ランサムウェアに感染するとファイルが暗号化され、復号(解除)するために身代金を要求されます。対応が遅れると、感染が拡大し、データの消失や業務の停止など会社に大きな被害を与える可能性があるため、インシデント発生時は、迅速な初動対応が求められます。
そこでこの記事では、ランサムウェアの駆除方法、日ごろからできる対策方法を紹介しています。ぜひ参考にしてください。
\サイバーセキュリティの専門家に無料相談できる/
目次
ランサムウェアとは
ランサムウェアとは、身代金を意味する「Ransom(ランサム)」と「Software(ソフトウェア)」を組み合わせた造語で、感染させた端末をロックしたり、ファイルを暗号化したりした上で、データの復号(解除)と引き換えに身代金を要求するマルウェアを指します。
ランサムウェアに感染すると、どうなるのか?
ランサムウェアに感染すると、業務停止や金銭的被害、情報漏えいなど、多方面に深刻な被害をもたらす可能性があります。想定される被害としては次のようなものがあります。
- 身代金の支払いを要求するメッセージが表示される
- 感染したコンピューターのデータが暗号化される
- ウイルス対策ソフトが無効化されることがある
- トロイの木馬などマルウェアがインストールされる可能性がある
- 攻撃者によりデータが盗まれ、公開される恐れがある
身代金の支払いを要求するメッセージが表示される
ランサムウェア攻撃では、感染したコンピューターの画面に身代金を支払うように求めるメッセージが表示されます。
これはランサムノートと呼ばれ、LockBitの場合、以下のような脅迫が書かれています。
- すべてのファイルが暗号化されたが、復号鍵を購入すれば、復元が可能
- ソフトウェアでファイルを復元しようとすると、ファイルが破損する可能性がある
- 待機時間が長くなると、支払うべき身代金が高くなる
攻撃者は通常、データを復元(復号)する鍵と引き換えに、仮想通貨で身代金を要求します。
ランサムノートには時間制限が設定され、支払わないとデータが永遠に失われるかもしれないと脅されます。しかし、支払ってもデータが戻ってくる保証はなく、身代金を支払うことはおすすめできません。
画面に記載されたURLにアクセスすると、ユーザーは不正なサイトに誘導され、身代金を支払うよう要求されますが、支払いを行ってしまうと、再度、ランサムウェア攻撃の標的にされる恐れもあるため、要求には従わないようにしましょう。
感染したコンピューターのデータが暗号化される
ランサムウェアは、感染したコンピューター内のデータを強力な暗号化でロックします。これにより、ファイルにアクセスできなくなり、アクセスすることができなくなります。
特に、企業や組織などでネットワークを共有している場合、ネットワークを経由して、複数の端末が同時に感染することで、すべてのデータが暗号化される可能性もあります。
攻撃の拡大を防ぎ、被害を最小限に抑えるためにも、ランサムウェア感染時、企業や組織は、感染源を特定し、スムーズに対応できる体制を整えておくことが重要です。
ウイルス対策ソフトが無効化されることがある
一部のランサムウェアは、セキュリティ対策を無効化することで、ウイルス対策ソフトやファイアウォールによる検知や防御を回避し、感染を拡大させる場合があります。
ランサムウェアの感染が疑われる場合は、すぐに感染した端末をネットワークから切断し、システム管理者に報告するようにしましょう。
トロイの木馬などマルウェアがインストールされる可能性がある
ランサムウェアに感染すると、トロイの木馬などのマルウェアがインストールされたり、バックドアが設置されたりして、新しいセキュリティ上の脆弱性が生じる可能性があります。
マルウェアの中には、情報収集や遠隔操作に特化したものもあり、ランサムウェアに感染した端末は、セキュリティ上の脅威にさらされ続ける恐れがあります。
こうしたセキュリティリスクに対処するためには、初期化だけでなく、システム内の脆弱性を詳細に調査し、ランサムウェア感染の根本原因を特定し、再発を防ぐ対策を強化する必要があります。
攻撃者によりデータが盗まれ、公開される恐れがある
ランサムウェアに感染した時点で、不正侵入した攻撃者がシステム内部でデータを不正に入手している可能性が高く、盗まれたデータはダークウェブ上のリークサイトに公開される恐れがあります。
盗まれやすいデータとしては、以下のようなものが挙げられます。
- 企業の財務情報:売上データ、顧客情報、取引先情報、銀行口座情報など
