ランサムウェア感染のデータの復旧方法とは？ 復旧にかかる費用や時間を解説

ランサムウェア感染後のデータ復旧は可能？

ランサムウェアに感染してデータが暗号化されてしまった場合、データが復旧できるのでしょうか。結論からお伝えすると、暗号化されたデータそのものを完全に元通りに復旧させるのは難しいといえます。仮にランサムウェアの特定と駆除に成功し、データの復旧を試みたとしても、復旧したデータが感染前の状態に復元されるかどうかはわかりません。攻撃者がマルウェアを仕込んでいないか、データが不正に改変されていないか、詳細に分析・調査する作業は困難を極めます。

実際、ランサムウェアに感染しデータが暗号化される被害に遭った企業のうち、およそ3分の1がデータの復旧に失敗しているという調査結果もあります。また、復旧には多くの費用と時間がかかることが想定されますので、ランサムウェアに感染した際には適切な初動対応を行うとともに、事前にランサムウェア対策を講じておくことも欠かせません。

ランサムウェアに感染した場合のデータ復旧方法

ランサムウェアに感染した場合に、データを復旧するにはどのような方法があるのでしょうか。主な復旧方法について解説します。

バックアップから復旧する

暗号化されたデータを復旧する方法として、感染前のデータのバックアップから復元する方法があります。バックアップが取得されていれば、攻撃者に対して身代金を支払うことなくバックアップ時点の状態に戻せるのです。しかし、この復旧方法を用いるには2つの条件をクリアしなければなりません。

1つ目の条件は、バックアップされているデータがランサムウェアに感染していないことです。バックアップデータを保存しているハードディスクなどがネットワークに接続されていた場合、バックアップデータもランサムウェアに感染している可能性があります。感染したデータを用いて復旧を試みれば、当然ながら復旧されたデータもランサムウェアに感染しているのです。そのため、バックアップを取得したハードディスクなどは、必ずネットワークから切り離された状態で保管する必要があります。

2つ目の条件は、組織内のPC、IT機器やネットワークからランサムウェアが駆除されていることです。ランサムウェアがネットワーク内に残っている状態でデータを復旧した場合、復旧後のデータが再びランサムウェアに感染する可能性があります。ですから、必ずランサムウェアが駆除されたことを確認してから、バックアップデータの復元を行う必要があるのです。

No More Ransomで復旧する

ランサムウェアの特定とデータの復元は、Webサイト「No More Ransom」を利用することで可能な場合があります。No More Ransomは、オランダ警察や欧州サイバー犯罪センターのほか、複数のセキュリティ対策ソフトウェアベンダーが共同で運営しています。使い方としては、No More Ransomのメニューから「ランサムウェアの特定」を選択し、暗号化されたファイルのアップロードページに遷移します。ここでは、最大1MBのファイルを一度に2つまでアップロード可能です。

次に、身代金を要求するメッセージに表示されているメールアドレスやWebサイトのURL、オニオンアドレス（.onionで終わるURL）を入力します。メールアドレスやURLの代わりに、攻撃者から届いたファイルがある場合には、「こちらからアップロードしてください」のリンクからアップロードしてください。以上の準備が完了し「結果を見る」をクリックすれば、アップロードされた情報を基にランサムウェアの種類を自動で分析してくれます。

あとは結果を見て、解決策がある場合には、同サイトの「復号ツール」ページで有効と思われるツールをダウンロードできます。ただし、復号ツールを実行してもシステム内にランサムウェアが残っていれば再び感染する可能性があるので、復号ツールを実行する前にウイルス対策ソフトウェアなどを利用してランサムウェアを除去しておくことが大切です。

セキュリティベンダーの無償ツールで復旧する

セキュリティベンダー各社は、ランサムウェアをはじめとする不正プログラムを検出する無償ツールを提供しています。こうしたツールをダウンロードして実行することで、ランサムウェアの特定と除去が可能な場合もありますが、これらは有償ツールとは異なり、ベンダーのサポート対象外です。また、使用方法などについてベンダーに問い合わせてもサポートは受けられません。感染したランサムウェアによっては非対応の可能性もある点を理解しておくことが大切です。

また、無償ツールと銘打って提供されているツールの中には、不正なツールも存在します。こうしたツールを実行してしまうと、さらに別のマルウェアに感染してしまうこともあるため注意が必要です。無償ツールを活用する際には信頼できる開発・提供元によるものであるかどうかを必ず確認し、悪質な業者によるマルウェア感染の被害を防ぐように努めます。

ランサムウェア感染後のデータ復旧にかかる費用や時間

ランサムウェアによって暗号化されたデータを復旧するには、どの程度の費用や時間がかかるのでしょうか。警察庁が公表しているデータから、具体的な費用や時間の目安を確認していきます。

復旧までの費用

過去の事例において、ランサムウェア被害の調査・復旧に要した費用総額の割合は次のとおりです。

調査・復旧費用の総額が1,000万円以上に上ったケースが、全体の31％を占めています。被害の規模やランサムウェアの種類などによって費用には開きがあるものの、全体として多額の費用がかかっているケースが多いことは間違いありません。

