![DDF:DIGITAL DATA FORENSICS[デジタルデータ フォレンジック]](/assets/images/ddf_head_logo.png){kind=logo}
近年、特定の企業を狙うランサムウェアによる被害が大幅に増えており、企業や個人にとって大きな脅威となっています。
この記事では、ランサムウェアに感染した際に取るべき対処方法や、被害実態について調査する方法を詳しく説明します。また、最新のセキュリティ対策についても解説します。正しい知識を身につけることで、今後の被害を未然に防ぎましょう。
\サイバーセキュリティ専門家へ24時間365日無料相談/
目次
ランサムウェアに感染するとどうなるのか?
ランサムウェアに感染すると、ほとんどの場合で、端末上のファイルは全て暗号化され、ビットコインで身代金を要求する txtファイルが画面上に表示されます。
2017年に流行したビットコイン要求型のランサムウェア「WannaCry」の感染画面
ランサムウェアに感染した場合、想定される被害としては次のようなものがあります。
- 身代金を要求される・ファイルが暗号化される
- システムがダウンする
- 侵入口(バックドア)が設置される・他のマルウェアに感染
- 個人情報が漏えいする
身代金を要求される・ファイルが暗号化される
ランサムウェアに感染するとファイルが暗号化され、身代金を要求されます。なお、近年のランサムウェアは、一定期間内に身代金を振り込まないと、データを暴露する二重脅迫型(暗号化+暴露)が中心です。
しかし身代金を支払うことは、犯罪者によるハッキングの標的となる可能性があるため、控えるべきです。そもそも、身代金を支払っても、データが復号される保証はありません。
代わりに、ネットワーク上の脆弱性やインシデントの範囲を正確に調査しましょう。これによって今後、セキュリティリスクを最小限に抑えることができます。
システムがダウンする
ランサムウェアによって、社内のシステムが使えなくなった場合、企業の業務が停止し、顧客へのサービス提供や従業員の業務に支障が出ることがあります。
この際、影響を最小限に抑えるために、インシデント発生原因を速やかに究明するとともに、システムの修復を行い、今後の防止措置を検討する必要があります。
侵入口(バックドア)が設置される・他のマルウェアに感染
バックドアとは、システムに不正に入るために設置された勝手口のことです。攻撃者はバックドアを使って再びシステムに侵入し、他のマルウェアに感染させたり、不正な操作をおこなうことができます。
もしランサムウェア感染の被害に遭った場合、情報漏えいの有無や、バックドアの存在を調査し、再発防止のためにもセキュリティ対策を行う必要があります。
当社では、ネットワーク上の脆弱性などを特定するフォレンジック調査にくわえ、企業のインシデントの再発防止策のご提案もあわせて行っています。
個人情報が漏えいする(企業は「通報と報告」が義務化)
ランサムウェアに感染すると、攻撃者はシステム内の機密情報にアクセスすることができます。個人情報などの機密情報が漏えいする可能性があります。このような被害に遭うと、企業の信頼性が失われ、法的な問題に直面する可能性があります。
2022年4月に「改正個人情報保護法」が施行された影響もあり、ランサムウェアの被害を受けた企業は、漏洩した情報の種類や漏洩経路、漏洩された個人情報の件数などを調査する必要があります。
しかし、こうした対応には、企業の人的・物的なリソースが必要となります。そのため、ハッキング調査の専門家と提携し、適切かつスピード感のある対応を行うようにしましょう。
顧客情報などの漏えいによる訴訟事例
2019年、米国の某自動車メーカーがランサムウェアに感染し、企業の重要なシステムやデータが暗号化されました。某自動車メーカーは、身代金を支払い、データの復旧を行いましたが、顧客情報の漏えいによって、複数の集団訴訟が提起される事態となりました。某自動車メーカーは、この事件によって、数百万ドルの損害を被ったと報告しています。
ランサムウェア感染が企業に及ぼす影響とは?