- 個人情報:顧客情報、従業員情報、取引先情報など
- 企業のセキュリティ情報:パスワード、アクセス権限情報、脆弱性情報など
これらのデータが漏えいした場合、以下のような被害が発生する可能性があります。
- 顧客や取引先からの信頼の失墜
- サイバー攻撃の標的化
- 法令違反による行政処分や刑事罰(個人情報保護委員会への報告を怠った場合)
もしランサムウェアに感染した疑いがあるときは、攻撃に使用された侵入経路、情報漏えい有無の確認できる、サイバーセキュリティの専門会社まで対応を依頼しましょう。
私たちデジタルデータフォレンジックは官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があります。お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたしますので、まずはお気軽にご相談ください。24時間365日体制で相談や見積もりを無料で受け付けております。
\サイバーセキュリィ専門家へ24時間365日で無料相談/
ランサムウェア感染時に有効なフォレンジック調査とは
ランサムウェアに感染し、適切な対処ができる企業はほとんどありません。むしろ自社だけで対応を判断するのが一番のリスクです。ランサムウェアに感染した場合、情報漏えいや更なるサイバー攻撃被害が疑われるため、まずはサイバーセキュリティの専門家と提携して感染原因の究明や被害範囲の特定を行うことが重要です。
この際、有効なのが「フォレンジック調査」です。
フォレンジック調査とは、コンピュータやネットワークに保存されたデータやログを分析し、インシデントの原因や経緯、影響範囲を解明する調査手法です。ランサムウェアの感染調査では駆除・隔離に加えて、侵入経路や情報漏えいの有無を確認することができます。
私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があり、攻撃に使用された侵入経路や漏えいデータを迅速に特定します。ご相談や詳細な情報については、いつでもお気軽にお問い合わせください。
\フォレンジック調査の専門家に無料相談できる/
フォレンジック調査の詳細については下記の記事で詳しく解説しています。
法人様は最短30分でWeb打ち合せ(無料)を設定
企業の情報漏えいインシデント対応が義務化されています
2022年4月から改正個人情報保護法が施行されました
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
もし、マルウェア・ランサムウェア感染、不正アクセス、社内不正、情報持ち出しのような情報セキュリティ上の問題が発生した場合、まずは感染経路や漏えいしたデータの有無などを確認することが重要です。
ただ、調査を行うには、デジタルデータの収集・解析などの専門技術が必要です。これは自社のみで対応するのが困難なため、個人情報の漏えいが発生した、もしくは疑われる場合は、速やかにフォレンジック専門家に相談し、調査を実施することをおすすめします。
\相談から最短30分でWeb打ち合わせを開催/
ランサムウェア駆除の基本的な6ステップ
ランサムウェアを駆除するためには、以下の基本的な6つのステップを実行します。
- ステップ1: 感染した端末の隔離とネットワークの切断
- ステップ2:マルウェア(ランサムウェア)を特定
- ステップ3:データ復号を試みる
- ステップ4:セキュリティソフトでランサムウェアを駆除する
- ステップ5:初期化後にバックアップから復旧する
- ステップ6: サイバーセキュリティの専門家に対応を依頼する
ランサムウェア感染時、単にバックアップから復旧するだけでは不十分であり、一般的に、適切な調査や駆除を行うことがマストとされています。
ただし、感染経路や情報漏えいの調査を行う前に、ランサムウェアの駆除を行うと、ログが消失し、調査が困難になるおそれがあります。その上、ランサムウェアに感染すると、個人情報が窃取されるおそれがあり、特に法人・組織はランサムウェアに感染時、駆除を行う前に、個人情報保護法に基づいた対応を行う義務があります。
また詳細な調査を行う場合、ネットワーク機器の知識や専門技術が必要になるため、ランサムウェアの感染経路や情報漏えいの有無など、詳細な調査を行う場合、事前にフォレンジック専門家に依頼することをおすすめします。
ステップ1: 感染した端末の隔離とネットワークの切断
