無料会員登録
ランサムウェアとは、感染したコンピューターやサーバーのファイルを暗号化し、復号と引き換えに金銭(多くは暗号資産)を要求するマルウェアの一種です。
一度感染すると、重要なデータが開けなくなり、身代金の支払いを求める画面が表示されるなど、業務停止や情報漏えいといった深刻な被害につながる可能性があります。近年では、不特定多数を狙う攻撃だけでなく、企業を標的とした計画的な攻撃も増加しています。「もしかして感染しているのではないか?」「この症状はランサムウェアなのか確認したい」といった状況では、まず落ち着いて感染の有無を確認し、適切な初動対応を取ることが重要です。
本記事ではランサムウェアに感染しているか確認する方法について解説します。
ただし下記の場合はランサムウェア感染調査に対応した専門業者まで相談することを強くおすすめします。
- 「すでにデータが暗号化されている」
- 「業務停止や情報漏えいなどの実被害が発生している」
- 「被害範囲や侵入経路を正確に把握したい」
まずは慌てずに、専門家と提携して適切な対応を取りましょう。
目次
ランサムウェアに感染しているか確認する方法
企業や組織でランサムウェアの被害を受けた場合、初期段階での兆候を正しく見極めることが重要です。感染に気づかず業務を続けてしまうと、暗号化が広がり復旧不能な状態に陥るリスクもあります。以下のポイントを確認し、早期発見と適切な対応につなげることが求められます。
- 身代金要求画面が表示されているか
- ファイルの拡張子変更や暗号化が行われているか
- 保護ソフト・対策ツールで検知されているか
- デスクトップに身代金要求メモや不信ファイルが残っているか
身代金要求画面が表示されているか
ランサムウェアの代表的な兆候は、デスクトップやフォルダ上に「身代金を支払え」という趣旨のメッセージが表示されることです。英語や日本語を問わず、特定のビットコインアドレスや支払い方法が記載されているケースが多いため、これが確認できた時点で感染の可能性が非常に高いといえます。
ファイルの拡張子変更や暗号化が行われているか
突然、社内の共有フォルダやPC上のファイルが開けなくなり、拡張子が不自然に変化していたり、文字化けしている場合は要注意です。ランサムウェアはデータを暗号化し、利用できない状態にするのが特徴です。正常な状態との違いを確認することで感染を早期に疑うことが可能です。
保護ソフト・対策ツールで検知されているか
アンチウイルスやエンドポイントセキュリティ製品がランサムウェアの挙動を検知するケースも少なくありません。検知ログやアラートが出ているにも関わらず放置すると、感染が拡大し被害規模が大きくなるため、セキュリティツールからの通知は即座に確認し対応する必要があります。
デスクトップに身代金要求メモや不信ファイルが残っているか
ランサムウェアは感染後に「README」「HOW_TO_DECRYPT」といった名称のテキストファイルを生成し、デスクトップや主要フォルダに配置する傾向があります。これらは攻撃者からの要求メモであり、存在している場合は被害が発生している可能性が極めて高いといえます。
ランサムウェア感染時の初動対応
ランサムウェア感染時の初動対応は次のとおりです。
- インターネット接続を切断する
- バックアップから感染前のデータを復元する
- ランサムウェアの復号ツールがあるかを調べる
- 身代金を支払わない
- 専門家との提携・調査を検討する
なお、セキュリティソフトウェアは、ランサムウェアの検知やブロックに有効な役割を果たします。あらかじめ最新版にアップデートすることで、より高い防御力を確保することができます。
感染したコンピューターをオフラインにする
ランサムウェアは通常、インターネット経由でコンピューターに侵入し、感染したコンピューター内のデータだけでなく、ネットワーク上の他のコンピューターにも感染することがあります。そのため、感染が疑われる場合には、感染したコンピューターとネットワーク上の他のコンピューターをすぐにシャットダウンし、オフラインにすることが重要です。
有線ではLANケーブルを外す、無線ではWi-Fiをオフにすることでネットワークから切断し感染被害を最小限に抑えましょう。これによりランサムウェアの拡散を最低限、防ぐことができます。
バックアップから感染前のデータを復元する
バックアップを定期的に取得している場合には、感染前のデータをバックアップから復元することで、ランサムウェアによる被害を最小限に抑えることができます。
ただし、ネットワークストレージは、ランサムウェアに感染し暗号化されてしまうと復旧は困難であると言われています。一方、ボリュームシャドウコピー(Windows 7やWindows 10でデフォルトで有効になっている『システムの復元』)から復旧させる方法もあります。しかし、ランサムウェアの中にはボリュームシャドウコピー自体のデータも暗号化してしまうものあるため確認が必要となります。
