お問い合わせ
近年、企業を標的としたランサムウェアによる被害が増えています。
しかし、ランサムウェアの被害を受けた場合、どのように被害を把握し、どのように対応するべきかをきちんと念頭に入れている組織や企業は決して多くはありません。これは企業にとって懸念材料で、感染した場合は、被害状況の把握など適切な初動対応が求められます。
そこでこの記事では、ランサムウェア被害に遭遇した場合、被害の実態を具体的に調査する方法について説明します。被害を受けた際には、どのような手順で調査を進めればよいのか、この記事を参考にして、きちんとポイントを押さえておきましょう。
\24時間365日無料相談/
目次
ランサムウェアとはどういうもの?
ランサムウェアとは、マルウェアの一種で、感染したコンピュータやデータを暗号化したり、使用不能にしたりして、元に戻すことと引き換えに身代金を要求するものです。
ここでは近年のランサムウェアの特徴について紹介します。
近年のランサムウェアの動向:多重脅迫型が急増
通常のランサムウェアは、被害者のデータを暗号化し、復号のために身代金を支払うよう要求します。
近年、ランサムウェア攻撃は更なる進化を遂げ、たとえば二重恐喝型では、身代金の支払いを要求するだけでなく、盗んだ情報を公開すると脅迫する手法が用いられます。
また一部のランサムウェアは、被害者のインフラにDDoS攻撃を仕掛ける三重恐喝、関係者に感染の事実を暴露する四重恐喝を採用しており、その手口はますます悪質化しています。
ランサムウェアの潜伏期間
ランサムウェアの潜伏期間は、システムに最初に感染してからランサムウェアが実行されるまでの期間を指します。
場合によっては、ランサムウェア攻撃は迅速に行われますが、攻撃者が身を潜めてネットワークの隅々まで侵入し、攻撃を最大化する場合もあります。
つまり、この期間は、ランサムウェアの攻撃者の目標、感染経路、標的となるシステムのセキュリティ対策などによって大きく異なります。ただ、一般的には15日~25日程度と言われていますが、最新のランサムウェアはさらに潜伏期間が短縮される傾向にあるようです。
潜伏期間中の情報漏えいを防ぐためにも、ネットワーク内の通信を監視し、異常なトラフィックや通信を検出する「出口対策ツール」は必要不可欠です。これにより、攻撃者による外部サーバーへの通信をブロックし、被害の最小化につながります。
ランサムウェア感染時に絶対にやってはいけないこと
ランサムウェア感染時・感染の疑いがある状態に絶対にやってはいけないことを紹介します。
感染端末の再起動
感染端末の再起動を行うとシャットダウンによって停止していたデータファイルの暗号化が再開し、感染端末内のファイルが閲覧できなるリスクがあります。
感染後は再起動ではなく、速やかにネットワーク環境から切り離すことが重要です。
感染後の端末でバックアップを取る
感染後にバックアップを取った場合、ランサムウェアに感染した状態のデータが保存されてしまうため復旧後にバックアップを復元すると再びランサムウェアに感染してしまうリスクがあります。
脅迫文に従って身代金を払う
身代金を支払っても、暗号化されたデータが確実に復号されるという保証はありません。過去に身代金を支払った企業のうちデータが戻ってきたのは半数程度で、身代金を支払った企業の8割が再び攻撃を受けたというデータもあります。
また、身代金を支払うこと自体が反社会勢力の増長につながる恐れもあるため、相手の要求を鵜呑みにせず、身代金を支払うことは避けましょう。要求された際には対処しようとせずにランサムウェアの調査可能な専門業者に相談しましょう。
ランサムウェア感染時の初動対応7ステップ
ランサムウェア感染時、重要な対応は感染の拡大を防ぎ、システムを復旧することです。
2021年5月に発生した「ダークサイド」と呼ばれるランサムウェア攻撃では、米国の石油パイプラインを運営する企業が被害に遭い、緊急停止を余儀なくされましたが、この事件では早期に対応したことで感染拡大を抑制し、復旧作業がスムーズに進んだとされます。
しかし、感染被害が広がると復旧作業が困難になり、企業の業務に大きな影響を与えるため、早期の対応が求められます。
ランサムウェアに感染した場合の初動対応は次のとおりです。
①感染端末をネットワークから遮断・隔離
ランサムウェアは一つの端末だけでなく、同一ネットワーク上にあるバックアップファイルも暗号化します。最悪の場合、すべての端末が感染し、企業が稼働停止に追い込まれることもあります。