ランサムウェアの感染は緊急性が高く、感染した端末をネットワークに接続したままにしておくと、他の端末にも感染が広がる可能性があります。
特に感染した端末でリアルタイムで暗号化が進んでいる場合は、速やかにシャットダウンし、感染した端末を他の端末から隔離しましょう。
ネットワークを切断するには、以下の方法があります。
- 感染した端末のルーターの電源を切る
- 感染した端末のネットワークケーブルを抜く
ネットワーク切断後、隔離した端末に対して不用意な操作を行うと、証拠の消失や感染の拡大につながるおそれがあるため、攻撃に使用された侵入経路や、情報漏えいの有無などといった確認を迅速に行う場合、まずは専門業者まで対応を依頼することをおすすめします。
私たちデジタルデータフォレンジックは官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があります。お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたしますので、まずはお気軽にご相談ください。
\法人様 最短30分でお打合せ可能です/
ステップ2:マルウェア(ランサムウェア)を特定
ランサムウェアを特定するには、以下の方法があります。(ランサムウェアの種類によって、駆除方法が異なるため、正確な特定が重要です)
- セキュリティソフトを使用して、ランサムウェアを検出する
- 暗号化された際に付与された拡張子などランサムウェアの特徴を調査する
セキュリティソフトを使用する場合、スキャン結果で特定のコードが検出された場合は、それをオンラインで検索した上でランサムウェアを特定し、対応策を実行します。
ステップ3:データ復号を試みる
データの復号には、公式の復号ツールを入手することが重要です。この際、官民連携の「No More Ransom」というプロジェクトが有効です。No More Ransomでは、セキュリティ企業や法執行機関が協力して開発した復号ツールを提供しており、感染したランサムウェアの詳細を入力すると、対応する復号ツールを入手できます。
復号ツール使用時の注意点
データ復号ツールの中には、実際にはデータの復号ができないものや、復号できたとしても、復号されたデータが正常に動作しないものもあります。
また、データ復号ツールを利用する際に、個人情報を入力させ、その情報を悪用される可能性もあるため、注意しておきましょう。
ステップ4:セキュリティソフトでランサムウェアを駆除する
従来のセキュリティソフトは、パターンを参照してマルウェアを探知する方式を採用しており、既知のランサムウェアに対しては高い検出率を誇りますが、未知のランサムウェアに対しては検出できない場合があります。これは、ランサムウェアのコードやファイルパターンが頻繁に更新されるためです。
一方、ランサムウェアの特徴的な動作を検出するセキュリティソフトでは、「ファイルを暗号化する動作」を検出する機能や、「身代金の要求を行う動作」を検出する機能などが搭載されており、未知のランサムウェアでも検出できる可能性があります(これは、ランサムウェアの特徴的な動作は、コードやファイルパターンよりも頻繁に更新されないためです)。
しかし、駆除を行うと、感染経路やデータ漏えい有無を特定するための手がかりが消去される可能性があり、ランサムウェアがどのようにして感染し、どのような情報を窃取したかなどの調査が困難になる可能性があります。したがって、ランサムウェアによる被害調査を行う場合は、駆除を行う前に、ログ解析などの調査を行うことが重要となります。
ステップ5:初期化後にバックアップから復旧する
ランサムウェアによって暗号化されたデータやシステムを復旧するために、初期化→バックアップからの復旧で、暗号化された状態を解除することができます。初期化すると端末の設定やデータがすべて消えてしまうため、事前にバックアップを取得しておきましょう。
端末を初期化(クリーンインストール)する手順は次のとおりです。
- スタートメニューをクリックして、[設定]アイコンを選択します。
- [設定]ウィンドウで、[更新とセキュリティ]をクリックします。
- 左側のパネルで、[回復]オプションを選択します。
- [このPCをリセット]セクションに移動します。
- 「ファイルを保持してリセットしますか?」と表示されます。このオプションを選択すると、Windowsが再インストールされます。
- 代わりに、[すべて削除]をクリックすると、すべてのファイルとアプリが削除され、Windowsが再インストールされます。このオプションを選択すると、デバイスが工場出荷時の設定に戻ります。
