サイバー攻撃

ランサムウェアに感染したら?被害時の対応・調査方法を解説

BEWARE

近年、ランサムウェアによる被害が拡大しています。2、3年前までは不特定のユーザーを狙うランサムウェアが流行っていましたが、近年は特定の企業を狙うランサムウェアが流行っており、その被害規模も非常に大きなものとなっています。

今回の記事では、ランサムウェアに感染した時の対処方法や、被害実態・全容についての調査方法をご紹介したいと思います。

ランサムウェアに感染するとどうなるのか?

ランサムウェアに感染すると、ほとんどの場合で、端末上のファイルは全て暗号化され、ビットコインで身代金を要求する txtファイルが画面上に表示されます。

2017年に流行したビットコイン要求型のランサムウェア「WannaCry」の感染画面

 

また近年のランサムウェアは、一定期間内に身代金を振り込まないと、データを暴露する二重脅迫型(暗号化+暴露)が中心で、データのバックアップだけでは不十分となっています。従来の対応のままだと、事後的に重大なインシデントを引き起こしかねません

ランサムウェアに感染した場合の初動対応

ランサムウェアに感染した時、被害拡大を防止する対応方法を時系列に沿って紹介します。

身代金は支払わない

money

身代金を支払っても、暗号化されたデータが確実に復号されるという保証はありません。サイバーリーズン社の調査によると、身代金を支払った企業のうちデータが戻ってきたのは半数程度で、身代金を支払った企業の8割が再び攻撃を受けたという報告もあります。

また、身代金を支払うこと自体が反社会勢力の増長につながる恐れもあるため、相手の要求を鵜呑みにせず、身代金を支払うことは避けましょう。

ネットワークから遮断する

network

ランサムウェアに感染した場合、まず行うことは、端末をネットワークから切り離すことです。ランサムウェアは一つの端末だけでなく、同一ネットワーク上にあるバックアップファイルも暗号化します。最悪の場合、すべての端末が感染し、企業が稼働停止に追い込まれることもあります。

被害を最小限に押さえるためにも、感染端末はオフラインの状態にするのが先決です。有線であればLANケーブルを外し、無線の場合はWi-Fiをオフにしましょう。

メールアドレス・パスワードを変更する

maik

次に感染が疑われるデバイスで使用していたメールアドレスやパスワードの変更を行いましょう。メールアドレスやパスワードが流出すると、第三者に悪用される可能性があります。

メールアドレスやパスワードの変更を行う際は、ランサムウェアに感染していない他のデバイスから行うようにしてください。感染デバイスで変更したセキュリティ情報が第三者に盗まれ、悪用されることも考えられます。

復号キーを検索する

key

一部のランサムウェアは、復号ツールや復号キーがオンライン上に公開されています。これはランサムウェアの作成者たちが活動停止を宣言し、マスター鍵を公開するというケースが多いようです。

しかし、攻撃者が公開した復号ツールには、バックドア(不正侵入通路)が仕掛けられている可能性もあるため、復号ツールを利用する際は、法的機関やセキュリティベンダーなどが公式に提供しているものを利用しましょう。

ランサムウェアを駆除する

データのみの暗号化の場合、セキュリティソフトでランサムウェアを駆除できることがあります。しかし、ランサムウェアを駆除してしまうと、感染経路や脆弱性、漏えいした情報の調査が困難になるほか、身代金の要求額が上がってしまうなどのデメリットもあります。

バックアップからファイルを復元する

backup

あらかじめデータをクラウドストレージなどにバックアップしていれば、感染した端末をフォーマットしてバックアップからシステムを復旧できます。ただし、ランサムウェアに感染した時点で、基本的に内部データは盗まれており、情報漏えいが発覚すると、多大な損害が生じる恐れがあります。

ランサムウェアによる情報漏えい被害を調査する方法は、下記で詳しく紹介しています。

フォレンジック調査
フォレンジック調査とは | その役割とメリット、活用事例、手順など徹底解説デジタルフォレンジックとは?メリット・活用例・実手順などを紹介。デジタルデータフォレンジック(DDF)では、デジタル機器から法的証拠を見つけ、裁判証拠として活用できます。当サービスはデータ復旧11年連続国内売上No.1、復旧ご相談件数約29万件、データ復旧率95.2%の実力を活かしたフォレンジックサービス。 ...