ランサムウェアに感染時、被害を最小限に押さえるためにも、感染端末はオフラインにするのが先決です。下記の方法で接続を解除しましょう。
有線接続(LANケーブル)の場合
有線接続の場合は、感染端末のネットワークケーブルを抜いて隔離しましょう。
無線接続(Wifi)の場合
無線接続の場合はアクセスポイントを無効にするか、感染端末の接続を切断します。これにより、感染の拡大を制御し、他のシステムへの影響を最小限に抑えることができます。
②感染端末の保全
電子端末のネットワークを切断し、自力でデータやログの収集をしない場合は、電源は落とさずスリープモードにし、端末を保全することをおすすめします。
警察庁の調査によると、ランサムウェアに感染した企業や団体の約7割が、暗号化や削除などの要因でログの一部ないし全部が使えなくなっていることが判明しています。
出典:令和5年におけるサイバー空間をめぐる脅威の情勢等について
そこでランサムウェアの調査にはより高度な専門技術が必要になります。特に端末のメモリなどは電源を落とすと保存していたデータが消えてしまうため、保全作業が極めて重要となります。
フォレンジック専門家であれば、専門性の高い調査を行い、被害状況や感染経路を迅速に把握できることがあります。相談先によっては個人情報保護委員会や警察などにも提出できるレポートも作成できることもありますので、以下よりお問合せ下さい。
\相談から最短30分でWeb打ち合わせを開催/
③利用サービスのパスワード変更
感染が疑われるデバイスで使用していたメールアドレスやパスワードの変更を行いましょう。メールアドレスやパスワードが流出すると、第三者に悪用される可能性があります。
メールアドレスやパスワードの変更を行う際は、ランサムウェアに感染していない他のデバイスから行うようにしてください。感染デバイスで変更したセキュリティ情報が第三者に盗まれ、悪用されることも考えられます。
④ランサムウェアの種類を特定する
ランサムウェアに感染した場合、感染したファイルの拡張子やランサムノート(身代金要求メッセージ)を検索し、特定のランサムウェアファミリーに関連付けられた特徴やパターンを見つけることで、ランサムウェアの種類を特定することができます。
また、特定のランサムウェアには、「復号ツール」と呼ばれる暗号解除型ソフトウェアが公開されていることもあり、種類を特定することで、適切な復号ツールを選ぶことができる可能性があります。
また、この特定作業を通じて、攻撃手法や暗号化方式、悪用された脆弱性などを、ある程度は理解できる場合もあります。
ただし、ランサムウェアの解析や種類の特定が難しい場合、サイバーセキュリティの専門家に助けを求めることも一つの方法です。専門家に依頼することで、感染したファイルやコードを詳細に解析し、正確なランサムウェアの種類を判定するのに役立ちます。
⑤インシデントの通報・システム担当者への共有
ランサムウェアの感染が分かれば、すぐに組織のセキュリティ担当者に連絡しましょう。
ランサムウェアの感染が疑わしい場合、以下の情報を提供すると良いでしょう。
- 感染時刻と端末:感染が発覚した時刻、当該端末を報告します。
- 症状とファイル拡張子:ファイルの暗号化や身代金要求メッセージなど、症状を伝え、どのファイルが影響を受けたかを伝えます。
- 感染原因:不審なメールやリンク、ウェブサイトの情報を共有し、原因を詳しく説明します。
- 全体の状況:他の端末やネットワークへの感染の可能性をはじめ、感染時のセキュリティ状況(VPN/RDPなどのソフトウェアの更新履歴)に関する情報を提供します。
また、ランサムウェアの被害を受けた企業は、改正個人情報保護法にのっとり、被害の状況を正確に把握したうえで、行政へ報告をおこなう「義務」があります。感染を発見したら、速やかにシステム担当者に通報し、協力を得ましょう。
警察署または各都道府県警察に設置されている「サイバー犯罪相談窓口」へ通報
ランサムウェア感染などのサイバー犯罪に遭った場合、最寄りの警察署か都道府県警が管轄する「サイバー犯罪相談窓口」に相談・通報すると、法的なアドバイスや警察の捜査につなげられる場合があります。
ただし、警察に捜査してもらうためには被害届の提出や、通信ログ、アクセスログ、システム構成図、被害端末の情報などの証拠が必要となる場合があります。