ランサムウェアの復号ツールがあるかを調べる
復号ツールが公開されているかを調べることで、被害を最小限に抑えることができる場合があります。ただし、復号ツールが公開されている場合でも、完全にデータを回復できるわけではないため、注意が必要です。
身代金を支払わない
身代金は絶対に払わないようにしましょう。身代金を支払ったとしてもデータが復元される保証はありません。それどころか中には身代金の支払い後にデータを削除してしまうランサムウェアも存在します。
また、身代金の支払いは、反社会的勢力の活動助長や、さらなるサイバー攻撃へ寄与に繋がりかねないため、身代金は支払わないようにしましょう。
専門家との提携・調査を検討する
ランサムウェアに感染してしまった場合、情報漏えいの有無を調査したうえで、再発防止策をとる必要があります。しかし、これには専門的なリテラシーが必要です。
この際、有効活用されるのが、デジタルフォレンジック調査です。これは、ランサムウェア感染の原因や被害の範囲を調査するために行われます。以下に、デジタルフォレンジック調査の流れを説明します。
証拠の確保
まず、被害の発生したコンピューターやデバイスなどからランサムウェアが感染したファイルや、ログファイルを調査します。
証拠の解析
次に、確保した証拠を解析します。
解析には、ハッシュ値の照合やファイルの復元などの技術を用います。解析の際には、解析結果を厳密に記録することが重要です。
証拠から原因を特定
解析した結果から、ランサムウェア感染の原因を特定します。
感染原因は、メールの添付ファイルや、不正なリンクを含むメールのクリックなどが考えられます。
被害範囲の調査
感染したコンピューターだけでなく、ネットワーク上の他のコンピューターにも感染していないかを調査します。
調査の際には、システムログやネットワークトラフィックの解析を行います。
なお、システムを初期化すると、調査に支障をきたす可能性が高く、注意が必要です。また、証拠の確保や解析には専門知識が必要であるため、業務を委託する場合には、信頼できる専門家に依頼することが重要です。
まずはランサムウェアのフォレンジック調査に対応している業者への相談を検討しましょう。
フォレンジック調査
ハッキング調査に活用される技術として「フォレンジック」というものがあります。これは別名で「デジタル鑑識」とも呼ばれ、スマホやPCなどの記憶媒体、ないしネットワークに残されているログ情報などを調査・解析する際に用いられます。
フォレンジックは、最高裁や警視庁でも法的な捜査方法として取り入れられており、セキュリティ・インシデントの調査において最も有効な調査手法のひとつとなっています。
フォレンジック調査専門業者の実力を確実に見極めるためのポイント
- 実績がある
- スピード対応している
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記の6つのポイントから厳選したおすすめランキング1位の業者が、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
✔警視庁への捜査協力を含む、累計39,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧技術を保有(※)
(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2021年)
こちらのデジタルデータフォレンジックは、累積ご相談件数39,000件以上を誇る、対応件数で国内最大級のフォレンジック業者です。マルウェア感染・情報漏洩・社内不正といったインシデント調査からデータ復元技術を活用した証拠復元まで幅広くサービス展開しています。
ランサムウェアに感染するとどうなるのか
ランサムウェアに感染すると、次のような被害に遭うとされています。
- データ暗号化
- 身代金の要求
- データの消失や流出
データ暗号化
ランサムウェアに感染すると、ファイルが暗号化されます。
この暗号化は、通常の方法でファイルにアクセスすることを不可能にするため、ファイルにアクセスするためには特殊な鍵が必要になります。このため、被害者は鍵を入手するために、ランサムウェアによって要求された金額を支払うことが求められます。
身代金の要求
感染したコンピューターには、上記のような要求画面が表示されることがあります。
この画面には、暗号化されたファイルの復号に必要な情報や、暗号解除のための支払い方法が記載されています。
