ランサムウェアに感染したときの対応ポイント

ここでは、ランサムウェアに感染した際に取るべき行動について紹介しています。対応ポイントはもちろん、代表的なランサムウェアの種類や感染経路、要望方法などもまとめているので、ぜひチェックしてみてください。

ランサムウェアに感染したときに取るべき対応

ネットワークから切り離す

ランサムウェアの感染が判明したら、その時点でインターネットやサーバーから切断するのが重要です。万が一LANを介して複数端末が繋がっている場合、1つの端末がランサムウェアに感染するとネットワークを経由して他の端末に広がってしまう可能性があります。

逆に、感染の兆候に素早く気付いてネットワークから切り離せれば、被害の拡大を抑えることが可能です。状況次第では、感染した端末のファイルの暗号化が完了するのを阻止できるかもしれません。

端末の再起動はしない

ランサムウェアに感染すると、「挙動のエラーかもしれないから、再起動してみよう」と考える人が多いです。実際に、アメリカで実施された調査では、ランサムウェアの被害者の実に30%が、端末の再起動を行っているという結果が出ています。しかし、感染した端末は再起動をかけることによって症状が悪化する可能性があるため、いつもと動きが違うからといって安易に再起動をするのは良くありません。

近年広まっている「ファイルを暗号化する」種類のランサムウェアは、電源が切れることで停止していた暗号化が再開し、すべての内部ファイルが見られなくなることがあります。

身代金請求には応じない

ランサムウェアの種類によっては、暗号化を解除するのと引き換えに身代金を請求されるケースがあります。しかし、身代金を支払ったからといって、データが復旧するとは限りません。そのため、身代金を請求されても焦って支払わないように注意しましょう。

しかし、ランサムウェアの身代金要求を呑むか否かは、企業によって意見が分かれるところ。「ファイルの復旧コストや個人情報流出のリスクを考慮して、金銭を渡す企業も少なくありません。ただし、支払ったお金はサイバー犯罪者の資金になってしまうので、安易に支払わないのが大切です。

専門家へ相談する

感染した端末をネットワークから切断した後は、専門家に相談して状況の改善を試みましょう。ランサムウェアの種類は100種以上もあるうえ、手口も年々高度化しています。そのため、経験の豊富な専門家のサポートなしに対処を行うのは簡単ではありません。

万が一持ち込むのが困難な場合は、各都道府県の警察に設置されているサイバー犯罪相談窓口や使用しているセキュリティソフトの窓口、JNSAが紹介するサイバーインシデント緊急対応企業などへ連絡し、指示を仰ぐと良いでしょう。

フォレンジック調査を依頼する

ランサムウェアに感染しても対処できる人が社内に居ない場合や、なるべく早く状況を改善したい場合は、原因の特定からデータ復旧までをワンストップ体制で対応している「フォレンジック調査」を利用するのがおすすめです。フォレンジック調査とは、パソコンをはじめとしたさまざまな端末のデジタルデータを対象に、不正行為の事実確認や被害状況の割り出しなどを行う調査方法を指します。

調査にはそれなりの金額がかかりますが、これによってランサムウェアの感染経路や再発防止の策定などが叶うので、料金以上のサポートが期待できるでしょう。

そもそもランサムウェアとは?

ランサムウェアとは、パソコンなどの端末内部に入り込んで攻撃する「マルウェア」の一種です。ランサムウェアの他にも、スパイウェアやフィッシング、ワームやトロイの木馬などがマルウェアに分類されます。

ランサムウェアは、身代金を意味する「ランサム」と「ソフトウェア」を融合させた造語です。感染した端末を操作できない状態にして、制限を解除する代わりに身代金を請求するのが特徴。暗号資産による支払い要求や、あからさまな脅迫メッセージなどが表示されるのも特徴的です。

代表的なランサムウェアの種類

Locky

Lockyは、サイバー犯罪者組織による攻撃で2016年から使用が開始された暗号化型のランサムウェア。迷惑メールに添付されたドキュメントファイルが主な感染経路で、文章中にスクランブルテキストが入っているのが特徴です。

また、このランサムウェアには160種類を超えるファイルの暗号化を行う能力が備わっており、プログラマーやエンジニアの使うファイル形式が主な標的となります。ファイルの解読のためには身代金の支払いが必要です。