これらは被害企業側で用意する必要があるため、被害者への対応で手一杯の場合はフォレンジック専門家に相談することをおすすめします。
⑥サイバーセキュリティの専門家へ連絡/対応の策定
ランサムウェア感染時、的確な対応策の立案が欠かせません。しかし、対応は多岐にわたり、そのうえ専門知識と高度な技術が必要なため、自社だけで行うのは困難です。
そのため、組織や社内でサイバーインシデントが発生した際、調査の実施が未確定の場合でも、まずは信頼性の高いフォレンジック業者に一度相談することをおすすめします。
私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む累計3.2万件の対応経験があり、サイバー攻撃経路や漏えいしたデータを迅速に特定します。
\相談から最短30分でWeb打ち合わせを開催/
⑦復号ツールを使用
攻撃者が公開した復号ツールには、バックドア(不正侵入通路)が仕掛けられている可能性もあるため、復号ツールを利用する際は、法的機関やセキュリティベンダーなどが公式に提供しているものを利用しましょう。
公的機関が運営している「No More Ransom」で公開されているツールはサイバーセキュリティの専門家によって開発されたもので、これまでに何千人もの被害者が身代金を支払うことなくデータを復号させることに成功しています。
ここで、解読ツールが提供されているかどうかを確認し、必要に応じて利用しましょう。
ランサムウェアの復号ツールの探し方、復号ツールを使って復旧する方法、注意点はこちら
ランサムウェア感染による企業の情報漏えいインシデント対応が義務化されています
2022年(令和4年)4月に施行された「改正個人情報保護法」では、不正な目的をもって行われた漏えい事案が発生した可能性がある場合、報告と通知が法人に義務付けられました。
ランサムウェアによる個人情報漏えいは、組織にとって大きなリスクです。情報が外部に流出した場合、適切な措置を講じ、漏えいした情報の種類・経路・件数などを正確に調査する必要があります。仮に命令に違反した場合、最大1億円以下、報告義務違反には最大50万円以下の罰金が科せられます。
個人情報の漏えい等があったらどうするか
個人データの漏えい等が発生した場合、特に、個人の権利利益を害するおそれがあるときは、委員会への報告と本人への通知が必要です。
個人の権利利益を害する恐れのある情報・事態としては下記が該当します。
- 要配慮個人情報(人種、信条、社会的身分、病歴など)が含まれる
- 財産的被害が生じるおそれがある
- 不正の目的をもって行われた漏えい等
- 1,000人を超える漏えい等が発生した
特に①から③に該当する内容が発生した場合、1件以上の個人データの漏えい等またはその恐れがある場合であっても、個人情報保護委員会、および本人への報告が義務となります。
個人情報保護委員会への報告
速やか(概ね3~5日以内)に個人情報保護委員会への報告を行いましょう。
伝えるべき内容は次のとおりです。
- 漏えいが発生したこと
- 個人データの内容
- その他必要な情報
本人への通知
漏えいが発生したことを速やかに本人に通知することも重要です。通知に含まれるべき情報は以下の通りです。
- 漏えいが発生した旨の通知
- 個人データの内容についての説明
- その他必要な情報の提供
これらの手順を踏んだうえで、個人情報保護に関する法律に基づいた適切な対応ができ、個人の権利利益をしっかりと守ることができます。
出典:個人情報保護委員会
ランサムウェア感染の調査には法的知識や専門技術が必要
しかしながら、報告だけでは不十分です。インシデントの詳細な把握が説明責任を果たす上で重要です。ここでフォレンジック調査が重要となってきます。
そもそもランサムウェアは、高度な技術を使って攻撃が行われることが多く、データの復号やシステムを復旧するにあたって専門的な知識が必要となります。
そのためランサムウェアの調査をする場合、法的知識や専門技術を持つ専門家に相談することが強く推奨されています。
感染被害時は「フォレンジック調査」が有効
専門的なノウハウを持たない中で、個人ないし自社のみで調査を行うと、実態を正確に把握できない可能性が高まります。それだけでなく、取引先や行政等へ報告が必要な場合は、 自社調査のみだと信憑性が疑われ、さらなる信用失墜につながる危険性もあります。