この際、Windowsの「システムの復元」「PCを初期状態に戻す」「OS再インストール」だけでは、ランサムウェアは消えません。感染端末で[すべて削除]を選択し、工場出荷状態にまで初期化(クリーンインストール)することで、暗号化を解除することができます。
バックアップがある場合
バックアップがある場合、感染前の正常な状態にシステムを復元することができます。たとえばMacだと「Time Machine」、Windowsだと「システムの復元」などの機能から、過去の正常なデータを取り戻せることができます。ただし、バックアップがない場合、ネットワーク自体を暗号化されてしまっている場合は、バックアップによる復号は難しいです。
そもそもランサムウェアに感染している時点で、データ漏えいを起こしている可能性が高く、ネットワーク上に脆弱性がある恐れもあることから、調査を並行して行うことをおすすめします。
ステップ6: セキュリティ強化策を実施する
ランサムウェアの駆除後、システムのセキュリティを強化するための対策を実施します。これには、最新のセキュリティパッチの適用、強力なパスワードの使用、ファイアウォールやアンチウイルスソフトのインストール、定期的なバックアップの実施などが含まれます。これらの対策により、将来のランサムウェア攻撃からシステムを保護することができます。
ランサムウェアの代表的な感染経路
ランサムウェアの駆除方法を知る前に、代表的な感染経路について理解することは非常に重要です。なぜなら感染経路を理解することで、ランサムウェアの感染が起こった場合に早期に原因を把握し、迅速に対応することができるからです。
ランサムウェアの感染を防ぐためには、感染ルートを理解し、適切な対策を取ることが重要です。主要なランサムウェアの感染経路は下記のとおりです。
- VPN機器からの侵入
- RDP(リモートデスクトップ)からの侵入
- フィッシングメールや添付ファイル
ランサムウェア感染の被害を最小限に抑えるためには、被害に遭った時点ですぐにランサムウェアの侵入経路や被害の範囲を把握し、情報漏えいの有無を特定できる「フォレンジック調査」の専門家に対応を依頼することが重要です。
被害に遭った場合、速やかにフォレンジック調査を実施し、被害を最小限に抑えましょう。またランサムウェアは、アンチウイルスソフトを無効化して暗号化を行うため、EDR等で対策が必要です。
ランサムウェアの感染経路、症状・被害事例の詳細については下記の記事でも詳しく解説しています。
VPNの脆弱性
警察庁の調査によると、ランサムウェア感染において、VPN機器からの侵入は全体の71%を占めています。
企業は感染を防止するためにも、テレワークでVPNを使用する際には、適切なバージョンアップを行うことが重要です。またVPN以外のセキュリティ対策としてファイアウォールやアンチウイルスソフトウェアを導入し、強力なパスワードの使用や、適切なアカウント管理をおこなう必要があります。
出典:警察庁
RDP(リモートデスクトップ)の脆弱性
警察庁の調査によると、RDP(リモートデスクトップ)は、ランサムウェアの侵入経路として10%を確保しています。
RDPもVPNも、組織におけるシステム上重要な役割を担っていますが、重大な脆弱性も報告されており、ここから攻撃者はIDやパスワード情報を割り出し、不正ログイン、感染拡大を図っています。
被害を未然に防ぐためにも、パスワード更新、定期的なセキュリティチェックなどが必要です。またVPNも同様に、機密情報の暗号化や不正アクセスの監視などが必要です。
出典:警察庁
フィッシングメールや添付ファイル
フィッシングメールの添付ファイルは、ランサムウェアの感染経路として一般的です。たとえば攻撃者は、実在する企業や個人になりすまして、請求書や領収書、納品書などの偽装ファイルをメールに添付して送信します。
この際、Emotet(エモテット)などの危険なマルウェアが、その手口に利用されることが多く、添付ファイルを開くと、ランサムウェアが実行されて感染する恐れがあります。
ランサムウェア感染時、感染経路調査を行うメリット
ランサムウェアに感染した場合、感染経路を調査することで、攻撃者の侵入方法を特定し、将来の攻撃から身を守るために対策を講じることができます。
