無料会員登録
ランサムウェアに感染した際、攻撃者の要求通り身代金を支払ってもデータが戻ってくる確率は低いとされています。
一度ランサムウェアに感染してしまったらデータを取り戻す方法はないのでしょうか。実は、一部のランサムウェアは無料で利用できる復号ツールが公開されていたり、ランサムウェア復旧の相談可能なデータ復旧業者もあり、安全にデータ復旧できる可能性があります。
本記事では、ランサムウェアによって暗号化されたデータの復旧方法4つと注意点、データ復旧の成功率を上げるための適切な初動対応について解説します。
【緊急窓口あり】ランサムウェア復旧に対応している専門業者はこちら>
目次
ランサムウェア感染時の初動対応
ランサムウェアに感染した際、感染拡大を防ぎ少しでも安全に復旧するためには初動対応が肝心です。
初動対応を一歩間違えるとかえって被害を拡大させてしまう恐れがあるため、「やってはいけない3大行動」と「感染拡大を防ぐための初動対応3ステップ」をそれぞれ解説します。
ランサムウェア感染時にやってはいけない3大行動
ランサムウェアに感染したら、以下の3つの行動は絶対に避けましょう。
- 【NG行動①】端末を再起動・インターネット接続する
- 【NG行動②】感染後にバックアップを取る
- 【NG行動③】警察や専門家に相談せず身代金を支払う
ランサムウェアはネットワークを経由して端末から他の端末やサーバーへと感染を広げます。そのため、感染した端末はネットワーク(他の端末やデータ)から隔離してください。
また、身代金の支払いは厳禁です。ランサムウェア感染時は、警察や各専門機関から発信されている対処の注意点をよく確認して行動しましょう。なお、警察は復旧作業や経路の調査には対応していないため、感染データの復旧を依頼したい場合はデータ復旧の専門家に相談しましょう。
感染拡大を防ぐための初動対応3ステップ
感染拡大を防ぎ、復旧作業をスムーズにするためには以下の3ステップで初動対応を行ってください。
- ネットワークから端末を隔離する(LANケーブルを抜く・Wi-FiをOFFにする)
- PCの電源を落とさず、感染時の証拠データを保全する
- ランサムウェアに感染していない端末からメールアドレス・パスワードを変更する
PCの電源をON/OFFすると、止まっていたデータの暗号化処理が再開され、データが暗号化されてしまう可能性があります。
また、暗号化前に攻撃者にデータを送信するタイプのランサムウェアに感染した場合は、攻撃者に認証情報なども窃取されている可能性が高いです。もしランサムウェアに感染した端末から操作すると、変更後のパスワードも盗み取られる危険性があるため、駆除後の端末か感染していない無事な端末から行いましょう。
ランサムウェアで暗号化されたデータは復旧できる?
ランサムウェアで暗号化されたデータは、拡張子が変更され、基本的に開くことすらできなくなります。ランサムウェアによる暗号化のアルゴリズムは年々進化を遂げており、より複雑で高度な手法で暗号化されることから、一般的にはランサムウェアに感染したらデータ復旧は不可能とされています。
攻撃者は身代金を支払い復号ツールを手に入れることが唯一のデータ復旧方法であると述べ、金銭の支払いを要求してきます。被害者企業は、業務やサービスの停止を余儀なくされるため、極度の焦りから攻撃者の言葉を鵜呑みにしてしまいかねません。
決して支払えないことはない額の身代金を指定されるケースも多く、目の前の逼迫した状況を打開するために身代金の支払いを検討する企業もいることでしょう。
しかし、ランサムウェアで暗号化されたデータの復旧は、絶対に不可能というわけではありません。
可能性は決して高くありませんが0ではなく、身代金を支払わずにデータ復旧できるケースもあるため、すぐ身代金の支払いに応じずに安全な復旧方法を模索してください。
ランサムウェア復旧の4つの方法
ランサムウェアに感染したデータを復旧する方法として、以下の4つが考えられます。
- 攻撃者と交渉して復号キーを手に入れる【厳禁】
- No More Ransomの復号ツールを活用する
- バックアップから復元する
- データ復旧業者に依頼する
攻撃者と交渉して復号キーを手に入れる【厳禁】
結論から伝えると、攻撃者との交渉は大変危険な行為であり、絶対に選択すべきではありません。
ランサムウェアに感染したら、データの復号化と引き換えに身代金を要求するメッセージが表示されます。要求内容は大抵共通していて、以下のようなものです。