また対応が遅れると被害が大きくなりやすいため、インシデント時は早急に対応を決めて実行することで、被害を最小限に抑えることが出来ます。
この場合、ランサムウェアの対応実績が豊富なフォレンジック調査の専門業者へ相談しましょう。フォレンジック調査とは、コンピュータやネットワークに残されたデータを調査・解析し、インシデントの原因や影響範囲、不正な挙動を明らかにする手法です。
またフォレンジック調査によって得られた報告資料は、法的手続きにおいて、客観的かつ中立的な立場で作成されることから、漏えい状況の把握、再発防止策の策定に役立つだけでなく、法執行機関や個人情報保護委員会に提出できる資料としても活用することができます。
フォレンジック調査の概要や必要性・メリット・活用事例はこちら
ランサムウェア感染時は、ファスト・フォレンジックが有効
特に、ランサムウェア感染時は、ファスト・フォレンジックを行うことで、被害を最小限に抑えることができます。これは、サイバー攻撃や情報漏えいなど、セキュリティインシデントが発生したときに、迅速に被害の原因や範囲を把握する調査手法です。
インシデントが発生してから対応を始めるまでの時間が長いと、被害が拡大する可能性があります。一方、ファスト・フォレンジックでは必要なデータを迅速に収集・解析することで、早急な原因究明を行い、被害拡大を防ぐことができます。
ファスト・フォレンジックの詳細は下記の記事でも詳しく解説しています。
私たちデジタルデータフォレンジックは、緊急性の高いインシデントにもいち早く対応できるよう24時間365日体制でフォレンジック調査を受け付けており、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があります。
お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたしますので、まずはお気軽にご相談ください。
\相談から最短30分でWeb打ち合わせを開催/
ランサムウェア感染調査ならDDFへ
ランサムウェアに感染した場合には、感染した経路、漏えいした情報はなにかなどの被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと法的な証拠能力がある場合も少なく、調査も正確にできなかったりなど不完全な結果になってしまう恐れがあります。このような事態を防ぐために、フォレンジック調査会社へ調査依頼することをおすすめします。
DDFでは、インシデント対応のプロが初動対応から調査、解析、調査結果の提出、ならびに報告会までの問題解決をサポートします。DDFへお問い合わせいただくと、初動対応方法、調査のお見積りまで無料でご案内いたします。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応いたします。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
法人様は最短30分でWeb打ち合せ(無料)を設定
ランサムウェア対応を専門家に依頼すべき理由
ランサムウェアに感染すると、重要なデータの暗号化によるアクセス喪失や、業務停止に伴う生産性の低下など、企業に深刻な損失をもたらします。
仮に、このような被害が発生すれば、企業はデータ復旧のために莫大なコストを負担することになる可能性があります。さらに、個人情報の漏えいが発覚した場合、不適切な対応をおこなうと、顧客と組織の信頼関係が損なわれ、企業の信用が失墜する恐れもあります。
ここでは企業がランサムウェアに感染した場合、専門家に依頼すべき理由を説明します。
被害を最小限に抑えることが可能
被害を最小限に抑えるための一環として、専門家に依頼することが重要です。フォレンジック専門家は過去の事例や最新の脅威情報をもとに、感染経路や攻撃手法を分析し、感染拡大を食い止めるための適切な対応や、企業が今後の攻撃にどのように備えるべきかをアドバイスすることができます。
データ復号の可能性が高い
ランサムウェア攻撃によるデータの暗号化は、企業にとって極めて重要な情報へのアクセスを奪う可能性があります。
こうした状況において、フォレンジック専門家に協力を依頼するのは必要不可欠です。彼らは復号(暗号化されたデータの解読)やバックアップからの復旧に精通しており、相談することでデータ復号の可能性を高めるための適切な方法を知ることが出来ます。
ランサムウェアに感染するとどうなるのか?
