ランサムウェアに感染したら？取るべき対応と避けるべき初動対応

ランサムウェアに感染したらどうなる？

マルウェアの一種であるランサムウェアに感染すると、データが暗号化されて解読不能な状態になったり、窃取されたデータを暴露するといった脅迫文がPCのデスクトップに表示されたりします。攻撃者はデータの暗号化の解除や、情報暴露を停止する代わりに、企業に対して身代金を要求するという手口が一般的です。

こうした特徴から、ランサムウェアは「身代金要求型不正プログラム」「身代金要求型ウイルス」などと呼ばれます。まずは、ランサムウェアの潜伏期間と、感染したら起きることについて見ていきましょう。

ランサムウェアの潜伏期間

ランサムウェアは感染した直後から攻撃を開始するわけではありません。多くの場合、15日程度の潜伏期間を経てネットワークや端末に対する攻撃を始めます。潜伏期間中は、ネットワークを通じてランサムウェアが拡散され、組織内に浸透していきます。感染が拡大してから攻撃を開始するため、ランサムウェアの被害は広範囲に及びやすい傾向があります。

ランサムウェアによる被害

ランサムウェアに感染すると、従業員が使用しているPCなどの端末に次のような異常が見られるようになります。

ランサムウェアによって起こる端末の異常

• 保存データが勝手に暗号化される
• パスワードが勝手に変更される
• データにアクセスした際に警告文が表示され、身代金を要求される
• 画面がロックされ、操作できなくなる

これらの症状が確認された場合、すでに端末は攻撃を受けており、ランサムウェアに感染してしまっている可能性が高いと考えられます。ランサムウェアへの感染が疑われるときには、間違った対応を行わないよう慎重に対処することが重要です。

ランサムウェアに感染したら行うべき対応

ランサムウェアに感染してしまった場合、どのような対応が必要になるのでしょうか。ランサムウェア感染の疑いがある場合も含めて、行うべき対応について順を追ってご紹介します。

1. ランサムウェア感染への疑いは常に持つ

PC内のデータが勝手に暗号化されてしまった場合はもちろん、PCの挙動が普段と異なるなど何らかの違和感を抱いたら、ランサムウェア感染の可能性を疑うことが大切です。「自分には関係ない」「自社だけは大丈夫」と油断せず、感染のリスクは常にあることを認識する必要があるでしょう。

端末の異常をできるだけ早く察知して適切に対応できるかどうかが、感染時の重要なポイントとなります。ランサムウェア感染への疑いを常に持ち、少しでもおかしいと感じたら対処することが対策の基本です。

2. ランサムウェア感染の可能性があれば、即座に端末をネットワークから遮断する

ランサムウェア感染の可能性が疑われる場合に、何よりもまず行うべき対策が、ネットワークからの遮断です。ランサムウェアはネットワークを通じて社内のさまざまな端末へと感染を広げていきます。被害の拡大を少しでも抑えるには、ネットワークからの遮断を素早く行うことが重要です。

有線接続の場合は端末に接続されているLANケーブルを抜き、無線接続であれば端末のWi-Fi設定をオフにします。そして、この時点でPCをシャットダウンしたり、再起動したりすることは絶対に避けてください。

3. ランサムウェア感染の報告をする

ネットワークからPCを遮断できたら、情報システム部門などセキュリティ管理を担っている部署に、ランサムウェア感染の疑いがあることを報告します。報告すべきかを迷っていると、初動対応が遅れる原因となってしまいますので、状況に少しでも違和感があればためらわず迅速に報告してください。

4. 感染状況を確認し、必要な初動対応を整理する

感染の報告を受けた情報システム部門は、現状の感染状況を可能な限り調査することになります。感染している可能性のある端末台数や、組織内のITインフラの被害状況、感染端末内のどのデータが暗号化または破損しているかといった点について確認します。

