近年世界中で、ランサムウェアの感染被害が相次いで確認されています。毎日のように新たなランサムウェアが登場し、その都度対策を取っていてもPCが感染してしまう可能性は避けられません
PCがランサムウェアに感染してしまった場合は、どうしたらよいのでしょうか。重要なポイントは以下の4点です。
- ネットワークから感染端末をすぐに遮断する
- PCの電源は切らずにおく
- 身代金を支払わない
- 専門家に相談して対処する
特に1番目のネットワークからの隔離は感染に気付いた時点で可及的速やかに行いましょう。ネットワークに接続したままだと、他の端末もどんどん暗号化されてしまい、復旧できる可能性が著しく低くなる危険性があります。
今回は、PCがランサムウェアに感染した際の初動対応や絶対にやってはいけない行動、自力で対処する方法について解説します。
ランサムウェアに感染したらやってはいけない三大行動
ランサムウェアに感染したPCに対して、以下のような行動は絶対にとらないようにしてください。
- 再起動・インターネット接続
- 感染後のバックアップ
- 警察や専門家に相談せず身代金を支払う
なぜ上記の対処を取ってはいけないのか、これから詳しく解説していきます。
再起動・インターネット接続
再起動をすると、ランサムウェアの進行をかえって早めてしまう可能性があります。PCの不調時には再起動をしがちですが、ランサムウェア感染時は再起動してはいけません。
さらに、インターネットに接続したままだと、インターネット経由で他のPCやサーバーにも感染が広がってしまいます。異変に気づいたら、まずネットワークから切り離すことを何より優先してください。
感染後のバックアップ・ランサムウェアファイル駆除などの操作
感染後には重要なデータであってもバックアップを取ってはいけません。理由はランサムウェアも一緒にバックアップしてしまい、バックアップファイルの保存先にあるほかのファイルもランサムウェアの被害にあってしまうからです。バックアップが有効なのは、あくまでも感染する前の段階です。
一刻も早く復旧したい場合は、とにかくパソコンをネットワークから隔離した状態で速やかに専門家に相談しましょう。
また、感染経路を特定してからランサムウェアを駆除しないと、後から暗号化パターンの手がかりが失われ、復元が困難になる可能性があります。無暗にランサムウェアファイルを削除しないよう注意してください。
警察や専門家に相談せず身代金を支払う
ランサムウェア感染後に感染解除と引き換えに身代金を要求されますが、身代金の支払いは応じないようにしてください。特に、警察や専門家に相談せず自社内だけで対応を進めるのは危険です。
- 身代金を支払っても復号できない可能性がある
- 一度支払うと2回目、3回目と繰り返し狙われる危険性がある
- もし情報が窃取されていた場合は公的機関への報告を怠ると法的な罰則を受ける可能性がある
支払ったところで、元通りになる保証はありません。身代金だけ取られてしまい、結局ファイルの暗号化が解除されない可能性があるどころか、身代金を支払うことで次の攻撃の標的にされてしまうリスクもあります。
参考:日経新聞
さらに、近年は多重脅迫型といって、①データ復号化のために身代金を要求する ②もし身代金を支払わなければ窃取した情報をダークウェブ等で公開する という二段階の脅迫パターンが増加しており、ランサムウェアに感染した時点で暗号化された分のファイルは情報漏えいしていると考えるべきです。
個人情報の漏えい等が発生した際は、詳細を調査し報告するインシデント対応が義務付けられており、きちんと対応しないと処罰を受ける可能性があります。適切に対応するためにもまずは警察や専門家に相談し、助言を受けましょう。
ランサムウェア感染時の初動対応3ステップ
大事なPCがランサムウェアに感染しても、素早い対応により被害を抑えられる可能性があります。ここでは、ランサムウェア感染後すぐに取るとよい初動対応について解説します。
- ネットワークから切り離す
- 証拠保全
- メールアドレス・パスワード変更
1.ネットワークから切り離す