専門業者に復号・調査を依頼する

ランサムウェアによる暗号化を個人で復号することは基本的に不可能です。

感染時は、暗号化データの復号実績がある専門業者まで相談しましょう。ランサムウェアに対応実績がある専門業者であれば、より早く安全に復号することが可能です。

当社デジタルデータフォレンジックでは、国内売上トップシェアのデータ復旧技術を活用し、データの「復号」はもちろん、感染経路や被害全容の「調査」を行うことも可能です

ランサムウェアの感染を防ぐ事後対策

ランサムウェアに感染した場合、被害を最小限にとどめるため、次のような再発防止の取り組みを行い、リスクを回避できる環境を整えておきましょう。

パスワードを複雑にする

よく使われるシンプルなパスワードだと、無数の文字列を組み合わせた「総当たり攻撃」などで簡単に不正ログインされてしまいます(また、パスワードを使い回すと、同じ施設内にある別端末のネットワークにも簡単に不正アクセスされてしまいます)。パスワードは独自の要素を追加し、使いまわすのは控えましょう。

OSやセキュリティソフトを導入・更新する

セキュリティソフトやファイアウォールを導入することで、外部からの不審な通信を遮断し、通信の可否を選択することで、ある程度の不正アクセスを検知・防御できます。

ただし、マルウエアは1日に数十万という数が新しく作られているため、常にソフトウェアを最新の状態に保つだけではなく、OSやセキュリティソフトのアップデートを怠らないようにしましょう。

セキュリティ教育を従業員に行う

今後同じことを繰り返さないように、従業員に対するセキュリティ教育を徹底し、マルウェア感染の再発防止策の検討・実施、そしてセキュリティーポリシーの策定に必要な措置を速やかに講じましょう。

安易にリンクをクリックしない・添付ファイルを開かない

大半のランサムウェアは、スパムメールに添付された不正ファイルの開封により引き起こされます。また、電子メールの件名や本文は、業務目的での開封を誘導するものも多く、たとえ取引先からのメールでも、不自然に添付されたリンクやファイルには注意が必要です。

ランサムウェアによる被害を調査する方法

専門業者に依頼する

ランサムウェア感染時、早急に業務を再開するため、「身代金を支払う」「初期化を行う」「バックアップからシステムを復旧する」などで対処するケースが多くあります。

しかし、これら方法には落とし穴があります。確かに見かけ上は、データが無事元通りになっています。ところが、データは暗号化された時点で、すでに攻撃者に抜き取られている可能性が非常に高く、しばらく経って盗まれた情報が勝手に公開される恐れがあります

企業はランサムウェアに感染した時点で、個人情報保護法にのっとり、当局や取引先へ漏えいの事実を通知・報告する義務があります。しかし、自社調査だけでは正確な実態把握ができない危険性があります。特に、初期化やウイルス駆除などを行ってしまうと、感染経路などの調査が困難となってしまい、さらなる信頼の失墜につながる恐れがあります。

デジタルデータフォレンジックでは「フォレンジック」という特殊技術を活用し、ランサムウェアを用いたサイバー攻撃の経路や、情報流出の有無などを調査し、被害範囲の全体像を把握して、今後ランサムウェアに感染しないように、適切な対処を行うことが可能です。

フォレンジック調査の流れ

被害が拡大する前に対処することが重要ですので、フォレンジック調査を行うかまだ決定していない段階であっても、一度専門会社へ相談するのをおすすめします。

当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。まずは気軽にご相談ください。

当社では感染経路調査に加え、ランサムウェアの復号についても対応しています。ランサムウェアの復旧日数や作業の流れなどご不明点やお困りの際はお気軽にご相談ください。

\24時間365日 相談受付/

ランサムウェアに感染した場合はDDFへ

デジタルデータフォレンジックでは、国内売上トップクラスのデータ復旧技術を活用し、パソコンやスマートフォンに残されたログの調査やマルウェアの感染経路調査を行っています。また、ご相談件数は警察機関や法律事務所、官公庁、上場企業から個人のお客様まで1万4,000件以上を数えます。

お困りの際はデジタルデータフォレンジックまでご相談ください。なお、証拠利用の場合、法廷資料としても活用できる報告書の作成も承っております。

共通CTA