また、どのような種類のランサムウェアに感染したのかを、できる限り詳しく特定していくことが重要です。ランサムウェアの種類が特定できれば、攻撃手法や暗号化方式、感染経路を把握できる場合があります。これらの調査を通じて、機密情報が外部に流出した可能性がないかを確認することが大切です。

5. 警察署またはサイバー犯罪相談窓口へ通報する

初動対応が完了したら、ランサムウェアの被害に遭ったことを所轄の警察署または都道府県警察本部のサイバー犯罪相談窓口へ通報します。ランサムウェアの被害を受けた企業は、被害の状況を把握した上で報告することが改正個人情報保護法で義務づけられているためです。

なお、ランサムウェアによる攻撃は、関係事業者にも及んでいる可能性があります。行政への報告が相次いでいれば、行政がさまざまな事業者に注意喚起してくれる場合があります。被害を最小限に食い止めるためにも、しかるべき機関・窓口への報告は速やかに実施するようにしてください。

6. 被害の最小化と原状回復を図る

これら機関への通報が済んだら、可能な限り被害の最小化と原状回復を試みます。特に、基幹システムや基幹インフラが被害に遭った場合には、事業の正常な運営が困難になることもあり得ます。できるだけ早く原状回復し、業務遂行が可能な状態に戻すことを目指してください。

例えば、マルウェアに感染した端末はいったん初期化し、感染の疑いのないバックアップデータから復旧する方法などが想定されます。原状回復後は、感染した疑いのあるすべての端末のログイン情報やパスワードを変更し、再度感染するリスクを最小限に抑えることが重要です。

7. ランサムウェアの駆除を行う

マルウェアなどの駆除ツールを導入している場合は、これらツールを活用してランサムウェアを駆除できることもあります。例えば、被害の実態がデータの暗号化のみであれば、セキュリティソフトウェアでランサムウェアの駆除が可能な場合もあります。

ただし、この方法はランサムウェアによって受けた被害の範囲や影響が判明しているケースに限って有効です。被害の実態が十分に把握できていないようであれば、セキュリティの専門家に判断を仰ぐなど、適切な対策を講じてください。

ランサムウェア感染を防ぐ事前対策

ランサムウェアに感染してしまった場合の対応を考えておくのと同時に、感染を防ぐための事前対策を講じておくことも重要です。特に重要度の高い事前対策としては、次の7点が挙げられます。

インシデント対応計画を策定、セキュリティチームを創設する

ランサムウェアの感染をはじめ、何らかのセキュリティインシデントが組織で発生した際の対応計画をあらかじめ策定しておきましょう。どのような手順で、誰が対応するのかを明確にしておくことで、万が一インシデントが発生しても計画に沿って対処できるためです。また、組織内にセキュリティチームなどの専任チームを設けておくことで、より万全な備えが可能になります。

メール経由での感染への対策をする

ランサムウェアの侵入経路として、メール経由での感染はよく使われる手口です。業務でメールをやりとりする現場の従業員には、不審なメールを開封しないように周知・徹底しましょう。また、発行元が不明な添付ファイルや、不審なURLをむやみに開かないことも重要なポイントです。特にメールの利用頻度が高い職場では、従業員一人ひとりのセキュリティ意識向上を図ることが、ランサムウェア感染防止の有効な対策となります。

ユーザー権限を厳格に制御する

ユーザー権限を厳格に制御すると、攻撃者が自社のユーザーになりすまして侵入するリスクを軽減できます。特に、秘匿性の高い内部情報に関しては、必要な従業員のみアクセスできる状態にしておくことが大切です。また、組織で使用する端末はすべてにIDとパスワードを設定するとともに、定期的にパスワードを変更したり、2段階認証を導入したりすることで、セキュリティレベルを高めていく必要があります。

定期的なバックアップを実施する

ランサムウェアの被害に遭うと、社内のデータが暗号化されアクセス不能になることも想定されます。そのため、データのバックアップは定期的に実施し、被害を最小限に抑えることが大切です。なお、バックアップデータそのものがランサムウェアに感染しないよう、ファイルサーバーにアクセス制限をかけるといった対策も必須となります。