PCのランサムウェア感染がわかった場合には、まずはネットワークからの隔離を行いましょう。有線LANを使用している場合にはLANケーブルをPCから抜き、無線LANであればWi-Fiのスイッチをオフにすればネットワークから切り離せます。
感染直後にネットワークから切り離すことで、PCやデバイスが接続するネットワークを通して、ほかの媒体への感染拡大を防げる効果があります。
2.証拠保全
感染時のデータを証拠として確保します。この作業を証拠保全といい、所定の手続きにのっとって行う必要があります。むやみに電源を切ったり操作を重ねたりするとハッシュ値などが書き換わってしまい、感染経路の特定や元ファイルの復元が難しくなってしまいます。
適切に証拠保全できるよう、PCの電源は落とさず起動したままにするか、スリープモードで保管しましょう。
3.メールアドレス・パスワード変更
利用していたメールアドレスやパスワードを変更することで、第三者からの悪用被害を最小限に食い止めることができます。
ただし、パスワードの変更は必ずランサムウェアに感染していない端末から行ってください。もし感染した端末からパスワードを変更した場合、変更後のパスワードまで流出してしまう可能性が高く、無意味になってしまいます。
インシデント発生後は速やかに専門家に相談する
ランサムウェアに感染してしまった際、自社内での初動対応とあわせて専門家や警察に相談することをおすすめします。専門家であれば初動対応からランサムウェアの駆除、データの復号化、さらには今後の感染対策まで一気通貫して対応してもらえる場合もあります。
知識が不十分なまま対処すると、かえって被害を拡大してしまう可能性が高いです。感染が疑われる場合は、速やかにサイバーセキュリティの専門家に相談してください。
ランサムウェアに感染したら?適切な対処の流れ
ランサムウェアに感染したら、以下の流れで対処しましょう。
- 初動対応
- ランサムウェアの種類を特定
- 詳細な状況をセキュリティ担当者に報告
- サイバーセキュリティ専門家・警察に相談
- ランサムウェアの駆除
- ランサムウェアの解除・復旧
- 専門家に相談
- 今後の感染予防策の策定
1.初動対応
前章にて解説した通り、感染を確認したらすぐにネットワークからの隔離・証拠保全・感染していない端末からパスワード変更といった初動対応を行いましょう。
初動対応が速く的確であれば、感染被害を最小限にとどめることができます。
2.ランサムウェアの種類を特定
ランサムウェアにはいくつも種類があり、種類によって感染時の挙動や被害のタイプが異なります。近年では多重脅迫型と言われる、身代金の要求だけでなく暗号化したデータをダークウェブ上で公開するという2重の脅迫を受けるタイプのランサムウェアが増加しています。
ランサムウェアの種類は画面に表示されるメッセージ(ランサムノート)や暗号化されたデータの拡張子から調べることができます。
3.詳細な状況をセキュリティ担当者に報告
種類を特定したら、状況をまとめて社内のセキュリティ担当者に報告しましょう。以下のような点を伝えるとスムーズです。
- ランサムウェアの種類
- 感染した時刻
- 感染が確認された台数
- 感染したファイルの種類と機密性の度合い
- 感染原因(何をして感染したか)
4.サイバーセキュリティ専門家・警察に相談
社内である程度の状況が確認できたら、速やかにサイバーセキュリティの専門家や警察に相談しましょう。
警察で対応の助言を受ける
各都道府県警にはサイバー犯罪相談窓口が設けられているため、最寄りの警察署に通報してください。
特に、個人情報などの流出があった場合は改正個人情報保護法により個人情報保護委員会への報告が義務付けられています。どういった対応が必要か、助言を得ましょう。
専門家のサポートのもと復元作業や詳しい調査を実施する
ランサムウェアに感染した際は感染経路の特定や二次被害防止のため、サイバーセキュリティ専門家によるフォレンジック調査を行うことが推奨されています。
フォレンジック調査では以下のような項目を調査することが可能です。
- 被害範囲の調査
- 感染経路の調査
- 情報漏えい調査
警察への通報と併せて、専門家にも相談しサポートを受けましょう。
