう。
タイミングが早ければ、感染拡大はもちろん、ファイルの暗号化を途中で食い止められる可能性もあります。
身代金要求への対応
ランサムウェアに感染した場合、注意するべきなのが「身代金」への対応です。
基本的にハッカーや詐欺師は、金銭を目的としてウイルスを侵入させるパターンがほどんどです
これは、誘拐などの身代金要求と同じで、要求に従い金銭を支払ったからといって、データやファイルの暗号化を戻す、戻せる保証はどこにもありません。
反対に身代金を支払ったことで、攻撃者に狙い目だと認識され、さらなる要求をされる場合があります。実際に、身代金を支払ったが3分の1程度のデータが復旧されなかったり、不完全なデータだったりという報告もあります。そのため、基本的に支払わない方針で対処することをおすすめします。
参考:ITmedia
復号ツールを調べる(※リスクあり)
ランサムウェアに感染した場合の対処方法として、「復号ツール」を使用してデータを復旧する方法があります。ランサムウェア撲滅を目指す「No More Ransom」という国際的なプロジェクトでは、ランサムウェアの復号ツールも公開されています。
感染をしている端末をチェックできれば、復号ツールを使用して暗号されたデータを復元することができる場合があります。感染している端末や機器を調査したい場合は、デジタル調査の専門家へ相談することをおすすめします。
専門家に相談する
ランサムウェアに感染してしまった場合、法人の場合、感染経路や情報漏洩の範囲、被害の範囲を調査する必要があります。これは2022年4月に施行された「改正個人情報保護法」で義務化されています。
法律での「事業者の守るべき責務」は次の通りになっています。
- 漏えい等が発生した場合、個人情報保護委員会への報告、および本人への通知が義務化される(従来は努力義務)
- ペナルティ(罰金)の強化
- 不正アクセスによる漏えいは件数を問わず、たとえ1件であっても本人への通知が義務化
特に、法人による命令違反で課せらえる罰金刑は、上限50万円から1億円に引き上げられます。被害企業にセキュリティ体制の不備や過失が認められる場合、取引先から損害賠償請求を受ける可能性もあります。
したがって、感染が疑われる場合は専門会社に相談して調査をするようにしましょう。
全国50社以上ある、サイバー攻撃のインシデント調査会社から、「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の判断基準で大規模、小規模サイバー攻撃調査に対応しているおすすめの調査業者を厳選しました。
ランサムウェアの感染調査でおすすめの会社:デジタルデータフォレンジック(おすすめ度)
「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。
- 「ウイルス感染調査や対処を個人で行うのが不安」
- 「ウイルスが感染しているかどうか早く知りたい」
- 「確実な調査や対処を行いたい」
このような場合は、「ウイルス感染しているのか」「いつ、どのような経路でウイルス感染したのか」「漏洩した情報の範囲」について専門業者で調査することをおすすめします。
こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数32,000件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万2千件以上の豊富な実績があります。
規模が大きな調査会社なため、官公庁や大手企業からの依頼実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
ランサムウェアとマルウェアの違い
ランサムウェアはマルウェアの一種です。マルウェアとは「malicious software(悪意のあるソフトウェア)」の略語であり、意図的に機器に不具合を起こす目的で作成されたソフトウェアのことです。
ランサムウェアは名前の通り、「Ransom(身代金)」という単語が使用されており、その名の通り身代金を要求するマルウェアのことを指します。
ランサムウェアの潜伏期間
「The Active Adversary Playbook 2022」によるとランサムウェアの潜伏期間は15日という結果が出ています。
まとめ
ランサムウェアに感染した可能性がある場合、早急に対応する必要があります。システムの不具合で稼働が停止するリスク、情報漏洩が発生するリスクを考慮して正しい選択をするようにしましょう。