【ランサムウェア被害】データ復旧や感染経路の調査|専門業者について徹底解説|サイバーセキュリティ.com

【ランサムウェア被害】データ復旧や感染経路の調査|専門業者について徹底解説



ランサムウェアはPC内のファイルを暗号化して身代金を要求するマルウェア(ハッキングのために使用される悪質なソフトウェア)です。近年ランサムウェアのよる企業への攻撃が激化しており、多くの被害を及ぼしています。

本記事では、ランサムウェアに感染した場合の適切な対処法や専門業者について解説していきます。

ランサムウェアとは

ランサムウェアは、感染した端末の操作やファイルを使用不能にし、復旧・復号を引き換えに身代金(Ransom)を要求する特徴を持つマルウェアの1種です。暗号化型・画面ロック型の2つに大別でき、中には身代金を払ったにもかかわらず復号化されず、ファイルを破壊してしまう悪質なもの存在します。

  • 暗号化型Erebus, Bad Rabbitなど)
    • ファイルを全て暗号化して使えなくする
    • データ自体が操作されている
  • 画面ロック型( Win32/Reveton, Jisutなど)
    • 画面をロックして操作をできなくする
    • データ自体は操作されていない

世界的にも企業・組織を狙ったランサムウェアを使用したサイバー犯罪は活発化しており、国内のランサムウェアの検出台数も2020年に入り増加傾向に転じています。

変化し続けるランサムウェアの攻撃手法

近年、ランサムウェアの攻撃手法は従来の不特定多数をターゲットとした「ばらまき型」から企業・組織をターゲットとした「標的型」に変化しています。

出典IPA

従来の不特定多数を狙う「ばらまき型」では、感染被害者がどの程度金銭を支払うかが予測しづらく効率が悪いですが、「標的型」では脅迫にこぎつければ業務の影響などから、金銭を支払う可能性が高いと考えられます。そのため、効率的に多額の金銭を獲得できる点で企業や組織をターゲットにする攻撃手法の傾向が高まっていると考えられます。

ランサムウェア感染の症状と影響

ランサムウェアに感染したPCは、デバイスの文書や写真ファイルが暗号化されてしまったり、画面がロックされ端末が操作不能になったりします。さらに、ファイル復旧と引き換えに身代金要求画面が表示されて他の操作が一切できなくなることがあります。

また、「暗号化型」のランサムウェアに感染した場合「画面ロック型」と異なり同一のネットワーク上のファイルサーバや接続している記録媒体などにもその影響が及ぶ可能性があります。

出典IPA

ランサムウェアの主な感染経路

ランサムウェアの感染経路は、他のマルウェアと同様にメールやWebサイトが主体となっています。

メール+添付ファイル   最も代表的な感染経路。ソフトウェアの脆弱性有無に関わらず、ファイルを開いてしまうことで感染
メール+URLクリック メールの件名や本文のURLクリックすることで感染(正しいものと見分けが難しい)
不正なWebサイト閲覧 ランサムウェアを仕掛けたWebサイトを作り、ユーザーが閲覧することで感染

感染させる手口は巧妙化し続けており見分けがつかずに感染してしまう事例も多くあります。

たとえば、正常なWebサイトからリンクを辿るうちに不正なサイトへ誘導されてしまったり、「フォントがインストールされていないため文字化けしている」と表示され、フォントをインストールするように見せかけ感染させる手口もあるようです。

ランサムウェア感染時の注意点

身代金を支払わない

身代金は絶対に払わないようにしましょう。身代金を支払ったとしてもデータが復元される保証はありませんそれどころか中には身代金の支払い後にデータを削除してしまうランサムウェアも存在します。また、身代金の支払いは、反社会的勢力の活動助長や、さらなるサイバー攻撃へ寄与に繋がりかねないため、身代金は支払わないようにしましょう。

感染端末をネットワークから切断

感染が発覚した場合は即座に端末をネットワークから切断しましょう。ランサムウェアはネットワークを経由し他の端末へ感染するため、他のPCへの被害の拡散を防ぐ上で重要な初動対応となります。有線ではLANケーブルを外す、無線ではWi-Fiをオフにすることでネットワークから切断し感染被害を最小限に抑えましょう。

個人での作業は控える

ランサムウェアに感染してしまった場合、ご自身で復号化ツールなどを用いて作業することは控えましょう。なぜなら、他のマルウェアとは違いランサムウェアの暗号化の復号は業者でも対応が限られるほど専門的なリテラシーが必要であり、さらにはネットワーク接続による感染被害拡大も懸念されるためです。

ランサムウェア感染時のデータ復旧方法

感染発覚時は、大きく分けて下記の3つの復旧方法を試すことができます。上2つは個人でも試せる復旧方法ではありますが、緊急度やデータの重要性によっては専門業者への相談が懸命です。

バックアップやクラウドストレージから復旧

定期的なバックアップやクラウドストレージの機能で復旧できる可能性があります。クラウドストレージはランサムウェアに感染し暗号化されてしまうと復旧は困難であると言われていますが、ファイル変更履歴や削除ファイル復元機能が搭載されているものもあるため、確認しましょう。

ボリュームシャドウコピーで復旧

ボリュームシャドウコピー(Windows 7やWindows 10でデフォルトで有効になっている『システムの復元』)から復旧させる方法もあります。しかし、ランサムウェアの中にはボリュームシャドウコピー自体のデータも暗号化してしまうものあるため確認が必要となります。

専門業者に相談

上記2つの方法で復旧できない場合は専門業者へ相談することをおすすめします。上述したように感染した端末をネットワークに切断し続けると他のファイルや端末に感染が拡がる可能性があるため個人での作業は最小限に抑え専門業者に相談しましょう。また、企業・組織でランサムウェアに感染してしまった場合は、業務にも影響が出ることが考えられますので早急に専門業者に相談することが最適な対処法と言えるでしょう。

ランサムウェア感染時に対処可能な専門業者

ランサムウェアに対応可能な業者は限られていますが、その中でもデジタルデータソリューション株式会社は、「データを復旧したい」「感染経路を特定したい」「感染の対策をしたい」など網羅的な対処が可能です。

感染経路の調査・特定

感染経路の調査や特定が必要な場合は、デジタルデータフォレンジックに相談しましょう。ランサムウェア以外にもマルウェア感染による情報漏洩やハッキング調査に対応しており、原因の究明やレポート作成での外部への発表のためのフォレンジック調査が可能です。

デジタルデータフォレンジック

サイトデジタルデータフォレンジック

デジタルデータフォレンジックは、ランサムウェア感染・不正アクセス・ハッキング調査など法人を対象とした社内インシデントに対応している専門業者です。警視庁からの捜査依頼実績から官公庁のフォレンジック調査、個人のハッキング相談まで幅広く14,000件以上の対応をしているため、実績面でも信頼がおけるでしょう。

ランサムウェア感染の対策方法

巧妙に変化を続けるランサムウェアの感染対策は、容易ではありません。ウイルス対策ソフトなどでは防げないものも多く対策が非常に難しいですが、ランサムウェアのような最新のマルウェアに適合したセキュリティ製品もリリースされています。

最新のセキュリティ対策製品については下記の記事を参考にしてください

まとめ

ランサムウェアに感染した場合の適切な対処法や専門業者について解説しました。

近年、ランサムウェアは一個人だけでなく企業や公的機関を狙うものが増加傾向にあり被害総額の規模も大きくなっています。本稿でご紹介した注意点や復旧方法を確認し被害を最小限に抑えましょう。

SNSでもご購読できます。