ランサムウェアに感染した場合、想定される被害としては次のとおりです。
【キャプチャ付き】ファイルが暗号化される
ランサムウェアに感染するとファイルが暗号化され、その後に身代金を要求されます。
暗号化されてしまうと下記のように拡張子が変わるとともに、攻撃者の連絡先がファイル名へ追加されます。誤ってこちらに記載されているメールアドレスへ連絡しないようにしましょう。
BlackDreamランサムウェアによって暗号化されてしまったファイル画像出典:PCrisk
Worryランサムウェアによって暗号化されてしまったファイル画像出典:PCrisk
【キャプチャ付き】身代金を要求される
近年のランサムウェアは、一定期間内に身代金を振り込まないと、データを暴露する二重脅迫型(暗号化+暴露)が中心ですが、暴露される以外にも感染した事実を公表する三重恐喝、DDos攻撃をしかける四重恐喝なども存在します。
ランサムノートというもので身代金の要求をされます。実際のランサムノートは下記の画像のようなものです。
Cactusランサムウェアのランサムノート画像出典:BleepingComputer
Makopランサムウェアのランサムノート身代金を支払うことは、サイバー犯罪グループの資金源につながるだけでなく、身代金を支払ったという情報が広まることで、他のランサムウェアや不正アクセスの標的になる可能性もあります。
また、個人情報の流出や暗号化の復号キーと引き換えに身代金が要求される傾向がありますが、身代金を支払っても個人情報が流出したり、データが復号されない場合もあります。
したがって、身代金の要求には絶対に応じず、まずはネットワーク上の脆弱性やインシデントの範囲を正確に調査しましょう。これによって今後、セキュリティリスクを最小限に抑えることができます。
\法人様はWEB打ち合わせまで最短30分!/
【キャプチャ付き】身に覚えのない壁紙に変更
ランサムウェア感染させた犯行グループやランサムウェアの種類によってデスクトップの壁紙を勝手に変更しメッセージを残します。
Makopランサムウェアに感染した場合に変更される壁紙画像出典:PCrisk
システムがダウンする
ランサムウェアによって、社内のシステムが使えなくなった場合、企業の業務が停止し、顧客へのサービス提供や従業員の業務に支障が出ることがあります。
影響を最小限に抑えるためにも、インシデント発生原因を速やかに究明するとともに、システムの修復を行い、今後の防止措置を検討する必要があります。
侵入口(バックドア)が設置される・他のマルウェアに感染する
バックドアとは、システムに不正に入るために設置された勝手口のことです。攻撃者はバックドアを使って再びシステムに侵入し、他のマルウェアに感染させたり、不正な操作を行います。
もしランサムウェア感染の被害に遭った場合、バックドアの存在を調査せずに放置すると、再感染のリスクが高まります。そのため、ランサムウェアの被害に遭った場合は、速やかに情報漏えいの有無や、バックドアの存在を調査し、適切な対応を講じる必要があります。
当社では、ネットワーク上の脆弱性などを特定するフォレンジック調査にくわえ、企業のインシデントの再発防止策のご提案もあわせて行っています。
個人情報が漏えいする(企業は「通報と報告」が義務化)
ランサムウェアに感染すると、個人情報などの機密情報が漏えいする可能性があります。
仮に情報漏えいが発生した可能性がある場合、企業は「個人情報保護法」にもとづき、「速報」による事態の報告と、「確報」と呼ばれる詳細な調査の報告を個人情報保護委員会に行うことが義務付けられています。
その過程で被害者や個人情報保護委員会に迅速な通知、ならびにインシデント調査を講じる必要があります。これは被害拡大を防ぐためだけでなく、企業の透明性、説明責任を確保するためにも必要なことです。
仮に法令に遵守しない場合、企業は改正個人情報保護法に基づき、最大1億円の罰金を支払わなければならない可能性があります。また、被害者や関係者への説明が不十分だと、社会的信用の失墜や訴訟リスクを引き起こす可能性もあります。
したがって、ランサムウェア感染時、企業は適切な通報・報告プロセスを確立し、適切な対応と透明な情報提供を行うことが求められます。
いずれにせよ、法人組織はサイバーセキュリティの専門家と提携し、あらかじめインシデントのフローを構築しておく必要があります。
また実際にインシデントの被害を受けた場合、知見のあるサイバーセキュリティの専門家であれば、適切な初動対応の流れを踏まえ、生じた被害を最小限に抑えることができます。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが多数在籍しており、これまで無数のインシデント被害を調査し、対策を提案してきました。24時間365日体制で相談や見積もりを無料で受け付けておりますので、ランサムウェア感染が疑われる場合、まずはお気軽にご相談ください。
\入力から送信まで3分で簡単に完了/
ランサムウェア感染が企業に及ぼす影響とは?
