お問い合わせ
企業のサーバーを狙うランサムウェアは、一度感染すると甚大な被害をもたらします。もし感染してしまった場合、悪用されないためにどのように対応すべきでしょうか?
実は、こうしたランサムウェアの感染が発生した場合、感染原因や経路を迅速に特定し、被害の範囲を評価することが重要です。これにより、感染の拡大を防ぎ、データを復旧することで、被害を最小限に抑えることが可能です。
ここでは、サーバーを狙うランサムウェアの感染経路をはじめ、インシデントが発生した時の調査方法、悪用されないための対策について解説します。
目次
ランサムウェアとは
ランサムウェアは、コンピューターウイルスの一種で、データを暗号化し、金銭を要求するサイバー攻撃です。最近では、企業や政府機関を狙っていることが多く、被害額も大きくなっています。
なお、ランサムウェアに感染した端末がネットワークに接続されている場合、他の端末にも感染が広がる可能性があります。ランサムウェアに感染した場合は、早期に対処することが重要です。
ランサムウェアは情報セキュリティ10大脅威で1位
IPAが公表している「情報セキュリティ10大脅威 2023」によると、2022年に発生した情報セキュリティ事案においてランサムウェアが最も多く報告されました。
特に、VPNやリモートデスクトップ(RDP)の脆弱性を悪用したランサムウェアによる攻撃が相次いでおり、ランサムウェアの攻撃手口の過半数を占めています。
ランサムウェアの感染が発生した場合、企業は、速やかに専門家に相談することが重要です。専門家は、感染原因や経路の特定、データ復旧、再発防止策の決定など、適切な対応を行うことができます。
出典:IPA
\相談件数32,377件以上 24時間365日受付/
ランサムウェアの感染経路
ランサムウェアの感染経路としては主に次の経路が挙げられます。
- VPN機器
- リモートデスクトップ
- メール+添付ファイル
- Webサイトの閲覧・ダウンロード
- 外部記録媒体(USB・HDD)
ランサムウェアの感染経路については下記の記事でも詳しく解説しています。
VPN機器/リモートデスクトップ
VPNは仮想暗号化ネットワークを作成する技術で、RDPはWindows端末のリモートツールです。両者はリモートアクセス時、しばしば併用されています。
しかし、パスワードなど認証情報が盗まれると、ランサムウェアに感染する可能性が高くなります。またログイン画面へのアクセス権を攻撃者に搾取されると、辞書攻撃やブルートフォース攻撃などが行われ、不正侵入されてしまいます。。
感染した場合、被害の有無にかかわらず、顧客情報や従業員情報などの機密情報漏えいリスクが存在するため、早急な調査と対策が必要です。
\サイバーセキュリティ専門家へ24時間365日で無料相談/
攻撃の保護には、VPN/RDPの適切な使い方を把握する必要がある
なお、こうした攻撃から保護するためには、VPN/RDPの適切な使い方と設定方法を把握し、強固なパスワードの設定や二段階認証の導入、ログ監視の実施、バックアップの実施などが必要です。また、不審な挙動を検知するEDR(Endpoint Detection and Response)などのセキュリティソリューションの導入も欠かせません。
メール+添付ファイル
ランサムウェアは、添付ファイルを伴うフィッシングメールを通じて、広く感染します。攻撃者は、社員などの信頼関係を悪用し、偽の請求書や納品書などを添付ファイルとして送信します。添付ファイルを開くことで、ランサムウェアがコンピュータに侵入します。
Webサイトの閲覧・ダウンロード
悪意あるウェブサイトにアクセスすると、ランサムウェアを含む悪意のある広告やスクリプトによって、コンピュータに感染することがあります。また、不正なダウンロードサイトからソフトウェアをダウンロードすることで、ランサムウェアが侵入する場合もあります。
外部記録媒体(USB・HDD)
USBメモリや外部HDDなどの外部記録媒体は、感染源として忘れがちですが、ランサムウェアに感染している場合、外部記録媒体にも感染が広がることがあります。
サーバーへのランサムウェア感染の危険性とは?