WannaCry

2017年から活発に動き始めたランサムウェアで、150か国で被害が確認されているWannaCry。日本でも大手企業から中小企業まで、非常に多くの企業が被害を受けています。

感染したパソコンは操作不能となって内部ファイルは暗号化されるうえ、解決のために身代金を要求するというスタイルです。なお、身代金の支払いは、仮想通貨のBitcoinを指定されます。

また、WannaCryにはワームの特性も持っており、感染した端末のネットワークを介して複数の端末に感染し、被害を拡大していくのが特徴です。

Petya

2016年に確認されたランサムウェアの一種で、他のランサムウェアと同じように端末内のデータを暗号化するのが特徴です。ただし、個別のファイルではなくハードディスク全体が暗号化されてしまうので、他のランサムウェアよりも厄介だともいわれています。

主な感染先はWindows。メールに添付されたPDFファイルには偽装された実行ファイルなどが含まれており、これを開くと赤い背景にドクロマークの画面が表示された後、ビットコインでの身代金請求が行われます。

GoldenEye

2017年からヨーロッパをメインに攻撃を開始したランサムウェア。PETYAのコードをベースとしており、データの暗号化だけでなく端末の起動ができなくなるなど、さらなる攻撃性を有しているのが特徴です。

過去にはウクライナ・チェルノブイリ原子力発電所も被害を受けたことがあり、放射線レベルを監視するシステムにて使用していたWindowsマシンが操作不能となり、放射線レベルのチェックが手動に切り替えられる被害が発生しています。

ランサムウェアの感染経路

ランサムウェアの感染ルートには、ウェブサイトの閲覧とメールに添付されたファイルの開封が挙げられます。ウェブサイトの閲覧を原因とする感染では、ダウンロードサイトにてランサムウェアをインストールするのがトリガーとなっているようです。中には、開くだけで勝手にインストールされるウェブサイトもあります。

メールに添付されたファイルの開封を原因とする感染では、添付ファイルを開いた時点でランサムウェアに感染することが多いです。JavaScriptの実行ファイルや、マクロ付きのMicrosoft Officeファイルが添付されている時は注意しなければなりません。

また、他の感染ルートとして、社内ネットワークやUSBメモリなども挙げられるでしょう。

ランサムウェアの感染を予防する方法

ランサムウェアの感染を予防するには、使用している端末がウイルスの脅威に晒されていないかをこまめにチェックするのが重要です。そのため、ウイルス対策ソフトは常に最新の状態になっているようにしましょう。ウイルス対策ソフトがランサムウェアを検知した場合、危険なウェブサイトやメール、USBメモリの遮断もしくは警告文が表示されます。

それと同時にOSや各種ソフトの更新も行い、最新の状態にしておきましょう。更新プログラムの中には、OSや各種ソフトの脆弱性に対応したデータが含まれているので、ランサムウェアに感染しにくくなります。

これらの対策を講じていても、ウェブサイトやメールからの感染を完全に防ぐことはできません。そのため、怪しいサイトやメールは開かない、出どころ不明のUSBは使用しないなど基本的な対策を徹底しましょう。

【目的別】
フォレンジック調査会社3選

フォレンジック調査の目的別に、「専門性」「対応力」があって信頼できるパートナーを厳選紹介。依頼先をリサーチしている担当者の方は、ぜひ参考にしてください。

選出基準:「フォレンジック調査」で検索上位30社のうち、「不正・不祥事調査支援」「サイバーセキュリティ調査支援」「eディスカバリー支援」それぞれの領域において、公式サイトにて多くの実績を確認できた企業を選出(2022年1月調査時点)
アイコン
アイコン
不正・不祥事の証拠
適格に発見
解決したい

アスエイト・アドバイザリー

アスエイト・アドバイザリー
引用元:アスエイト・アドバイザリー
https://asueito.com/
アイコン
アイコン
サイバーセキュリティ
に対する脆弱性
診断し対策を立てたい

セキュアワークス

セキュアワークス
引用元:セキュアワークス
https://www.secureworks.jp/
アイコン
アイコン
国際訴訟における
電子データ開示・提出
に対応したい

FRONTEO

FRONTEO
引用元:FRONTEO
https://legal.fronteo.com/