復旧までの時間

警察庁が公表しているデータによれば、過去の事例においてランサムウェア被害からの復旧に要した時間の割合は次のとおりです。

最も割合が高い回答は「1週間以上1か月未満」で、全体の3割強です。この間、正常に業務を進められないことに加え、調査・復旧のために時間と労力が費やされていることを踏まえると、甚大な損失が生じていると考えられます。また、復旧に1か月以上を要したケースが全体の17％を占めていることに加え、調査時点で「復旧中」と回答した企業が全体の4分の1に上っていることは注目すべきポイントです。一度ランサムウェア被害が発生すれば、長期にわたって多大な影響を受け続ける可能性が高いことがわかります。

ランサムウェアの感染リスクを抑える対策

ランサムウェア被害に遭うと、データ復旧のために多大な費用と時間を費やさなくてはならない可能性があります。ですから、そもそもランサムウェアに感染するリスクをできるだけ抑えられるよう、対策を講じておくことが重要です。ランサムウェア被害に遭わないための主な対策として、下記のような方法があります。

セキュリティソフトウェアを導入する

ランサムウェアをはじめとするマルウェアへの対策には、セキュリティソフトウェアの導入が不可欠です。セキュリティソフトウェアは不正なプログラムを検知し、必要に応じて駆除します。セキュリティソフトウェアによっては、不審なデータを検知した時点で該当する端末をネットワークから遮断する機能を備えたものもあり、適切な初動対応を実施する上で有効です。

ただし、セキュリティソフトウェアがあらゆる種類のランサムウェアへの感染を防げるとは限りません。攻撃者は常に新たな手口で攻撃を仕掛けてくるため、未知のマルウェアに対してはセキュリティソフトウェアが対応できない可能性もあるからです。セキュリティソフトウェアが検知するマルウェアの種類は、定義ファイルにリストアップされていきます。セキュリティソフトウェアのアップデートをこまめに実施することで、常に最新の定義ファイルが適用されている状態を維持することが重要です。

OSやソフトウェアは最新の状態を保つ

業務で使用するすべてのOSやソフトウェアは、必ず最新バージョンにアップデートしておきます。アップデートプログラムの中には、実際に発生したランサムウェア被害などを踏まえて脆弱性を修正したものが少なくありません。古いバージョンのOSやソフトウェアを使い続けること自体が、組織にとってセキュリティホールとなり得るのです。

なお、OSやソフトウェアのアップデートは従業員任せにせず、管理者が状況を確認しながら進めることも重要なポイントです。業務の状況によっては、忙しくて自身が使用する端末をアップデートする時間を確保できないといった理由で、アップデートを後回しにする従業員が現れることも想定されます。すべてのPC・IT機器がもれなくアップデートされているか、情報システム管理者が把握できる仕組みを整えておくことが大切です。

セキュリティ対策について従業員への教育を実施する

ランサムウェアの被害は、従業員の不注意や操作ミスによって発生する場合があります。例えば、不審なメールに添付されているファイルの内容を確認するために、ファイルを安易に開いてしまうといったケースです。システム上のセキュリティ対策を講じたとしても、こうしたヒューマンエラーによるランサムウェアへの感染は完全に防ぐことはできません。セキュリティ対策に関する従業員への教育は欠かすことができないのです。

定期的にセキュリティ対策の研修を実施したり、ランサムウェア被害の実態や攻撃者の手口について社内で情報共有したりすることにより、従業員のセキュリティ対策への意識を高めていく必要があります。日々の業務でPCやIT機器を扱うすべての従業員に、ランサムウェア被害を自分事として捉えてもらうことが大切です。

データを定期的にバックアップする

万が一ランサムウェアに感染してしまった場合に備えて、データを定期的にバックアップすることをお勧めします。感染前の時点でバックアップが取得されていれば、攻撃者に対して金銭を支払う必要はないからです。こまめにバックアップを取得するには、定期的に自動バックアップを実施するプログラムを活用するのが便利です。

また先ほども述べたように、バックアップデータそのものがランサムウェアに感染することのないよう、バックアップデータは社内のネットワークから切り離して保管する必要があります。バックアップを取得したら保存先のハードディスクなどをネットワークから切り離し、バックアップデータへ物理的にアクセスできないようにします。

ランサムウェアには安全＆確実な情報セキュリティで事前の対策を

ランサムウェアに感染したデータを復旧する手段はあるものの、被害を避けるためにはランサムウェアへの事前対策を強化し、感染を未然に防ぐことが大切です。ランサムウェア感染のリスクを最小限に抑えるための適切な情報セキュリティ対策に取り組みたい事業者様には、Ｓｋｙ株式会社が提供する「SKYSEA Client View」の活用をお勧めします。

クライアント運用管理ソフトウェア「SKYSEA Client View」は、サイバー攻撃のリスク対策を実現するさまざまな機能を搭載したツールです。組織内のすべてのIT機器を把握し、管理漏れをなくすことで、セキュリティホールの発生を未然に防ぎます。また、ソフトウェアを一斉配付する機能も備えているため、組織内のすべての端末を一斉にアップデートすることも可能です。さらに、未知のマルウェアを素早く発見し、隔離して調査するためのオプション機能もご用意しています。ランサムウェアの脅威に適切な備えをしておきたい事業者様は、ぜひ「SKYSEA Client View」の導入をご検討ください。