近年世界中で、ランサムウェアの感染被害が相次いで確認されています。毎日のように新たなランサムウェアが登場し、その都度対策を取っていてもPCが感染してしまう可能性は避けられません。
では、PCがランサムウェアに感染してしまった場合は、どうしたらよいのでしょうか。今回は、PCがランサムウェアに感染した直後にすることや、逆にしてはいけないこと、自力で対処する方法について解説します。
ランサムウェアに感染したらすぐやるべき対処
大事なPCがランサムウェアに感染しても、素早い対応により被害を抑えられる可能性があります。ここでは、ランサムウェア感染後すぐに取るとよい行動について解説します。
ネットワークから切り離す
PCのランサムウェア感染がわかった場合には、まずはネットワークからの隔離を行いましょう。有線LANを使用している場合にはLANケーブルをPCから抜き、無線LANであればWi-Fiのスイッチをオフにすればネットワークから切り離せます。
感染直後にネットワークから切り離すことで、PCやデバイスが接続するネットワークを通して、ほかの媒体への感染拡大を防げる効果があります。
ランサムウェアに感染したらやってはいけない三大行動
ランサムウェアに感染したPCに対して、以下のようにしてはいけない行動もあります。
- 再起動
- 感染後のバックアップ
- 身代金の支払い
なぜ上記の対処を取ってはいけないのか、これから詳しく解説していきます。
再起動
再起動をすると、ランサムウェアの進行をかえって早めてしまう可能性があります。PCの不調時には再起動をしがちですが、再起動ではなくネットワークから切り離すことを優先してください。
感染後のバックアップ
感染後には重要なデータであってもバックアップを取ってはいけません。理由はランサムウェアも一緒にバックアップしてしまい、バックアップファイルの保存先にあるほかのファイルもランサムウェアの被害にあってしまうからです。バックアップが有効なのは、あくまでも感染する前の段階です。
身代金の支払い
ランサムウェア感染後に感染解除と引き換えに身代金を要求されますが、身代金の支払いは応じないようにしてください。理由は、支払ったところで、元通りになる保証はないからです。身代金だけ取られてしまい、結局ファイルの暗号化が解除されない可能性もあります。
自力でランサムウェア感染を対処したいときに試せるツール
ネットワークを切断したあとに、自力でどうにかしたい場合には、以下のような方法があります。
- 解除ツール
- セキュリティソフト
- ボリュームシャドウコピ―
- バックアップ
- クラウドストレージ
- 削除ファイルの復元ツール
- セキュリティベンダーの無償ツール
- 無償復号ツール
それぞれ、どのような方法なのかを詳しく説明します。
種類によっては解除ツールがある
いくつかのランサムウェアに対して、解除できるツールが配布されています。ランサムウェアの種類から解除ツールが存在するかどうかがわかるサイトについて以下の4つを紹介します。
- No More Ransom
- ID Ransomware
- Kaspersky No Ransom
- Avast ランサムウェア暗号ツール
No More Ransom
「No More Ransom」は国際的なプロジェクトの1つで、オランダ警察の全国ハイテク犯罪ユニットやMcAfeeなどが主導してランサムウェアの被害低減を目指しています。運営サイトは日本語に対応しており、また無料復号ツールが配布されています。
ID Ransomware
「ID Ransomware」は有志のMalware Hunter Teamが無料で公開しているサイトです。ランサムウェアによって暗号化されたファイルをサイトにアップロードすると、どのランサムウェアに該当するのかを調べられます。
Kaspersky No Ransom
「Kaspersky No Ransom」は、セキュリティ会社のKasperskyが公開している無料のランサムウェア解読ツールです。脅迫文に含まれるキーワードから、ランサムウェアの種類を特定できます。
Avast ランサムウェア復号ツール
「Avast ランサムウェア復号ツール」は、セキュリティ会社のAvastが提供しているランサムウェア復号ツールです。ランサムウェアの名前をクリックすると、感染の状況とAvastの無料対策ソフトを入手できます。またランサムウェア感染後にもソフトを利用できるメリットがあります。
セキュリティソフトで駆除
セキュリティソフトが対応しているランサムウェアであれば、スキャン機能により駆除できます。
Windowsの場合はボリュームシャドウコピーで復元
Windowsでは「ボリュームシャドウコピーサービス(VSS)」を利用して復元ができる場合もあります。VSSとは、ファイルシステムの内容を自動的に複製し、ストレージ内に保管する機能のことです。クラウドサービス等でバックアップをしていなかった場合にも、保管用ストレージ内から感染前のファイルを復元できます。
感染前のバックアップからファイルの復元
ランサムウェア感染前のバックアップからファイルの復元を試みるのも、有効な1つの方法です。ファイルへの感染が部分的で、かつバックアップされている場合は、ランサムウェアのないファイルに戻せます。
クラウドストレージからファイルの復元
クラウドストレージにランサムウェアに感染前のファイルが残っている場合は、クラウド上のファイルに置き換えることで、ランサムウェア感染前の状態に戻せます。
削除ファイルの復元ツールでファイルの復元
ゴミ箱を空にしたあとにファイルを元に戻す「削除ファイルの復元ツール」が、ファイルの復元に有効な場合があります。ランサムウェア感染前のファイルをPCのなかから探し出せます。
各セキュリティベンダーの無償ツールを試用
マカフィー・トレンドマイクロ・Kasperskyなどのセキュリティベンダーが、無償ツールを提供しています。すでに対応しているランサムウェアであれば、ファイルの暗号化を解除できます。
