お問い合わせ
ランサムウェアに感染するとファイルが暗号化され、復号(解除)するために身代金を要求されます。対応が遅れると、感染が拡大し、データの消失や業務の停止など会社に大きな被害を与える可能性があるため、インシデント発生時は、迅速な初動対応が求められます。
そこでこの記事では、ランサムウェアの駆除方法、日ごろからできる対策方法を紹介しています。ぜひ参考にしてください。
\サイバーセキュリティの専門家に無料相談できる/
目次
ランサムウェア駆除のに必要な6ステップ
ランサムウェアを駆除するためには、以下の基本的な6つのステップを実行します。
- ステップ1:感染した端末の隔離とネットワークの切断
- ステップ2:マルウェア(ランサムウェア)を特定
- ステップ3:データ復号を試みる
- ステップ4:セキュリティソフトでランサムウェアを駆除する
- ステップ5:初期化後にバックアップから復旧する
- ステップ6:サイバーセキュリティの専門家に対応を依頼する
ランサムウェア感染時、単にバックアップから復旧するだけでは不十分であり、一般的に、適切な調査や駆除を行うことがマストとされています。
ただし、感染経路や情報漏えいの調査を行う前に、ランサムウェアの駆除を行うと、ログが消失し、調査が困難になるおそれがあります。その上、ランサムウェアに感染すると、個人情報が窃取されるおそれがあり、特に法人・組織はランサムウェアに感染時、駆除を行う前に、個人情報保護法に基づいた対応を行う義務があります。
また詳細な調査を行う場合、ネットワーク機器の知識や専門技術が必要になるため、ランサムウェアの感染経路や情報漏えいの有無など、詳細な調査を行う場合、事前にフォレンジック専門家に依頼することをおすすめします。
ステップ1: 感染した端末の隔離とネットワークの切断
ランサムウェアの感染は緊急性が高く、感染した端末をネットワークに接続したままにしておくと、他の端末にも感染が広がる可能性があります。
特に感染した端末でリアルタイムで暗号化が進んでいる場合は、速やかにシャットダウンし、感染した端末を他の端末から隔離しましょう。
ネットワークを切断するには、以下の方法があります。
- 感染した端末のルーターの電源を切る
- 感染した端末のネットワークケーブルを抜く
ネットワーク切断後、隔離した端末に対して不用意な操作を行うと、証拠の消失や感染の拡大につながるおそれがあるため、攻撃に使用された侵入経路や、情報漏えいの有無などといった確認を迅速に行う場合、まずは専門業者まで対応を依頼することをおすすめします。
私たちデジタルデータフォレンジックは官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があります。お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたしますので、まずはお気軽にご相談ください。
ステップ2:マルウェア(ランサムウェア)を特定
ランサムウェアを特定するには、以下の方法があります。(ランサムウェアの種類によって、駆除方法が異なるため、正確な特定が重要です)
- セキュリティソフトを使用して、ランサムウェアを検出する
- 暗号化された際に付与された拡張子などランサムウェアの特徴を調査する
セキュリティソフトを使用する場合、スキャン結果で特定のコードが検出された場合は、それをオンラインで検索した上でランサムウェアを特定し、対応策を実行します。
ステップ3:データ復号を試みる
データの復号には、公式の復号ツールを入手することが重要です。この際、官民連携の「No More Ransom」というプロジェクトが有効です。No More Ransomでは、セキュリティ企業や法執行機関が協力して開発した復号ツールを提供しており、感染したランサムウェアの詳細を入力すると、対応する復号ツールを入手できます。
復号ツール使用時の注意点
データ復号ツールの中には、実際にはデータの復号ができないものや、復号できたとしても、復号されたデータが正常に動作しないものもあります。
また、データ復号ツールを利用する際に、個人情報を入力させ、その情報を悪用される可能性もあるため、注意しておきましょう。
ステップ4:セキュリティソフトでランサムウェアを駆除する
従来のセキュリティソフトは、パターンを参照してマルウェアを探知する方式を採用しており、既知のランサムウェアに対しては高い検出率を誇りますが、未知のランサムウェアに対しては検出できない場合があります。これは、ランサムウェアのコードやファイルパターンが頻繁に更新されるためです。
一方、ランサムウェアの特徴的な動作を検出するセキュリティソフトでは、「ファイルを暗号化する動作」を検出する機能や、「身代金の要求を行う動作」を検出する機能などが搭載されており、未知のランサムウェアでも検出できる可能性があります(これは、ランサムウェアの特徴的な動作は、コードやファイルパターンよりも頻繁に更新されないためです)。
しかし、駆除を行うと、感染経路やデータ漏えい有無を特定するための手がかりが消去される可能性があり、ランサムウェアがどのようにして感染し、どのような情報を窃取したかなどの調査が困難になる可能性があります。したがって、ラ
ステップ5:初期化後にバックアップから復旧する
ランサムウェアによって暗号化されたデータやシステムを復旧するために、初期化→バックアップからの復旧で、暗号化された状態を解除することができます。初期化すると端末の設定やデータがすべて消えてしまうため、事前にバックアップを取得しておきましょう。
端末を初期化(クリーンインストール)する手順は次のとおりです。
- スタートメニューをクリックして、[設定]アイコンを選択します。
- [設定]ウィンドウで、[更新とセキュリティ]をクリックします。
- 左側のパネルで、[回復]オプションを選択します。
- [このPCをリセット]セクションに移動します。
- 「ファイルを保持してリセットしますか?」と表示されます。このオプションを選択すると、Windowsが再インストールされます。
- 代わりに、[すべて削除]をクリックすると、すべてのファイルとアプリが削除され、Windowsが再インストールされます。このオプションを選択すると、デバイスが工場出荷時の設定に戻ります。
この際、Windowsの「システムの復元」「PCを初期状態に戻す」「OS再インストール」だけでは、ランサムウェアは消えません。感染端末で[すべて削除]を選択し、工場出荷状態にまで初期化(クリーンインストール)することで、暗号化を解除することができます。
バックアップがある場合
バックアップがある場合、感染前の正常な状態にシステムを復元することができます。たとえばMacだと「Time Machine」、Windowsだと「システムの復元」などの機能から、過去の正常なデータを取り戻せることができます。ただし、バックアップがない場合、ネットワーク自体を暗号化されてしまっている場合は、バックアップによる復号は難しいです。
そもそもランサムウェアに感染している時点で、データ漏えいを起こしている可能性が高く、ネットワーク上に脆弱性がある恐れもあることから、調査を並行して行うことをおすすめします。
ステップ6:サイバーセキュリティの専門家に対応を依頼する
ランサムウェアの駆除後、システムのセキュリティを強化するための対策を実施します。これには、最新のセキュリティパッチの適用、強力なパスワードの使用、ファイアウォールやアンチウイルスソフトのインストール、定期的なバックアップの実施などが含まれます。これらの対策により、将来のランサムウェア攻撃からシステムを保護することができます。
ランサムウェア調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様 最短30分でお打合せ可能です/
▶ランサムウェア ご相
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
