ここでは、ランサムウェアに感染した際に取るべき行動について紹介しています。対応ポイントはもちろん、代表的なランサムウェアの種類や感染経路、要望方法などもまとめているので、ぜひチェックしてみてください。
ランサムウェアの感染が判明したら、その時点でインターネットやサーバーから切断するのが重要です。万が一LANを介して複数端末が繋がっている場合、1つの端末がランサムウェアに感染するとネットワークを経由して他の端末に広がってしまう可能性があります。
逆に、感染の兆候に素早く気付いてネットワークから切り離せれば、被害の拡大を抑えることが可能です。状況次第では、感染した端末のファイルの暗号化が完了するのを阻止できるかもしれません。
ランサムウェアに感染すると、「挙動のエラーかもしれないから、再起動してみよう」と考える人が多いです。実際に、アメリカで実施された調査では、ランサムウェアの被害者の実に30%が、端末の再起動を行っているという結果が出ています。しかし、感染した端末は再起動をかけることによって症状が悪化する可能性があるため、いつもと動きが違うからといって安易に再起動をするのは良くありません。
近年広まっている「ファイルを暗号化する」種類のランサムウェアは、電源が切れることで停止していた暗号化が再開し、すべての内部ファイルが見られなくなることがあります。
ランサムウェアの種類によっては、暗号化を解除するのと引き換えに身代金を請求されるケースがあります。しかし、身代金を支払ったからといって、データが復旧するとは限りません。そのため、身代金を請求されても焦って支払わないように注意しましょう。
しかし、ランサムウェアの身代金要求を呑むか否かは、企業によって意見が分かれるところ。「ファイルの復旧コストや個人情報流出のリスクを考慮して、金銭を渡す企業も少なくありません。ただし、支払ったお金はサイバー犯罪者の資金になってしまうので、安易に支払わないのが大切です。
感染した端末をネットワークから切断した後は、専門家に相談して状況の改善を試みましょう。ランサムウェアの種類は100種以上もあるうえ、手口も年々高度化しています。そのため、経験の豊富な専門家のサポートなしに対処を行うのは簡単ではありません。
万が一持ち込むのが困難な場合は、各都道府県の警察に設置されているサイバー犯罪相談窓口や使用しているセキュリティソフトの窓口、JNSAが紹介するサイバーインシデント緊急対応企業などへ連絡し、指示を仰ぐと良いでしょう。
ランサムウェアに感染しても対処できる人が社内に居ない場合や、なるべく早く状況を改善したい場合は、原因の特定からデータ復旧までをワンストップ体制で対応している「フォレンジック調査」を利用するのがおすすめです。フォレンジック調査とは、パソコンをはじめとしたさまざまな端末のデジタルデータを対象に、不正行為の事実確認や被害状況の割り出しなどを行う調査方法を指します。
調査にはそれなりの金額がかかりますが、これによってランサムウェアの感染経路や再発防止の策定などが叶うので、料金以上のサポートが期待できるでしょう。
ランサムウェアとは、パソコンなどの端末内部に入り込んで攻撃する「マルウェア」の一種です。ランサムウェアの他にも、スパイウェアやフィッシング、ワームやトロイの木馬などがマルウェアに分類されます。
ランサムウェアは、身代金を意味する「ランサム」と「ソフトウェア」を融合させた造語です。感染した端末を操作できない状態にして、制限を解除する代わりに身代金を請求するのが特徴。暗号資産による支払い要求や、あからさまな脅迫メッセージなどが表示されるのも特徴的です。
Lockyは、サイバー犯罪者組織による攻撃で2016年から使用が開始された暗号化型のランサムウェア。迷惑メールに添付されたドキュメントファイルが主な感染経路で、文章中にスクランブルテキストが入っているのが特徴です。
また、このランサムウェアには160種類を超えるファイルの暗号化を行う能力が備わっており、プログラマーやエンジニアの使うファイル形式が主な標的となります。ファイルの解読のためには身代金の支払いが必要です。