- 端末内のデータを暗号化(ロック)した。
- データの復号ツールを手に入れたければ、身代金を支払え。
- 復号ツールは唯一無二のものであり、他にデータを復号化できる方法はない。
しかし、実際には身代金を支払ってもデータが復旧される保証はなく、完全なる支払い損になる可能性が高いです。
倫理的な問題もあり、ランサムウェアの攻撃母体は国際的な犯罪者集団に繋がっていることも多く、金銭を支払うと犯罪者集団に利益を与えることになります。さらなる活動資金を提供し、ランサムウェアによる攻撃の活発化や要求の過激化を助長するリスクが高いため、攻撃者との交渉には応じないよう徹底してください。
No More Ransomの復号ツールを活用する
ランサムウェアの被害に遭ったユーザーを支援するための国際プロジェクト「The No More Ransom Project」のサイトでは、一部種類のランサムウェアに対して無料の復号ツールが提供されています。
実際のツールの使用に関する手順や注意点は、No More Ransom公式サイトに記載されています。
ランサムウェアの種類やバージョンによっては、適合するはずのツールを使っても復号に失敗するケースもあるため、公開されている注意書きをよく読んで活用しましょう。
バックアップから復元する
バックアップが別の場所に残っており、感染被害を免れた場合は、そこからデータを復元できる可能性があります。
ランサムウェア感染時、バックアップからデータを復元する際は以下のような順序で実施しましょう。
- バックアップデータがネットワーク上で感染端末と隔離されていることを確認する
- ランサムウェアに感染していない端末でバックアップデータが問題なく開けることを確認する(※感染した端末と同一ネットワークには絶対に接続しないように注意)
- ランサムウェアに感染した端末をすべて初期化する
- 初期化した端末にバックアップデータをインストールする
ただし、手順を間違えればせっかく生き残っていたバックアップデータも全て暗号化されてしまう可能性があります。社内にシステムに詳しい人材がいない場合は、自力でバックアップから復元を試みるのは控え、信頼のおけるデータ復旧の専門業者に助力を仰ぎましょう。
データ復旧業者に依頼する
日本国内には、高いデータ復旧技術を以てランサムウェアのデータ復旧を受け付けている業者も存在します。
業者によって対応範囲は異なるため、以下のような観点で相談する業者を選ぶとよいでしょう。
- ランサムウェアのデータ復旧実績が豊富
- 自社内に一定以上の復旧設備を持ち、社内で復旧作業を行っている
- 攻撃者と交渉して復号ツールを手に入れるのではなく、エンジニアの手でデータを復旧する
「ランサムウェアのデータ復旧」という名目で依頼を受けているデータ復旧業者の中には、実際には攻撃者との交渉を代行するだけの業者も存在するようですが、攻撃者への身代金の支払いは凶悪な犯罪行為に加担するともいえる、非常に危険な行為です。
一部には、高度な技術と知識を持ったエンジニアが居て、自力で復号ツールを開発して復旧してくれるような業者も存在するため、依頼する業者の良し悪しはしっかり見極めるようにしましょう。
ランサムウェア感染時のデータ復旧における注意点
ランサムウェア感染時、データ復旧を試みる際には以下の点に注意が必要です。
- 攻撃者に身代金を支払ってもデータ復旧できない可能性が高い
- バックアップファイルも感染している可能性がある
- 復号ツールが公開されていないランサムの復旧は難易度が高い
攻撃者に身代金を支払ってもデータ復旧できない可能性が高い
サイバーリーズン社が2022年に公開した資料によると、実際に攻撃者に身代金を支払ってデータが復旧できた企業は51%のみで、約半数の企業は身代金を支払っただけでデータ復旧できなかったという結果が出ています。
さらに、同じレポート内で身代金を支払った企業の再感染率は約8割とされており、一度身代金を支払えば、攻撃の成功率の高いターゲットと認識され、2度・3度と狙われるリスクが飛躍的に高まることを示しています。
したがって、身代金の支払いは攻撃者に活動資金を提供するばかりでデータ復旧の可能性が低い危険な行為なので、身代金の支払い要求には絶対に応じないようにしましょう。
出典Cybereason「ランサムウェア ビジネスにもたらす真のコスト」