ランサムウェア感染の調査を行う方法として「フォレンジック調査」を挙げることができます。フォレンジック調査とは、電子機器から証拠を収集・分析して、インシデントの詳細を解明する手法で、たとえば攻撃者がどのようにランサムウェアを侵入させたか、どのような手法や脆弱性が悪用されたかなど、感染経路や情報漏えいの特定に役立ちます。
ランサムウェア感染時の対処におけるフォレンジック調査のメリットは次のとおりです。
- 被害範囲を特定できる
- 感染経路や攻撃手法の解析・証拠が確保できる
- 専門エンジニアの詳細な調査結果が得られる
- セキュリティの脆弱性を発見し、再発を防止できる
①被害範囲を特定できる
フォレンジック調査は、感染したシステムやネットワーク内での攻撃の拡散範囲を特定するのに役立ちます。これにより、被害を受けたシステムやデータ、ネットワークの一部を迅速に特定し、対処を開始することができます。
②感染経路や攻撃手法の解析・証拠が確保できる
フォレンジック調査では、ランサムウェアの攻撃手法や感染経路を解析し、証拠を確保できます。また、証拠の確保は、法的な措置や法執行機関との連携に役立つだけでなく、被害の評価や保険請求のためにも重要な要素となります。
③専門エンジニアの詳細な調査結果が得られる
フォレンジック調査の専門会社には、正確にハッキング被害の実態を確認するために必要な高度な技術を持つ専門エンジニアがいます。
自社調査だけでは不適切な場合がありますが、フォレンジックの専門業者と提携することで、調査結果をまとめた報告書が作成でき、公的機関や法廷に提出することができます。
④セキュリティの脆弱性を発見し、再発を防止できる
フォレンジック調査では、マルウェアによる被害の程度や感染経路を特定することで、今後のリスクマネジメントに貢献することが出来ます。弊社では、解析調査と報告書作成の他に、お客様のセキュリティを強化するためのサポートも提供しています。
私たちデジタルデータフォレンジックは官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があります。お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたしますので、まずはお気軽にご相談ください。
\フォレンジック調査の専門家へ24時間365日無料相談/
ランサムウェアによる被害の調査を行う場合、専門業者に相談する
マルウェア・ランサムウェア感染、不正アクセスのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\法人様は現地駆けつけ対応も可能/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
多くのお客様にご利用いただいております
ランサムウェア調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様 最短30分でお打合せ可能です/
ランサムウェアの対策方法
ランサムウェアの対策方法は主に次のとおりです。
- 外部機器にファイルのバックアップをする
- パソコンのセキュリティレベルを上げる
外部機器にファイルのバックアップをする
定期的に外付けHDDやUSBなどの外部機器にファイルのバックアップしておきましょう。基本的にランサムウェアに感染してしまった場合、同端末のデータはほとんど盗まれていることが多く、端末内に重要な書類・ファイルがある場合使用が出来なくなってしまいます。
外部機器にファイルのバックアップを取っておく置くことで、本端末がランサムウェアに感染してしまったとしても、感染していない別端末で外部機器からデータを読み取ることが出来ます。
パソコンのセキュリティレベルを上げる
脆弱性対策
OSやソフトウェアなどは多くのユーザーが使うため、システムの脆弱性を狙われることが多く、ランサムウェア被害に合いやすいです。プログラムのアップデートやセキュリティソフトを導入することでセキュリティレベルを高めましょう。
パスワード対策
ハッカーたちは無数の文字列を組み合わせた「総当たり攻撃」を行いパスワードを破り、不正ログインをしてくるケースもあります。パスワードは一つ一つ独自のものを使用し感染してしまったとしても別の端末に拡大させないよう被害を最小限に抑えましょう。
アクセス権限の制限
アクセス権限を制限することも対策となります。情報を重要度ごとに分け、アクセス権限に制限をかけることにより感染拡大の抑止、被害の軽減に繋がります。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。