ランサムウェアによって要求される金額は、数百ドルから数千ドルに及びます。しかし、被害者が支払いを行った場合でも、暗号化されたファイルが復号されるとは限りません。また、支払った金額に応じて、犯罪者による標的型攻撃の対象になる可能性があることに注意が必要です。
データの消失や流出
ランサムウェアによって暗号化されたファイルが復元できない場合、データの消失や流出が発生する可能性があります。
このため、ランサムウェアに感染してしまった場合でも、すぐにバックアップからデータを復元することが重要です。
注意点としては、ランサムウェアに感染しないよう、常にセキュリティ対策をしっかり行うことが重要です。また、ランサムウェアに感染した場合でも、決して要求された金額を支払わないことが重要です。
さらに、不審なメールやリンクを開かない、セキュリティソフトウェアを最新版にアップデートする、バックアップを定期的に行うなどの予防措置も重要です。
ランサムウェア感染時にやってはいけないこと
ランサムウェアに感染した疑いがある場合、焦って誤った対応を取ると被害が拡大したり、復旧の可能性を自ら狭めてしまうことがあります。以下の行動は特に避けるべきです。
身代金を支払う
攻撃者の指示に従って身代金を支払っても、データが確実に復元される保証はありません。実際に、支払い後も復号キーが送付されないケースや、追加の金銭を要求される事例も報告されています。さらに、身代金の支払いは攻撃者の資金源となり、結果としてさらなるサイバー攻撃を助長する可能性があります。身代金の支払いは推奨されません。
すぐに端末の初期化・再インストールを行う
感染直後にシステムを初期化してしまうと、侵入経路や被害範囲を特定するための証拠(ログやマルウェア痕跡)が失われる可能性があります。
特に法人環境では、
- 情報漏えいの有無の確認
- 法的報告義務への対応
- 保険申請や対外説明
に必要な証拠が消失する恐れがあるため、安易な初期化は避けるべきです。
感染端末をネットワークに接続したままにする
ランサムウェアは、同一ネットワーク内の他の端末やサーバーへ拡散する場合があります。ランサムウェア感染が疑われる端末は速やかにネットワークから切断し、LANケーブルを抜く、Wi-Fiをオフにするなどの対応を行いましょう。拡散を防ぐことが最優先です。
ログやファイルを削除してしまう
不審なファイルやメモを見つけても、ランサムウェア感染の証拠として重要なものである可能性があります。
削除する前に、「スクリーンショットを保存」「ログファイルをバックアップ」「時刻や状況を記録」するか、そのままの状態でフォレンジック調査会社に相談し、証拠保全を実施してもらうことをおすすめします。
自己判断で復号ツールを多用する
インターネット上には多数の「無料復号ツール」が公開されていますが、出所や信頼性が不明なツールを使用すると、データがさらに破損したり、追加のマルウェアに感染するリスクがあります。特に、攻撃者(ランサムグループ)から直接提供される復号ツールは、安全性が保証されていません。実行することで追加のバックドアが設置される可能性も否定できません。復号ツールを利用する場合は、信頼できるセキュリティベンダーや公的機関が公開しているものかどうかを必ず確認し、安易に実行しないことが重要です。
ランサムウェアの主な感染経路と確認方法
ランサムウェアの感染経路は、他のマルウェアと同様にメールやWebサイトが主体となっており、その手口は巧妙化し続けています。
ランサムウェアの主な感染経路は以下のとおりです。
- フィッシングメール
- 悪意ある偽サイト
- 悪意のあるプログラムのダウンロード
- ネットワーク内の脆弱性
- USBドライブや外部ハードドライブ
フィッシングメール
フィッシングメールを介したランサムウェア攻撃は、請求書、配送通知、人事関連文書などを装い、悪意のあるマクロ付きOfficeファイルやスクリプトを実行させるものです。最近では、HTML添付ファイル経由で認証情報を窃取し、OneDriveやDropbox経由などで悪性ファイルを配布して多段階に攻撃を仕掛けるといった手口も見られます。
- 感染直前に開封した添付ファイルの有無
- マクロ実行履歴
- メールサーバーログの異常
- 同一メールの社内一斉配信状況
以上4点をランサムウェア感染が疑われる場合は確認しましょう。
悪意のある偽サイト
攻撃者は、偽のWebサイトを作成し、正規のWebサイトと同じように見せかけます。この際、正常なWebサイトからリンクを辿るうちに不正なサイトへ誘導されてしまったり、あるいは「フォントがインストールされていないため文字化けしている」と表示され、フォントをインストールするように見せかけ、ランサムウェアを感染させられることもあります。