無償復号ツールを試用
セキュリティベンダーではなく、有志の人たちがランサムウェア対策のツールを無償で提供しています。セキュリティベンダーの提供しているツールでうまくいかない場合に、これらを参考にするのもよいでしょう。
ランサムウェアの対策方法
ランサムウェアに感染しないための対策方法は、以下のものが有効的です。
- 複数の外部ストレージへ定期的にバックアップする
- OSとソフトウェアのバージョンを最新にする
- OSのバックアップ機能を有効にする
- 業務に関係のないサイトへのアクセスを制限する
- 不審な電子メールをむやみに開封しない
- 安易にリンクをクリックしたり、添付ファイルを開かない
- 出所の分からないUSBメモリを使用しない
それぞれ、詳しく解説していきます。
定期的に複数の外部ストレージへのバックアップ
バックアップを取っておくことで、ランサムウェアに感染してしまっても元に戻せる可能性が増えます。また複数の外部ストレージに保存することで、感染源と同じネットワーク上のバックアップデータが感染しても、元データに影響が出る可能性を減らせます。
OSやソフトウェアを最新のバージョンに更新
ランサムウェアは、OSやソフトウェアの脆弱性を狙って攻撃します。最新バージョンになっていないOS等は、脆弱性が修正されていない可能性があります。そのため必ずOSやソフトウェアは、最新バージョンへ更新するようにしてください。
OSのバックアップ機能を設定
OSのバックアップ機能があれば、感染してしまっても復元できる可能性が高まります。バックアップ機能をオフにしていないかどうか、1度確認しましょう。
仕事に関係のないサイトへのアクセス制限をかける
セキュリティ教育が行き届いていない場合には、業務に直接関係のないサイトから不審なファイルをダウンロードしてしまい、ランサムウェアに感染する社員も出てきます。そもそも関係のないサイトを開けないように、システム管理ツールで制限をかけるとよいでしょう。
見覚えのない電子メールをむやみに開封しない
電子メールにランサムウェアが潜んでいる場合があります。そのため見覚えのないメールや送り主が不明なメールは、むやみに開かないでください。
安易にリンクをクリックしたり、添付ファイルを開かない
URLを偽装されている場合もあるため、不明なファイルを安易にリンクしたりメール等の添付ファイルを開かないようにしましょう。
出所の分からないUSBメモリを使用しない
人間はUSBファイルが床に落ちていた場合、それを拾って自分のコンピュータにつなげてみたくなるそうです。そのような心理をついて、サイバー犯罪者がランサムウェアの潜んでいるUSBファイルをわざと放置している可能性もあります。そのため出所がわからないUSBメモリは、安易に使用しないようにしましょう。
上記を含めたランサムウェア対策に関する詳しい解説は、下記コラム記事も参考としてご覧ください。
参照ランサムウェア対策方法を徹底解説!被害に遭わないように今知っておくべきこと
新しいランサムウェアの脅威
新しいランサムウェアが次々と登場してきています。ここでは、以下の5つの新しいランサムウェアにおける脅威を説明します。
- 破壊型
- 暴露型
- 多重脅迫型
- 標的型
- RaaS
破壊型
破壊型は、ファイルやシステムにダメージを与えることを目的とするランサムウェアです。破壊型に攻撃されると、回復不可能な状態になり、企業の操業が停止する恐れがあります。
暴露型
暴露型はファイルを盗み、身代金を支払わないと盗んだデータを外部に公開すると脅迫するランサムウェアです。仮にファイルの暗号化を解除できたとしても、データを盗まれているため脅迫が続きます。
多重脅迫型
多重脅迫型は、破壊型と暴露型を融合させた新しいランサムウェアです。データの暗号化と暴露をする「二重脅迫」に加え、さらにDDoS攻撃をしかけると脅迫する「三重脅迫」や、自社のランサムウェア感染を取引先に伝えると脅迫する「四重脅迫」があります。
標的型
標的型は、特定の企業を標的にするランサムウェアです。効率的に身代金を手に入れようとする動きも出てきました。今までに高額の身代金を支払ったことのある業界を狙ったり、身代金を支払わざるを得ないほどの被害をもたらそうとします。
RaaS
Ransomware-as-a-Serviceの略であるRaaSは、サイバー犯罪者向けに、ランサムウェアの仕組みを提供しているサービスです。RaaSの存在は、より多くのサイバー犯罪者がランサムウェア攻撃を簡単に行える仕組みを構築しました。
よくある質問
ランサムウェアに感染したらどうするべきか、よくある質問に回答します。
Q1.ランサムウェアに感染しやすいPCの特徴を教えて下さい。
A.普段からランサムウェアの対策をしていないPCは感染しやすい傾向にあります。特にセキュリティの更新を怠っていると、OSやソフトウェアの脆弱性が狙われます。
Q2.ランサムウェアに感染したらどこに相談すれば良いですか?
A.ランサムウェアの対策を行っている「セキュリティベンダー」に相談してください。情報処理安全確保支援士やフォレンジック調査、あるいは警察や弁護士などと協力しているセキュリティベンダーもあります。相談先の候補は、IPA(情報処理推進機構)にて公開されていますので、併せて参考にするとよいでしょう。
参照ランサムウェア対策特設ページ/IPA(情報処理推進機構)
まとめ
PCがランサムウェアに感染したら、まずは「ネットワークからの切断」が重要です。一方で「再起動や身代金の支払い」は、感染後してはいけない行動として挙げられます。
また自力で感染状態から回復するためには、解除ツールやセキュリティソフト、クラウドストレージの利用が有効的です。
ランサムウェアは日々進化しています。今回紹介した対策方法や新しい脅威を参考に、ランサムウェアへ感染しないための取り組みを進めましょう。