ランサムウェアは企業に多大な影響を与えます。以下は企業に及ぼす影響です。
対応負担と金銭的な損害
ランサムウェア感染の対応負担と金銭的な損害は、次のようなものがあります。
- データ復旧にかかわる費用
- 業務停止による損失
- 信用失墜による損失
- セキュリティ対策の強化費用
ランサムウェア感染の対応負担と金銭的な損害は、企業の規模や業種によって異なりますが、一般的に数百万円から数億円の損害を被ると言われています。
顧客や取引先などの社会的信用の失墜
ランサムウェア感染は、プライバシー侵害など個人情報悪用のリスクをもたらし、顧客や取引先との信頼関係を崩壊させてしまう恐れがあります。またランサムウェア感染によりサービスが停止されると、顧客や取引先の満足度を低下させ、信用を傷つける要因となります。
組織全体が業務停止・機能不全に陥る
ランサムウェア感染が企業に及ぼす最も深刻な影響の一つは、組織全体の業務停止や、機能不全です。ネットワーク内の全ファイルが暗号化されると、重要なデータやシステムへのアクセスが制限され、企業は業務を停止せざるを得なくなります。
たとえば、製造業の場合、生産ラインが停止し、顧客への納品が遅れることがあります。また、金融機関の場合、システムが停止することで、ATMやオンラインバンキングなどのサービスが利用できなくなる可能性があります。
またランサムウェアに感染した企業は、感染したシステムをバックアップから元どおり復旧するだけでなく、法的に正しい手続きを用いた科学的手法で感染源を特定し、行政機関への報告通知ならびに、漏えいデータの特定などで被害全容の把握に努めなければなりません。
法的な問題と規制違反
ランサムウェア攻撃によって漏えいしたデータが個人情報などの規制に違反する場合、企業は大きなリスクを負うことになります。たとえば、企業が法的な責任を負う場合、多額の罰金を支払う可能性があります。
したがって、企業はデータ漏えいが発生した場合には、速やかに対応策を講じることが不可欠です。これには、被害を最小限に抑え、再発防止策を立てることが含まれます。
データ漏えいによる被害
2022年4月、改正個人情報保護法が施行されました。これにより被害を受けた企業は、漏えいデータの調査、情報管理の改善、さらには行政への報告、被害者への補償が必要です。
この際、「フォレンジック調査」は被害を把握するのに役立ちます。フォレンジック調査では、攻撃者がどのように企業のシステムに侵入・感染し、どのように暗号化を行ったかなどを特定でき被害の状況を具体的かつ正確に把握することができます。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが多数在籍しており、これまで無数のインシデント被害を調査し、対策を提案してきました。
ランサムウェアの問題に直面した場合、まずはお気軽にご相談ください。24時間365日体制で相談や見積もりを無料で受け付けております。
\サイバーセキュリティの専門家へ無料相談できる/
ランサムウェアによる被害調査を行う場合、専門業者に相談する
マルウェア・ランサムウェア感染、不正アクセスのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
選ばれる理由
累積ご相談件数32,377件以上の実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積32,377件以上(※1)のご相談実績があります。また、警察・捜査機関から累計360件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
利用しやすい料金設定 相談・見積無料
外注により費用が高くなりやすい他社様と異なり、当社では自社内のラボで調査するため、業界水準よりも安価に調査サービスを提供しております。初動対応のご相談・お見積は無料で実施。はじめてのご利用でも安心してお任せください。
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※4)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※4)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