偽サイトにアクセスすると、自動的にランサムウェアがダウンロードされ、コンピューターに侵入することがあります。このような悪意のあるWebサイトからのランサムウェア感染を確認するためには、以下の点を確認しましょう。
- 直前にアクセスしたURL履歴
- ブラウザのダウンロード履歴
- 不審な実行ファイルの作成日時
悪意のあるプログラム
正規ソフトを装った偽インストーラーや、クラック版ソフト、改ざんされた配布ファイルを実行することでランサムウェアに感染するケースがあります。これはランサムウェア単体ではなく、EmotetやQakBotなどのローダー型マルウェアを経由し、内部ネットワークに侵入した後に最終段階として暗号化を実行するというものです。
感染経路を確認する際は、直前に実行された不審なプログラムや、新規作成された実行ファイルの有無を確認することが重要です。特に「ProgramData」や「Temp」フォルダ内の不審なファイル、スタートアップ登録、スケジュールタスクの追加などは侵入の痕跡となる可能性があります。
- 直近にインストールされた不明なソフトの有無
- セキュリティログ上の不審なプロセス実行履歴
- 管理者権限で実行された未知のプログラム
単なる暗号化だけでなく、その前段階の侵入痕跡を追うことが感染経路特定の鍵になります。
ネットワークの脆弱性
企業環境では、VPNやRDPなどのリモートアクセス経路の脆弱性を突いた侵入が増加しています。攻撃者は外部公開されたサービスに対し総当たり攻撃や既知の脆弱性攻撃を行い、管理者権限を取得した後に内部ネットワークへ横展開します。の種の侵入では、暗号化が実行される前に長期間潜伏しているケースもあります。
確認すべき主なポイントは次のとおりです。
- 深夜帯や海外IPからの管理者ログイン
- 短時間に大量のログイン失敗記録
- 不審な管理者アカウントの追加
- ファイルサーバーへの大量アクセス履歴
単なる端末感染ではなく、ネットワーク全体の侵害として調査する視点が重要です。
USBドライブや外部ハードドライブ
閉域網や製造業環境などでは、USBメディア経由での感染も報告されています。感染済みメディアを接続することでマルウェアが実行されるケースがあります。
確認の際は、感染発覚直前に接続された外部デバイスの履歴や、自動実行関連ログを確認することが重要です。特定のUSBメディアが複数端末で使用されている場合、横断的な感染の可能性も考慮する必要があります。
主なランサムウェアの種類とその特徴
主なランサムウェアの種類とその特徴は次のとおりです。
- 暗号化型ランサムウェア
- ロック型ランサムウェア
- 二重脅迫型ランサムウェア
- スケアウェア
- モバイルランサムウェア
暗号化型ランサムウェア
これはファイルを暗号化することで、被害者に身代金を要求するランサムウェアです。
一度感染すると、重要なファイルを開くことができなくなり、身代金を払わなければ復元することができません。なお、このランサムウェアは既知の脆弱性を突くのではなく、ユーザーが実行するファイルを偽造することで感染することが多く、いわゆる「ゼロデイ攻撃」で被害に遭いやすいものといえます。
感染を防ぐためにも、ユーザーが不審なメールやファイルを開かないことが重要です。また、バックアップを定期的に取ることで、被害を最小限に抑えることができます。
ロック型ランサムウェア
これはシステムのブートセクタに感染してパソコン画面全体をロックし、アクセスを拒否するランサムウェアです。一度感染すると、一般的な対応では対処できません。ロック型ランサムウェアに感染した場合、ハッキング調査の専門家に相談し、適切に被害状況を把握することが必要となります。
二重脅迫型ランサムウェア
二重脅迫型ランサムウェアは近年増加しているランサムウェア攻撃種類の1つです。これはデータの暗号化に加え、暗号化されたデータの一部をインターネット上に公開すると脅迫を行うのが特徴です。
二重脅迫型の手法は、攻撃者にとって被害者からの身代金支払い確率を高めるための戦略です。データの暗号化だけではなく、データの漏洩という追加の脅迫により、被害者に対する圧力を増大させます。
スケアウェア
これは脅迫メッセージ(偽警告)を表示して、被害者を恐怖に陥れるランサムウェアで「スケアウェア」と呼ばれます。たとえばウイルススキャンを装い、ウイルス検出を偽って、ユーザーに支払いを迫るのが特徴です。
モバイルランサムウェア
これはモバイルデバイス(スマートフォンやタブレット)を対象にしたランサムウェアです。おもにSMSのスパムや、不正なWebサイトやアプリからのダウンロード、アプリ内購入などを介して拡散されることが多く、支払いはクレジットカードやビットコインなどで行われます。なお、このタイプのランサムウェアは、主にAndroidデバイスで発生しており、iOSデバイスではまれです。