ランサムウェア感染は企業に多大な影響を与える可能性があります。
以下、企業に及ぼす影響を説明します。
業務停止による被害
ランサムウェア感染が発生すると、感染したコンピュータやネットワークが暗号化され、企業の業務が停止する可能性があります。
たとえば、製造業の場合、生産ラインが停止し、顧客への納品が遅れることがあります。また、金融機関の場合、システムが停止することで、ATMやオンラインバンキングなどのサービスが利用できなくなる可能性があります。
いずれにせよ、企業は業務を停止する以上、多大な損失が発生する可能性があります。この際、企業は感染源を特定し、感染したシステムを元通り復旧する必要があります。
データ漏えいによる被害
2022年4月、改正個人情報保護法が施行されました。これにより被害を受けた企業は、漏えいデータの調査、および今後の情報管理の改善、さらには行政への報告や、被害者への補償が必要です。これらの取り組みは被害を把握し、顧客の信頼を維持するために必要です。
フォレンジック調査は、被害を把握するために非常に役立ちます。たとえば攻撃者がどのように企業のシステムに侵入したか、どのようにランサムウェアが感染したか、どのように暗号化を行ったかなどの情報を収集できます。
この方法によって、企業はランサムウェアの問題に直面した場合でも、被害の状況を正確に把握することができます。また、顧客データが漏えいした場合、フォレンジック調査をおこなうことで、被害を受けた個人に対して、より具体的な報告を行うことができます。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが多数在籍しており、これまで無数のインシデント被害を調査し、対策を提案してきました。24時間365日体制で相談や見積もりを無料で受け付けておりますので、まずはお気軽にご相談ください。
\サイバーセキュリティの専門家へ無料相談できる/
ランサムウェアに感染した場合、とるべきでない対応とは?
ランサムウェアに感染した場合、とるべきでない対応は次のとおりです。
- ランサムウェアの要求に従うこと
- ランサムウェアのファイルを削除すること
ランサムウェアの要求に従うこと
ランサムウェアに感染した場合、攻撃者は身代金を要求することがあります。しかし、要求に従うことは繰り返しになりますが、推奨しません。
たとえ攻撃者は要求に従ったとしても、復号ツールを提供しない場合があります。2017年に発生した「WannaCry」による攻撃では、多くの組織が身代金を支払ったにもかかわらず、攻撃者から復号ツールを受け取れなかったという報告がありました。
また、要求に従ったことで攻撃者が同じ組織を再度攻撃することがあるため、要求に従うことは非常に危険です。
ランサムウェアのファイルを削除すること
ランサムウェアに感染した場合、ランサムウェアのファイルを削除することは推奨されません。ランサムウェアが削除されても、データは復号できず、そのうえ被害調査の際、具体的にどのような経路でどの情報が流出したかなど証拠を失ってしまう可能性があります。
ランサムウェアに感染した場合の初動対応
ランサムウェアに感染した時、被害拡大を防止する対応方法を時系列に沿って紹介します。
身代金は支払わない
身代金を支払っても、暗号化されたデータが確実に復号されるという保証はありません。サイバーリーズン社の調査によると、身代金を支払った企業のうちデータが戻ってきたのは半数程度で、身代金を支払った企業の8割が再び攻撃を受けたという報告もあります。
また、身代金を支払うこと自体が反社会勢力の増長につながる恐れもあるため、相手の要求を鵜呑みにせず、身代金を支払うことは避けましょう。
ネットワークから遮断する
ランサムウェアに感染した場合、まず行うことは、端末をネットワークから切り離すことです。ランサムウェアは一つの端末だけでなく、同一ネットワーク上にあるバックアップファイルも暗号化します。最悪の場合、すべての端末が感染し、企業が稼働停止に追い込まれることもあります。
被害を最小限に押さえるためにも、感染端末はオフラインの状態にするのが先決です。有線であればLANケーブルを外し、無線の場合はWi-Fiをオフにしましょう。
システムをシャットダウンする
お使いのシステムがランサムウェアに感染していると思われる場合は、すぐにシステムをシャットダウンし、システム担当者またはIT部門に連絡することが最善です。そうすることで、ランサムウェアがネットワーク上の他のシステムに広がるのを防ぐことができます。
システム担当者に連絡する