VPN機器などの脆弱性対策を行う

ルーターなどのVPN（仮想専用線）機器の脆弱性が放置されていると、ランサムウェアの攻撃を受けやすくなります。VPN機器のファームウェアアップデートを定期的に実行し、すでに判明している脆弱性について解消された状態を維持することが大切です。古いVPN機器を使い続けている場合には、メーカーの保証期間が切れていたり、ファームウェアアップデートが終了していたりすることで、脆弱性が放置された状態である可能性があります。使用している機器は定期的に点検し、古くなった機器は買い替えることをお勧めします。

従業員のリテラシーを強化する

ランサムウェアによる攻撃の手口には、ユーザーの不注意を悪用しているものも少なくありません。不審な添付ファイルを興味本位で開いたり、開く必要のないURLをクリックしたりすることにより、組織内に感染が広がるケースも多いのが実情です。

そのようなことがないように従業員のリテラシーを強化するには、セキュリティ研修や、インシデント発生時を想定した訓練を実施し、情報セキュリティに対する意識を高めていくことが効果的です。従業員が当事者意識を持ってセキュリティ対策に当たることで、ランサムウェア感染を防ぐことができる可能性は高まります。

ランサムウェア対策ソフトウェアを導入する

ランサムウェアの侵入を防ぎ、侵入した形跡を検知できるソフトウェアを導入することも、有効な対策といえます。異常なアクティビティや不正なトラフィックが検知された際には、それらを自動的にブロックすることでランサムウェアへの感染リスクを低減できるでしょう。また、これらソフトウェアの導入は、従業員のリテラシー向上と並行して進めることで、セキュリティレベルを一気に向上することができる可能性があります。

ランサムウェアに感染したら、絶対に避けるべき初動対応

万が一、ランサムウェアに感染した場合、絶対に避けるべき初動対応がいくつかあります。被害の拡大を防ぐためにも、次に挙げる3点については社内で周知徹底することをお勧めします。

感染した端末をすぐに再起動すること

ランサムウェアに感染した端末をシャットダウンしたり再起動したりすると、停止していたデータの暗号化が再開してしまう恐れがあります。そうなった場合は端末内で無事だったファイルまで閲覧できなくなる可能性があるため、端末に異常な挙動が見られるからといって即時に再起動しないことが大切です。

感染後にデータのバックアップを取得すること

ランサムウェアに感染した端末のデータをバックアップすると、バックアップからデータを復旧した際に再び感染してしまうリスクが高まります。また、バックアップに使用するサーバーそのものがランサムウェアに感染してしまえば、組織内で一気に感染が広まる原因にもなりかねません。ランサムウェア感染が疑われる場合には、バックアップデータの取得は行わないように徹底する必要があります。

プロや警察に相談せず、攻撃者に身代金を支払うこと

攻撃者からのメッセージをうのみにしないことも、重要なポイントです。もし攻撃者から要求されるままに身代金を支払ったとしても、データが元通りに復旧される保証はありません。セキュリティの専門家や警察への相談を経てから、適切な対応策を見極め、実施することが大切です。

組織を脅かすランサムウェアへの対策には、安全で確実な方法を

ランサムウェアに対する備えは、ネットワークに接続された機器を使用している限り、どのような組織でも求められます。できるだけ安全かつ確実な対策を講じて、ランサムウェアの脅威から組織を守るように取り組むことが重要です。

「SKYSEA Client View」は、ランサムウェアなど悪意のある攻撃への対処として、多層防御による情報セキュリティ対策の実現をサポート。UTMや次世代ファイアウォールと連携することで、マルウェアなどによる不審な通信を検知し、管理者に素早くアラートで通知することも可能です。また、ウイルスが検知されたPCをネットワークから自動遮断し、速やかな調査の実施を支援する機能なども搭載しています。ぜひ、「SKYSEA Client View」の充実した機能をご確認ください。