国際空港レベルのセキュリティ体制
官公庁や警察などの機密性の高い情報を取り扱うため、第三者機関の警備やセキュリティゲート、監視カメラを配置し、情報の管理を行っています。世界基準のセキュリティ規格であるISO、Pマークを取得。万全のセキュリティ体制を構築しています。
多くのお客様にご利用いただいております
ランサムウェア調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
ランサムウェア調査の料金・目安について
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
知っておくべきランサムウェアの主な感染経路
ランサムウェアの主な感染経路は、以下のとおりです。
ランサムウェアは、企業や個人にとって大きな脅威ですが、これらの経路のセキュリティを見直すことで、ランサムウェアに感染するリスクを軽減することができます。
不審なメールの添付ファイルやURL
ランサムウェアは、フィッシング詐欺やビジネスメール詐欺の手法を用いる場合があります。
たとえば攻撃者は、相手がうっかり開きそうな件名のメール(偽の請求書、配送通知、求職応募書類など)に不正なファイルやURLを添付する手口を用いることがあります。
これに引っ掛かり、ユーザーが添付ファイルを開いたり、あるいはリンクをクリックしたりすると、マルウェアが実行されてしまい、ただちにシステムが感染してしまいます。
脆弱なリモートデスクトップ/VPN
リモートデスクトッププロトコル(RDP)は、遠隔の端末に接続する技術であり、VPN(仮想プライベートネットワーク)は、プライベートネットワークに接続する技術です。
RDPをVPN接続後に使用することで、安全なリモート作業環境を実現できますが、いくつか脆弱性が存在し、認証情報が漏えいすると、ランサムウェア感染する可能性があります。
たとえば下記のような場合、攻撃者にとって有利な状態を作り出す可能性があります。
- 脆弱なパスワードを使用している
- 最新のパッチやセキュリティ修正が適用されていない
- デフォルトの設定をそのままにしている
- 不要なポートが開いている
これらの脆弱性を最小限に抑える対策としては、下記を挙げることができます。
- 強力なパスワードやマルチファクタ認証(多要素認証)を使用する
- セキュリティパッチやアップデートを定期的に適用する
- 不要な機能やポートを無効化する
ソフトウェア/OSの脆弱性
ランサムウェアの攻撃者は、しばしばソフトウェアやOSに存在する脆弱性(ソフトウェアやOSに存在する設計上の欠陥や不具合)を利用してシステムに侵入します。
通常、脆弱性が発見された場合は、ソフトウェアやOSのベンダーからセキュリティパッチが公開されるので、これを適用することで、脆弱性を悪用した攻撃を防ぐことができます。
VPN機器やOS、セキュリティ製品は常に新しいバージョンにアップデートしておきましょう。
Webサイト(ドライブバイダウンロード)
攻撃者は、Webサイトに悪意ある広告やコードを仕込み、ユーザーがクリックしたり実行したりすることで、マルウェアを感染させます。この攻撃手口は、ドライブバイダウンロードと呼ばれます。
具体的には、以下の点に注意するとよいでしょう。
- WebサイトのURLをよく確認する
- SSL/TLSで暗号化されているWebサイトにアクセスする
- 怪しい広告やコードをクリックしない
- 最新のセキュリティソフトを導入する
感染した端末に接続されたUSBメモリや外付けHDD
感染した端末に接続されたUSBメモリや外付けHDDを介して他の端末やネットワークにランサムウェアを広げることがあります。不明なメディアを接続する前にセキュリティスキャンを行うなど、予防策を取ることが大切です。
ランサムウェアの感染を防ぐ事後対策13選
ランサムウェアに感染した場合、被害を最小限にとどめるため、次のような再発防止の取り組みを行い、リスクを回避できる環境を整えておきましょう。下記の対策を組み合わせることで、組織はセキュリティレベルを向上させることができます。
インシデント対応計画の策定
あらかじめ組織のインシデント対応計画を策定し、ランサムウェア感染時の手順や役割分担を明確にします。また状況に応じて適切な改善を行うことで、インシデント時に効果的な対応が可能となります。