ランサムウェアに感染後、IT部門またはシステム担当者に連絡し、ランサムウェア攻撃の疑いがあることを知らせます。その際、確認した症状や、受け取った不審なメールやメッセージなど、できるだけ多くの情報を提供するようにしましょう。
メールアドレス・パスワードを変更する
次に感染が疑われるデバイスで使用していたメールアドレスやパスワードの変更を行いましょう。メールアドレスやパスワードが流出すると、第三者に悪用される可能性があります。
メールアドレスやパスワードの変更を行う際は、ランサムウェアに感染していない他のデバイスから行うようにしてください。感染デバイスで変更したセキュリティ情報が第三者に盗まれ、悪用されることも考えられます。
復号キーを検索する
一部のランサムウェアは、復号ツールや復号キーがオンライン上に公開されています。これはランサムウェアの作成者たちが活動停止を宣言し、マスター鍵を公開するというケースが多いようです。
しかし、攻撃者が公開した復号ツールには、バックドア(不正侵入通路)が仕掛けられている可能性もあるため、復号ツールを利用する際は、法的機関やセキュリティベンダーなどが公式に提供しているものを利用しましょう。
ランサムウェアを駆除する
データのみの暗号化の場合、セキュリティソフトでランサムウェアを駆除できることがあります。しかし、ランサムウェアを駆除してしまうと、感染経路や脆弱性、漏えいした情報の調査が困難になるほか、身代金の要求額が上がってしまうなどのデメリットもあります。
バックアップからファイルを復元する
あらかじめデータをクラウドストレージなどにバックアップしていれば、感染した端末をフォーマットしてバックアップからシステムを復旧できます。ただし、ランサムウェアに感染した時点で、基本的に内部データは盗まれており、情報漏えいが発覚すると、多大な損害が生じる恐れがあります。
ランサムウェアによる情報漏えい被害を調査する方法は、下記で詳しく紹介しています。
攻撃の原因を調査する
ランサムウェア感染時は、ハッキング調査の専門業者まで相談しましょう。
ランサムウェアの感染調査に対応実績がある専門業者であれば、感染経路や被害全容の「調査」を行うことも可能です。
ランサムウェア感染時、企業がとるべき対応とは?
ランサムウェア感染時、企業がとるべき対応は次のとおりです。
- 感染の拡大を防ぐ・システムの復旧
- 感染経路の特定・被害範囲の把握
- 通報と報告
- 予防対策の実施
感染の拡大を防ぐ・システムの復旧
ランサムウェア感染時、最も重要な対応策は感染の拡大を防ぎ、システムを復旧することです。2021年5月に発生した「ダークサイド」と呼ばれるランサムウェア攻撃では、米国の石油パイプラインを運営する企業が被害に遭い、緊急停止を余儀なくされました。この事件では、早期に対応したことで感染拡大を抑制し、復旧作業がスムーズに進んだとされます。
しかし、感染被害が広がると復旧作業が困難になり、企業の業務に大きな影響を与えるため、早期の対応が求められます。
感染拡大の防止には、まず感染している端末をネットワークから切断し、感染源を特定します。その後、感染端末を隔離したうえで、データのバックアップからの復旧を行います。
感染経路の特定・被害範囲の把握
ランサムウェア感染が発生した際、企業は、どのシステムが影響を受けたのか、攻撃者はどのようにアクセスしたのか、どのようなデータが漏洩したのかを特定する必要があります。
ただし、専門的なノウハウを持たない中で自社調査を行っても、正確な実態把握ができなかったり、場合によっては証拠となるデータが故意にもしくは意図せず改ざん・削除される危険性があるため、信憑性を疑われかねません。場合によってはさらなる信用失墜につながる危険性すらあります。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
✔どこに依頼するか迷ったら、相談実績が累計1.4万件以上(※1)のデジタルデータフォレンジック(DDF)がおすすめ
✔データ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術で他社で調査が難しいケースでも幅広く対応でき、警察・捜査機関からの感謝状の受領実績も多数。
✔相談からお見積までは完全無料だから、いきなり費用発生の心配もなし。
※1 累計ご相談件数23,703件を突破(期間:2016年9月1日~)
※2 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