5.ランサムウェアの駆除
セキュリティソフトが対応しているランサムウェアであれば、スキャン機能により駆除できます。また、PCを初期化することでランサムウェアを駆除できるケースもありますが、リスクが高いためおすすめしません。
ランサムウェアの駆除方法について詳しくはこちらの記事でも解説しているので参考にしてください。
6.ランサムウェアの解除・復旧
ランサムウェアによって暗号化されたファイルは、種類によってはツールを用いて復号化できるケースがあります。また、感染前のバックアップがあればそこからデータを復元して利用することもできるため、解除・復旧する方法を解説します。
感染前のバックアップから復元する方法
Windowsの場合はボリュームシャドウコピーで復元
Windowsでは「ボリュームシャドウコピーサービス(VSS)」を利用して復元ができる場合もあります。VSSとは、ファイルシステムの内容を自動的に複製し、ストレージ内に保管する機能のことです。クラウドサービス等でバックアップをしていなかった場合にも、保管用ストレージ内から感染前のファイルを復元できます。
感染前のバックアップからファイルの復元
ランサムウェア感染前のバックアップからファイルの復元を試みるのも、有効な1つの方法です。ファイルへの感染が部分的で、かつバックアップされている場合は、ランサムウェアのないファイルに戻せます。
クラウドストレージからファイルの復元
クラウドストレージにランサムウェアに感染前のファイルが残っている場合は、クラウド上のファイルに置き換えることで、ランサムウェア感染前の状態に戻せます。
削除ファイルの復元ツールでファイルの復元
ゴミ箱を空にしたあとにファイルを元に戻す「削除ファイルの復元ツール」が、ファイルの復元に有効な場合があります。ランサムウェア感染前のファイルをPCのなかから探し出せます。
種類によっては自力で復号化できる解除ツールがある
いくつかのランサムウェアに対して、解除できるツールが配布されています。ランサムウェアの種類から解除ツールが存在するかどうかがわかるサイトについて以下の4つを紹介します。
- No More Ransom
- ID Ransomware
- Kaspersky No Ransom
- Avast ランサムウェア暗号ツール
- 各セキュリティベンダーの無償ツール
- 各セキュリティベンダーの無償ツール
No More Ransom
「No More Ransom」は国際的なプロジェクトの1つで、オランダ警察の全国ハイテク犯罪ユニットやMcAfeeなどが主導してランサムウェアの被害低減を目指しています。運営サイトは日本語に対応しており、また無料復号ツールが配布されています。
ID Ransomware
「ID Ransomware」は有志のMalware Hunter Teamが無料で公開しているサイトです。ランサムウェアによって暗号化されたファイルをサイトにアップロードすると、どのランサムウェアに該当するのかを調べられます。
Kaspersky No Ransom
「Kaspersky No Ransom」は、セキュリティ会社のKasperskyが公開している無料のランサムウェア解読ツールです。脅迫文に含まれるキーワードから、ランサムウェアの種類を特定できます。
Avast ランサムウェア復号ツール
「Avast ランサムウェア復号ツール」は、セキュリティ会社のAvastが提供しているランサムウェア復号ツールです。ランサムウェアの名前をクリックすると、感染の状況とAvastの無料対策ソフトを入手できます。またランサムウェア感染後にもソフトを利用できるメリットがあります。
各セキュリティベンダーの無償ツール
マカフィー・トレンドマイクロ・Kasperskyなどのセキュリティベンダーが、無償ツールを提供しています。すでに対応しているランサムウェアであれば、ファイルの暗号化を解除できます。
有志で提供されている無償復号ツール
セキュリティベンダーではなく、有志の人たちがランサムウェア対策のツールを無償で提供しています。セキュリティベンダーの提供しているツールでうまくいかない場合に、これらを参考にするのもよいでしょう。