バックアップファイルも感染している可能性がある
ランサムウェアはネットワークを介して感染を広げるため、感染端末と同一ネットワーク上にあるバックアップファイルも暗号化されている可能性が高いです。
また、仮にランサムウェアに感染していなくても、ランサムウェアの駆除前に感染端末と接続してしまうとバックアップファイルにも感染が拡大してしまう危険性があります。
近年では、バックアップデータを狙って暗号化するランサムウェアも確認されています。「バックアップを取っているから大丈夫」と考えず、データの安否確認は慎重に行いましょう。
復号ツールが公開されていないランサムの復旧は難易度が高い
The No More Ransom Projectで公開されている復号ツールで復旧できないランサムウェアの場合、安全にデータを復旧するには専門業者に相談するしかありません。
しかし、まだ復号ツールが開発されていないということは、暗号化アルゴリズムを解析して自力で復号ツールを開発しなければいけないため、復旧難易度が非常に高くなります。
ランサムウェアのデータ復旧の相談を受付けている専門業者は決して多くありませんが、その中でも暗号化解析・復旧の技術力が高い業者かどうか、きちんと依頼前に確認しましょう。
ランサムウェアのデータ復旧に対応している専門業者
国内において、ランサムウェアのデータ復旧に対応しているデータ復旧業者は数社のみです。その中でも、「ランサムウェアのデータ復旧実績が豊富か」「攻撃者と交渉せずデータ復旧できるか」「社内で復旧作業できる設備があるか」などの観点で業者を比較し、信頼できると判断した業者を紹介します。
デジタルデータリカバリー
公式HPデジタルデータリカバリー
デジタルデータリカバリーは、国内トップクラスの高度なデータ復旧技術を有するデータ復旧専門業者です。ランサムウェアの累計相談件数は400件以上(※1)、公式サイトによると実際にランサムウェアで暗号化されたデータを約8割復旧できた実績もあります。
また、サイト上で「当社ではハッカーとの交渉は行いません」と明記されており、独自開発した技術でランサムウェア専門エンジニアが復旧作業を行うので身代金支払いのリスクもありません。データ復旧だけでなく、感染経路の特定や緊急対応後の中長期的な対策まで一気通貫でサポートしてくれるのも良い点です。
問合せから最短30分で無料Web打合せを開催してくれるだけでなく最短即日の駆付け対応も可能と、緊急時のスピード対応体制も問題ありません。
24時間365日の受付窓口があり相談・見積り無料で対応しているので、データ復旧業者への依頼を検討している場合はまず一度お問合せしてみることをおすすめします。
| 対応製品 | ■記憶媒体全般 NAS/サーバー(RAID構成対応)、パソコン(ノートPC/デスクトップPC)、SSD、ハードディスク、外付けHDD、レコーダー、USBメモリ、SDカード、ビデオカメラ、スマホ(iPhone/Android)、ドライブレコーダー等 |
|---|---|
| 対応速度 | 最短30分でWeb打合せ(無料)設定可能 法人は最短即日で駆付け対応可能 24時間365日受付 |
| 設備 | 復旧ラボの見学OK クリーンルームクラス100あり 交換用HDD7,000台以上 |
| 特長 | ✔ランサムウェア累計ご相談件数400件以上(※1)・16種類以上(※2) ✔土日祝日も通常営業しており緊急時のスピード対応可能 ✔国内最高峰のデータ復旧技術を駆使しハッカーとの交渉は行わない ✔世界最大規模の復旧設備を社内に完備 ✔ISO・Pマーク取得済の国際基準のセキュリティ ✔相談・診断・見積り無料(デジタルデータリカバリーへの配送料も無料) |
| 所在地 | 本社:東京都六本木 持込み拠点:横浜、名古屋、大阪、福岡 |
デジタルデータリカバリーのさらに詳しい説明は公式サイトへ
※1・2 算出期間:2011年1月1日~
まとめ
ランサムウェア感染時のデータ復旧方法について紹介しました。
もし攻撃者から身代金の支払いを迫られても、データが戻ってくる確率は低く、再度狙われるリスクが高まるため、絶対に支払ってはいけません。
データ復旧を試みる場合は、信頼できる発行元が公開している復号ツールや、専門のデータ復旧業者に相談し、安全な方法で行いましょう。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