ランサムウェアは、サーバーに感染すると、企業に深刻な被害をもたらす可能性があります。ここでは具体的な事例を見ていきましょう。
- 企業の運営が大幅に停滞し、多方面に支障が出る
- 身代金の額が高くなりやすい
- データ漏えいリスクが高まる
企業の運営が大幅に停滞し、多方面に支障が出る
ランサムウェアに感染したサーバーが停止すると、企業の運営が停滞し、取引先や顧客にサービス提供に支障が出る可能性があります。これにより、企業の信頼性や利益に大きな影響を与えることがあります。
身代金の額が高くなりやすい
感染したサーバー内のデータが暗号化されると、企業は自社の重要なデータを取り戻すために、ランサムウェアの攻撃者から復号キーを購入するように脅迫されます。
なお、暗号化されたデータ量が大きいほど攻撃者が要求する額は大きくなる傾向があるため、企業にとって大きな損失となることがあります。
データ漏えいリスクが高まる
攻撃者がランサムウェアを使うと、サーバー内のデータ暗号化だけでなく、そのデータを攻撃者が抜き取ることも可能です。サーバーのデータは膨大であり、顧客情報など、重要な情報が漏えいする可能性があります。
個人情報保護法の観点からも、データ漏えいが疑われる場合、企業は適切な被害調査、および対策を迅速かつ的確に実施することが重要すとなってきます。
\24時間365日受付 初動対応のご相談・お見積もり無料/
以上のように、サーバーへのランサムウェア感染は、企業にとって非常に深刻な被害をもたらす可能性があります。このため、企業は適切なセキュリティ対策を実施し、感染を未然に防ぐことが重要です。また、万一感染した場合には、迅速かつ的確な対応が求められます。
ランサムウェア感染時の対応
ランサムウェア感染時の対応は次のとおりです。
- まずはネットワークから感染したサーバーを切り離す
- バックアップから感染前のデータを復旧する
- 復号ツールを探す
- インシデント調査に対応した専門業者を利用する
- セキュリティ対策をおこなう
ランサムウェアに感染した場合の初動対応については下記の記事でも詳しく解説しています。
①まずはネットワークから感染したサーバーを切り離す
まずは、ネットワークから感染したサーバーを切り離す必要があります。これにより、これ以上感染が広がることを防ぐことができます。
ただし、切り離す前に、感染しているサーバーの状態を確認し、そのサーバーが他のサーバーに影響を与えているかどうかを確認することが重要です。
②バックアップから感染前のデータを復旧する
さらに、感染したサーバーのバックアップを確認し、最新のバックアップからデータを復元することができます。これにより、被害を回復することができます。
ただし、ランサムウェア感染時には、復旧するだけではなく、攻撃経路の特定や再発防止策の検討のため、フォレンジック調査が必要となります。
フォレンジック調査の概要や必要性・メリット・活用事例はこちら
フォレンジック調査は、デジタルデータから犯罪行為を解明する技術です。ランサムウェア被害では、不正プログラムの特定、感染原因の解析、被害の範囲の把握、セキュリティ対策の改善点を洗い出すことができます。調査によって感染原因や被害の範囲を特定し、同じ攻撃が再発しないように再発防止策を検討することができます。
ランサムウェアの攻撃に遭った場合、フォレンジック調査を検討しておきましょう。
◎フォレンジック調査を考えている方へ (お見積りまで完全無料)
フォレンジック調査は、DDF(デジタルデータフォレンジック)までご相談ください。
累計32,377件のご相談実績(※1)があり、他社にはないデータ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術を駆使してお客様の問題解決をサポートします。
✔不正アクセスの形跡があると報告された
✔退職者がデータを持ち出しているかもしれない
✔社員がデータを改ざんして金銭を横領しているかもしれない
上記のようなご相談から調査項目/作業内容のご提案、お見積りまでは完全無料。安心してご相談ください。
\24時間365日 相談受付/
※1 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
※2 累計ご相談件数32,377件を突破(期間:2016年9月1日~)
③復号ツールを探す
一部のランサムウェアは、オンラインで利用可能な復号ツールが存在する場合がありますが、これらのツールが無効になることもあります。最新の情報を確認しておきましょう。
ランサムウェアの復号ツールの探し方、復号ツールを使って復旧する方法、注意点はこちら
④感染調査に対応した専門業者を利用する
ランサムウェアによる被害は機密情報の漏えいだけでなく、個人情報の流出にもつながる危険があるため、個人情報保護の観点から早期に被害を把握し、正確に特定することが重要です。