通報と報告
感染後は、法執行機関や影響を受けた顧客にインシデントを報告することが重要です。また、企業は、利害関係者やパートナーとのコミュニケーションを図り、インシデントについて透明性を確保したうえで、規制遵守のガイドラインに従う必要があります。
予防対策の実施
予防策としては、定期的なバックアップ、セキュリティパッチの適用、マルウェア対策ソフトウェアの導入、フィッシング攻撃や安全な閲覧習慣に関する従業員への教育が必要です。また、脆弱性評価や侵入テストを実施することで、脆弱性をなくしておく必要があります。
ランサムウェアの感染を防ぐ事後対策
ランサムウェアに感染した場合、被害を最小限にとどめるため、次のような再発防止の取り組みを行い、リスクを回避できる環境を整えておきましょう。
パスワードを複雑にする
よく使われるシンプルなパスワードだと、無数の文字列を組み合わせた「総当たり攻撃」などで簡単に不正ログインされてしまいます(また、パスワードを使い回すと、同じ施設内にある別端末のネットワークにも簡単に不正アクセスされてしまいます)。パスワードは独自の要素を追加し、使いまわすのは控えましょう。
OSやセキュリティソフトを導入・更新する
セキュリティソフトやファイアウォールを導入することで、外部からの不審な通信を遮断し、通信の可否を選択することで、ある程度の不正アクセスを検知・防御できます。
ただし、マルウエアは1日に数十万という数が新しく作られているため、常にソフトウェアを最新の状態に保つだけではなく、OSやセキュリティソフトのアップデートを怠らないようにしましょう。
セキュリティ教育を従業員に行う
今後同じことを繰り返さないように、従業員に対するセキュリティ教育を徹底し、マルウェア感染の再発防止策の検討・実施、そしてセキュリティーポリシーの策定に必要な措置を速やかに講じましょう。
安易にリンクをクリックしない・添付ファイルを開かない
大半のランサムウェアは、スパムメールに添付された不正ファイルの開封により引き起こされます。また、電子メールの件名や本文は、業務目的での開封を誘導するものも多く、たとえ取引先からのメールでも、不自然に添付されたリンクやファイルには注意が必要です。
サイバーセキュリティ対策を実施
ランサムウェアが発生していると分かった場合は、インシデント発生原因を究明するとともに、今後の防止措置を検討する必要があります。
なおランサムウェアは、トロイの木馬型マルウェア、例えばEmotetによって感染することがあります。言い換えれば、サイバーセキュリティ対策を徹底し、ファイアウォールなどを採用しておくことで、マルウェア経由でのランサムウェア感染を防ぐことができます。
ランサムウェア対策を行う場合、専門業者に相談する
サイバー犯罪やマルウェアは絶えず進化している一方、国内の多くの企業ではセキュリティ対策が追い付いていないのが実情です。
ウイルス対策ソフトやUTM等の複数のセキュリティツールを組み合わせただけでは不十分で、実際にランサムウェア感染やマルウェアによる情報漏洩被害が発生した際の対応も見越した対策でなければ有効とは言えません。
適切な対策を行うには、サイバーインシデントの対応経験も豊富なセキュリティの専門家に相談することが極めて重要です。専門家のノウハウを活用することで、最新の動向と自社の予算・規模にあわせたセキュリティ対策を構築し、マルウェア・ランサムウェア感染、不正アクセスによる情報漏洩を未然に防いだり、緊急時の相談先とすることができます。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分でWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広いインシデント対応経験、セキュリティ対策の構築経験を持つ専門担当とエンジニアが対応させていただきます。
\サイバーセキュリティ専門家に24時間365日で無料相談可能/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
多くのお客様にご利用いただいております
この記事を書いた人
デジタルデータフォレンジック エンジニア
累計ご相談件数23,703件以上のフォレンジックサービス「デジタルデータフォレンジック」にて、サイバー攻撃や社内不正行為などインシデント調査・解析作業を行う専門チーム。
その技術力は各方面でも高く評価されており、フォレンジック調査やセキュリティ対策の取り組みで在京キー局による取材実績や、警察表彰実績も多数。