代表的なランサムウェアとその特徴
過去にはWannaCryやPetyaなどが世界規模で拡散しましたが、近年はLockBitやRyukなど、特定企業を狙う高度化した攻撃が増加しています。特にLockBitやQilinは、侵入後に内部ネットワークを横展開し、データを窃取したうえで暗号化を実行する「二重脅迫型」の代表例です。データリークの可能性がある場合、ダークウェブ上での流通確認が必要になるケースもあります。
- WannaCry:2017年に世界中のコンピューターシステムに被害をもたらした
- LockBit:2022年に流行したランサムウェアで、主にメールアタッチメントから感染
- Qilin:2022年頃から活動している二重脅迫型ランサムウェアで、企業や病院を標的に感染
おすすめランサムウェア被害調査業者
ランサムウェア被害調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計3万9千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も395件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
| 費用 | ★相談・見積り無料 まずはご相談をおすすめします |
|---|---|
| 調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
| サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
| 特長 | ✔官公庁・法人・捜査機関への協力を含む、累計39,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
| 基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
| 受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
ランサムウェアに感染しないための対策方法
ランサムウェアの対策法は、主に次の4つです。
- 不審なメール、および添付ファイルを開かない
- OSやソフトウェアのアップデートを怠らない
- 定期的なバックアップを心掛ける
- ランサムウェアに適したセキュリティ製品を導入する
不審なメール・添付ファイルを開かず、マクロを無効化する
不審なメールや添付ファイルを安易にクリックしないようにしましょう。もっとも、攻撃者は不自然さをごまかすため、詐取した関係者の氏名を悪用したり、信頼度が高い大手ECサイトや運送業者を騙ったりするなど、あの手この手でメールおよび添付ファイルを開封させようとします。
とくにWindowsのoffice製品にある「マクロ」(自動的にファイルを展開する機能)は悪用されやすいので、マルウェア・ランサムウェアをダウンロードしても、自動で実行されないように、あらかじめ、マクロ機能は無効化しておきましょう。
OSやソフトウェアのアップデートを怠らない
ランサムウェアは脆弱性を攻撃してウイルス感染させるという特徴を持つことから、ご使用のOS、ソフトウェア、デバイスのバージョンを常に最新のものにアップデートしておくことが効果的と言えます。
定期的なバックアップを心掛ける
定期的にデータのバックアップをとることで、万が一ランサムウェアに感染してしまったとしても、失ってはならないデータを退避させておくことが可能です(仮に身代金を払っても、データが復号されないケースがあります)。
ランサムウェアに適したセキュリティ製品を導入する
ランサムウェア感染対策のセキュリティソフトを導入することで、感染被害を抑えることができます。また、セキュリティソフトの働きによって、データが全て暗号化されてしまうのをなるべく早く止められる可能性があります。
まとめ
ランサムウェアは、企業や公的機関を標的とする高度な攻撃へと進化しており、暗号化だけでなく情報漏えいを伴うケースも増えています。感染が疑われる場合は、まず落ち着いて症状を確認し、速やかにネットワークから遮断するなどの初動対応を行うことが重要です。
また、安易な初期化や身代金の支払いは被害を拡大させる可能性があるため避けるべきです。被害範囲の特定や侵入経路の調査が必要な場合には、専門的なフォレンジック調査を検討することも有効です。
日頃からのバックアップ取得や脆弱性対策を徹底し、万が一の事態に備えることが、被害を最小限に抑える鍵となります。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