7.専門家に相談
全てのデータが復旧できるとは限りませんが、データの復元に精通している専門業者であれば、一部でも暗号化したデータを復元できる可能性があります。感染調査とあわせて復元も依頼できる会社であればまとめて相談できるためスムーズです。
ランサムウェアの暗号化解除は非常に難易度の高い作業になるため、精度の高い技術を持った業者に相談してみるのがおすすめです。
ランサムウェア感染時のおすすめ問合せ先:デジタルデータフォレンジック
こちらのデジタルデータフォレンジックは、ランサムウェアの感染経路調査に対応している調査会社です。フォレンジック調査において2万3,000件を超える相談実績を持つだけでなく、運営会社を同じくする14年連続No.1・復旧率95.2%のデータ復旧サービスと連携し、ランサムウェア被害企業をトータルサポートしてくれます。
- 官公庁法人・捜査機関への協力実績多数
- 国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
- 警視庁からの表彰・TVや新聞紹介など豊富な実績
- 年中無休のスピーディーな対応
24時間365日の問合せ窓口があり、相談・打合せ・対応費用の見積もりまで無料で対応してくれるため、ランサムウェア感染が疑われる場合はこちらに相談すると良いでしょう。
8.今後の感染予防策の策定
一度ランサムウェアに感染したということは、次も狙われるリスクがあります。
繰り返し標的にされることを避けるために、感染経路となるセキュリティの穴を塞ぐことが重要です。使用しているネットワーク機器・システムの脆弱性、社内のアクセスログ監視体制や対応フローを見直し、今後の対策を策定しましょう。
ランサムウェアの主な感染経路
ランサムウェアの主な感染経路は以下の6つです。
- VPNの脆弱性を突かれて感染
- リモートデスクトップ(RDP)から侵入されて感染
- メールの添付ファイルの開封・リンクのアクセスで感染
- WEBサイトから感染
- ダウンロードしたソフトウェア・ファイルから感染
- USBメモリなどの外部メディアから感染
特に多いのはVPN・リモートデスクトップ(RDP)経由の感染で、全体の約8割を占めています。
参考:警視庁
ランサムウェアの感染経路についてはこちらの記事でも解説していますので、あわせてご覧ください。
ランサムウェアに感染しないための対策方法
ランサムウェアに感染しないための対策方法は、以下のものが有効的です。
- VPN・RDPの脆弱性を修正する
- 複数の外部ストレージへ定期的にバックアップする
- OSとソフトウェアのバージョンを最新にする
- OSのバックアップ機能を有効にする
- 業務に関係のないサイトへのアクセスを制限する
- 不審な電子メールをむやみに開封しない
- 安易にリンクをクリックしたり、添付ファイルを開かない
- 出所の分からないUSBメモリを使用しない
それぞれ、詳しく解説していきます。
VPN・RDPの脆弱性を修正する
まずは、VPN・RDPの脆弱性を修正しましょう。
- 接続元のIPアドレスに制限を設ける
- アクセスに必要な認証情報を強化する(多要素認証を採用)
上記のような対策によって、セキュリティを強化することができます。
定期的に複数の外部ストレージへのバックアップ
バックアップを取っておくことで、ランサムウェアに感染してしまっても元に戻せる可能性が増えます。また複数の外部ストレージに保存することで、感染源と同じネットワーク上のバックアップデータが感染しても、元データに影響が出る可能性を減らせます。
OSやソフトウェアを最新のバージョンに更新
ランサムウェアは、OSやソフトウェアの脆弱性を狙って攻撃します。最新バージョンになっていないOS等は、脆弱性が修正されていない可能性があります。そのため必ずOSやソフトウェアは、最新バージョンへ更新するようにしてください。
OSのバックアップ機能を設定
OSのバックアップ機能があれば、感染してしまっても復元できる可能性が高まります。バックアップ機能をオフにしていないかどうか、1度確認しましょう。
仕事に関係のないサイトへのアクセス制限をかける