セキュリティチーム(CSIRT)の創設
あらかじめ、インシデント対応のためのチーム、つまりComputer Security Incident Response Team(CSIRT)を組織内に設立しましょう。
CSIRTはセキュリティに特化した専門家から成るチームであり、インシデントに対する高度な知識とスキルを持っています。そのため、ランサムウェア感染などの状況に適切に対処する能力があります。
仮にランサムウェア感染などのインシデントが発生した場合でも、CSIRTが設置されていれば迅速に対応でき、被害を最小限に抑えることができます。
従業員のリテラシー強化
従業員のセキュリティ意識を高めることで、ランサムウェアの感染原因となる不審なリンクや悪意ある添付ファイルの展開を回避することができます。
ユーザー権限の厳密化
必要な権限のみを持つユーザーアカウントを設定し、不必要な特権を持つアカウントを制限します。これにより、攻撃者がシステム内での動きを制約され、ランサムウェアの被害範囲を狭めることが可能です。
パスワードを複雑にする
よく使われるシンプルなパスワードだと、無数の文字列を組み合わせた「総当たり攻撃」などで簡単に不正ログインされてしまいます(また、パスワードを使い回すと、同じ施設内にある別端末のネットワークにも簡単に不正アクセスされてしまいます)。
パスワードは独自の要素を追加し、使いまわすのは控えましょう。
OSやセキュリティソフトを導入・更新する
セキュリティソフトやファイアウォールを導入することで、外部からの不審な通信を遮断し、通信の可否を選択することで、ある程度の不正アクセスを検知・防御できます。
ただし、マルウエアは1日に数十万という数が新しく作られているため、常にソフトウェアを最新の状態に保つだけではなく、OSやセキュリティソフトのアップデートを怠らないようにしましょう。
パッチ適用の実施
ベンダーから提供されるパッチやセキュリティアップデートは、既知の脆弱性やセキュリティホールを修正するために重要です。これにより、攻撃者が既知の脆弱性を悪用してシステムに侵入するリスクを低減できます。
ファイアウォールや侵入検知システムの導入と設定
ファイアウォールや侵入検知システムをネットワークに導入することで、異常なアクティビティや不正なネットワークトラフィックをブロック、検知します。これにより、不正アクセスを早期に検知し、対処することができます。
セキュリティ教育を従業員に行う
今後同じことを繰り返さないように、従業員に対するセキュリティ教育を徹底し、マルウェア感染の再発防止策の検討・実施、そしてセキュリティポリシーの策定に必要な措置を速やかに講じましょう。
安易にリンクをクリックしない・添付ファイルを開かない
大半のランサムウェアは、スパムメールに添付された不正ファイルの開封により引き起こされます。また、電子メールの件名や本文は、業務目的での開封を誘導するものも多く、たとえ取引先からのメールでも、不自然に添付されたリンクやファイルには注意が必要です。
サイバーセキュリティ対策を実施
ランサムウェアが発生していると分かった場合は、インシデント発生原因を究明するとともに、今後の防止措置を検討する必要があります。
なおランサムウェアは、トロイの木馬型マルウェア、例えばEmotetによって感染することがあります。言い換えれば、サイバーセキュリティ対策を徹底し、ファイアウォールなどを採用しておくことで、マルウェア経由でのランサムウェア感染を防ぐことができます。
定期的なバックアップの実施
バックアップはランサムウェアによるデータの暗号化に備え、感染前の状態にデータを復元する重要な手段です。なお、バックアップはオフラインに保存されることが望ましいです。
VPN機器等の脆弱性対策
VPN(仮想プライベートネットワーク)機器や、他のネットワーク機器の脆弱性対策を実施しましょう。これには、ベンダーからのセキュリティパッチの適用、デフォルトのパスワードの変更、セキュリティ設定の強化などが含まれます。
脆弱性が悪用されたネットワーク機器は攻撃者によるアクセスや侵入の経路となる可能性があるため、適切な対策が必要です。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