なお、セキュリティツールはマルウェアを削除できますが、感染経路や情報漏えいの範囲などは調査できません。そのうえ、自社調査だけでは客観性や正確性が担保できないことがあります。この点、フォレンジック調査の専門業者と提携することで、感染経路や情報漏えいの有無などを適切に調査することが可能です。
感染調査に対応した専門業者を利用することのメリットは次のとおりです。
①専門エンジニアの詳細な調査結果が得られる
デジタル端末を調査・解析するフォレンジック調査の専門会社には、正確にハッキング被害の実態を確認するために必要な高度な技術を持つ専門エンジニアがいます。
自社調査だけでは不適切な場合がありますが、フォレンジックの専門業者と提携することで、調査結果をまとめた報告書が作成でき、公的機関や法廷に提出することができます。
②セキュリティの脆弱性を発見し、再発を防止できる
フォレンジック調査では、マルウェアによる被害の程度や感染経路を特定することで、今後のリスクマネジメントに貢献することが出来ます。弊社では、解析調査と報告書作成の他に、お客様のセキュリティを強化するためのサポートも提供しています。
\捜査機関からの感謝状実績多数 24時間365日受付/
⑤セキュリティ対策をおこなう
セキュリティ対策では、不正アクセスを検知するファイアウォールなど「入口対策」はもちろん、不審なメールの添付ファイルを開かないことも必要です。
さらに、バックアップを定期的におこない、重要なデータを保護することが大切です。
2022年4月から改正個人情報保護法が施行
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えいが発生している可能性がある場合、報告と通知が法人に義務付けられました。
違反した企業には最大1億円以下の罰金が科せられる可能性がありますので、ランサムウェアに感染した場合、情報漏えいの有無や規模、サイバー攻撃の感染経路や影響範囲を調査し、関係者に報告する必要があります。
しかし、これは自社で対応することが困難であるため、デジタル端末を分析・調査する「フォレンジック」の重要度が、年々増加しています。
フォレンジックでは、脆弱性、攻撃手法、有効な対策など、様々な情報が得られます。これにより、同様の被害を未然に防ぐことができます。また調査結果をもとにセキュリティ対策を適切に見直し、強化することも可能です。
フォレンジック調査の概要や必要性・メリット・活用事例はこちら
\サイバーセキュリティ専門家へ24時間365日で無料相談/
ランサムウェアによる被害の調査を行う場合、専門業者に相談する
ハッキング、不正アクセス、乗っ取り、情報漏えいのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当者が対応させていただきます。
\法人様は現地駆けつけ対応も可能/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
多くのお客様にご利用いただいております
ランサムウェア調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様 最短30分でお打合せ可能です/
調査の料金・目安について
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
ランサムウェアの感染対策
ランサムウェアの感染対策として次のものが挙げられます。
- 多要素認証の導入
- EDR等の導入による不審な挙動の早期発見
- VPN機器の脆弱性対策の実施
- データのバックアップ
多要素認証の導入
多要素認証の導入による認証強化により、ユーザーが利用するデバイスやデータを認証してアクセス権を設定することで、ランサムウェアを防ぐことができます
EDR等の導入による不審な挙動の早期発見
次に、EDR等の導入により、ネットワーク内の不審な挙動を早期に発見することが重要です。ランサムウェアを含め、マルウェア等に感染した端末では、外部のサーバーとの間で不審な通信が発生する場合がありますが、これをEDRで早期に発見することで、感染拡大や外部からの侵入の範囲拡大を防ぐことができます。
VPN機器の脆弱性対策の実施
また、VPN機器の脆弱性対策の実施も重要です。VPNを利用する場合には、セキュリティパッチの適用やアクセス制限の設定などを行うことで、攻撃者によるVPNの脆弱性をついた攻撃を防ぐことができます。
データのバックアップ
最後に、データのバックアップも欠かせません。ランサムウェアに感染すると、企業内のネットワークに接続された端末内のデータが暗号化されて使えなくなることがあります。このため、定期的にバックアップを行うことで、ランサムウェアの被害を最小限に抑えることができます。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