2017年から活発に動き始めたランサムウェアで、150か国で被害が確認されているWannaCry。日本でも大手企業から中小企業まで、非常に多くの企業が被害を受けています。
感染したパソコンは操作不能となって内部ファイルは暗号化されるうえ、解決のために身代金を要求するというスタイルです。なお、身代金の支払いは、仮想通貨のBitcoinを指定されます。
また、WannaCryにはワームの特性も持っており、感染した端末のネットワークを介して複数の端末に感染し、被害を拡大していくのが特徴です。
2016年に確認されたランサムウェアの一種で、他のランサムウェアと同じように端末内のデータを暗号化するのが特徴です。ただし、個別のファイルではなくハードディスク全体が暗号化されてしまうので、他のランサムウェアよりも厄介だともいわれています。
主な感染先はWindows。メールに添付されたPDFファイルには偽装された実行ファイルなどが含まれており、これを開くと赤い背景にドクロマークの画面が表示された後、ビットコインでの身代金請求が行われます。
2017年からヨーロッパをメインに攻撃を開始したランサムウェア。PETYAのコードをベースとしており、データの暗号化だけでなく端末の起動ができなくなるなど、さらなる攻撃性を有しているのが特徴です。
過去にはウクライナ・チェルノブイリ原子力発電所も被害を受けたことがあり、放射線レベルを監視するシステムにて使用していたWindowsマシンが操作不能となり、放射線レベルのチェックが手動に切り替えられる被害が発生しています。
ランサムウェアの感染ルートには、ウェブサイトの閲覧とメールに添付されたファイルの開封が挙げられます。ウェブサイトの閲覧を原因とする感染では、ダウンロードサイトにてランサムウェアをインストールするのがトリガーとなっているようです。中には、開くだけで勝手にインストールされるウェブサイトもあります。
メールに添付されたファイルの開封を原因とする感染では、添付ファイルを開いた時点でランサムウェアに感染することが多いです。JavaScriptの実行ファイルや、マクロ付きのMicrosoft Officeファイルが添付されている時は注意しなければなりません。
また、他の感染ルートとして、社内ネットワークやUSBメモリなども挙げられるでしょう。
ランサムウェアの感染を予防するには、使用している端末がウイルスの脅威に晒されていないかをこまめにチェックするのが重要です。そのため、ウイルス対策ソフトは常に最新の状態になっているようにしましょう。ウイルス対策ソフトがランサムウェアを検知した場合、危険なウェブサイトやメール、USBメモリの遮断もしくは警告文が表示されます。
それと同時にOSや各種ソフトの更新も行い、最新の状態にしておきましょう。更新プログラムの中には、OSや各種ソフトの脆弱性に対応したデータが含まれているので、ランサムウェアに感染しにくくなります。
これらの対策を講じていても、ウェブサイトやメールからの感染を完全に防ぐことはできません。そのため、怪しいサイトやメールは開かない、出どころ不明のUSBは使用しないなど基本的な対策を徹底しましょう。
フォレンジック調査の目的別に、「専門性」「対応力」があって信頼できるパートナーを厳選紹介。依頼先をリサーチしている担当者の方は、ぜひ参考にしてください。
元従業員が会社のパソコンを売買するなどして約7千万円を不当に得ていた事例。疑わしい2名に対し、ヒアリングを実施しつつ会社・自宅の両パソコン、携帯電話、クラウド上データを調査。データ数が膨大であったものの、フォレンジックによる手法で信頼性を損なわずコストも抑えた調査を実現。
テレワークという新たな課題に対して、ビジネスの安心・安全確保に取り組む必要があり導入。テレワークによって生じるリスクのマネジメントと、診断によってニューノーマルな働き方に貢献。
数百台の端末を対象に、解析ツールでの分析を行って攻撃ルートを可視化し、マルウェア感染の被害端末を特定。漏洩情報が売買されていないかも調査。その結果、情報漏洩が起きていた端末が判明し、ダークウェブにも情報が流れていたことが明らに。