セキュリティ教育が行き届いていない場合には、業務に直接関係のないサイトから不審なファイルをダウンロードしてしまい、ランサムウェアに感染する社員も出てきます。そもそも関係のないサイトを開けないように、システム管理ツールで制限をかけるとよいでしょう。
見覚えのない電子メールをむやみに開封しない
電子メールにランサムウェアが潜んでいる場合があります。そのため見覚えのないメールや送り主が不明なメールは、むやみに開かないでください。
安易にリンクをクリックしたり、添付ファイルを開かない
URLを偽装されている場合もあるため、不明なファイルを安易にリンクしたりメール等の添付ファイルを開かないようにしましょう。
出所の分からないUSBメモリを使用しない
人間はUSBファイルが床に落ちていた場合、それを拾って自分のコンピュータにつなげてみたくなるそうです。そのような心理をついて、サイバー犯罪者がランサムウェアの潜んでいるUSBファイルをわざと放置している可能性もあります。そのため出所がわからないUSBメモリは、安易に使用しないようにしましょう。
上記を含めたランサムウェア対策に関する詳しい解説は、下記コラム記事も参考としてご覧ください。
ランサムウェア対策方法を徹底解説!被害に遭わないように今知っておくべきこと
新しいランサムウェアの脅威
新しいランサムウェアが次々と登場してきています。ここでは、以下の5つの新しいランサムウェアにおける脅威を説明します。
- 破壊型
- 暴露型
- 多重脅迫型
- 標的型
- RaaS
破壊型
破壊型は、ファイルやシステムにダメージを与えることを目的とするランサムウェアです。破壊型に攻撃されると、回復不可能な状態になり、企業の操業が停止する恐れがあります。
暴露型
暴露型はファイルを盗み、身代金を支払わないと盗んだデータを外部に公開すると脅迫するランサムウェアです。仮にファイルの暗号化を解除できたとしても、データを盗まれているため脅迫が続きます。
多重脅迫型
多重脅迫型は、破壊型と暴露型を融合させた新しいランサムウェアです。データの暗号化と暴露をする「二重脅迫」に加え、さらにDDoS攻撃をしかけると脅迫する「三重脅迫」や、自社のランサムウェア感染を取引先に伝えると脅迫する「四重脅迫」があります。
標的型
標的型は、特定の企業を標的にするランサムウェアです。効率的に身代金を手に入れようとする動きも出てきました。今までに高額の身代金を支払ったことのある業界を狙ったり、身代金を支払わざるを得ないほどの被害をもたらそうとします。
RaaS
Ransomware-as-a-Serviceの略であるRaaSは、サイバー犯罪者向けに、ランサムウェアの仕組みを提供しているサービスです。RaaSの存在は、より多くのサイバー犯罪者がランサムウェア攻撃を簡単に行える仕組みを構築しました。
よくある質問
ランサムウェアに感染したらどうするべきか、よくある質問に回答します。
Q1.ランサムウェアに感染しやすいPCの特徴を教えて下さい。
A.普段からランサムウェアの対策をしていないPCは感染しやすい傾向にあります。特にセキュリティの更新を怠っていると、OSやソフトウェアの脆弱性が狙われます。
Q2.ランサムウェアに感染したらどこに相談すれば良いですか?
A.ランサムウェアの対策を行っている「セキュリティベンダー」に相談してください。情報処理安全確保支援士やフォレンジック調査、あるいは警察や弁護士などと協力しているセキュリティベンダーもあります。相談先の候補は、IPA(情報処理推進機構)にて公開されていますので、併せて参考にするとよいでしょう。
参照ランサムウェア対策特設ページ/IPA(情報処理推進機構)
まとめ
PCがランサムウェアに感染したら、まずは「ネットワークからの切断」が重要です。一方で「再起動や身代金の支払い」は、感染後してはいけない行動として挙げられます。
また自力で感染状態から回復するためには、解除ツールやセキュリティソフト、クラウドストレージの利用が有効的です。
ランサムウェアは日々進化しています。今回紹介した対策方法や新しい脅威を参考に、ランサムウェアへ感染しないための取り組みを進めましょう。
