お問い合わせ
ランサムウェアに感染したら、データ漏えいによる信用失墜や業務停止による経済的損失など、多方面に深刻な被害をもたらす可能性があります。本記事では、感染から72時間以内にやるべき具体的な対応手順を、時間軸に沿って詳しく解説します。
私たちデジタルデータフォレンジックでは、初動対応から対策・再発防止策まで一気通貫で対応・サポートいたします。もしランサムウェアに感染した疑いがある場合はすぐにご相談ください。
\サイバーセキュリティ専門家へ24時間365日無料相談/
目次
ランサムウェア感染時にやってはいけないこと
感染直後に誤った行動をとると、データの復旧が不可能になったり、証拠が失われて原因追及ができなくなったりする恐れがあります。以下は絶対に避けるべき行動です。
端末の電源を落とす
電源を落とすと、RAM(メモリ)上に存在していた攻撃に使用されたプロセスや、C2サーバとの通信履歴などの一時的なデータなどが失われてしまい、感染経路や攻撃活動の全貌を解明することが困難になります。
証拠保全の観点から、ランサムウェアに感染した端末は電源を落とさず、スリープ状態も避け、現状維持のまま専門家による対応を待つことが重要です。
身代金を払う
身代金の支払いは、犯罪グループの資金源になるだけでなく、支払いを行ったとしても復号ツールが提供されない、あるいは復号ツールが破損してデータが復旧できないといったトラブルに発展することがあります。
また、身代金を支払った企業はランサムウェアの攻撃グループからマークされ、別の攻撃者から再び狙われる可能性もあります。さらに、攻撃者が外国の制裁対象組織(例:OFACリスト)だった場合、身代金の支払い自体が法的リスク(経済制裁違反)に繋がる可能性もあります。
ログを消す・操作履歴を消す
責任逃れを目的として操作履歴やシステムログを削除・改ざんする行為は、フォレンジック調査やインシデント分析を著しく妨害するだけでなく、証拠隠滅と見なされ法的な不利益(損害賠償・罰則)の原因になる可能性があります。感染が発覚した段階では、一切の証拠をそのまま保全し、ログの保存状態の維持を最優先にしましょう。
独自に復旧作業を進める
ランサムウェアの感染端末に対して、市販の復元ソフトや、無料のクリーナーツールを用いて独自に復旧を試みると、マルウェアの残骸を誤って実行してしまったり、感染ファイルを共有フォルダに再展開するなどの操作ミスにより、状況を悪化させるリスクがあります。
ネットワークに繋いだまま放置する
感染端末がネットワークに接続されたままだと、攻撃者は同一ネットワーク上の他端末や共有フォルダにアクセスし、横展開を行って複数端末を同時に暗号化する恐れがあります。
特にActive Directory環境下では、管理権限を奪われた場合、ドメイン全体に被害が広がる可能性もあります。感染を確認したら、即座にネットワークケーブルを抜いたり、Wi-Fiを遮断するなど物理的に隔離して、すぐに専門家に相談しましょう。
\サイバーセキュリティ専門家へ24時間365日無料相談/
対処法1:ランサムウェア感染の初動対応(最初の1時間)
感染を検知した直後、最も重要なのは「被害の拡大を防ぐ」ことです。適切な初動対応ができるか否かが、その後の対応難易度と復旧可能性を大きく左右します。
感染端末のネットワーク隔離
ランサムウェア感染の兆候(ファイル暗号化・警告メッセージなど)を確認したら、即座にその端末をLANケーブルやWi-Fiから物理的に切断してください。
これは同一ネットワーク上の他端末やファイルサーバなどに対し、ランサムウェアが横展開を行い、被害範囲を急速に拡大させるのを防ぐためです。
ネットワークの切断が必要な端末は以下の通りです。
- ノートパソコンの場合は、Wi-Fiを手動でオフにします。
- デスクトップPCの場合は、LANケーブルを抜きます。
- VPN接続中の場合は、切断ボタンをクリックして強制終了します。
- USB接続の外部ストレージやNASも速やかに取り外してください。
電源は切らずに維持
ランサムウェアの感染が疑われる端末の電源は切らず、スリープや再起動といった操作も行わないでください。特にノートパソコンの場合、蓋を閉じてスリープ状態にしないよう注意しましょう。
ランサムウェアに感染した時に、端末をシャットダウン・再起動すると、メモリ(RAM)上に保持されている揮発性データを消去するおそれがあります。
このデータには、攻撃プロセスの挙動、暗号化中のプロセス、C2(Command & Control)通信の痕跡など、ランサムウェア感染調査に不可欠な情報が含まれる可能性があります。
証拠データの保全
ランサムウェア感染の証拠となるランサムノートの表示画面やファイル名の変化、拡張子の異常、システムの日付表示などの状況証拠は、調査・報告・法的対応・保険請求など、あらゆる対応フェーズにおいて重要な資料となります。
以下の証拠データをスクリーンショットやカメラ撮影で保存しておきましょう。
- ランサムノート(脅迫メッセージ)の表示画面
- 暗号化されたファイルの拡張子やアイコンの変化
- タスクバーや時計など、日時を確認できる部分
なお、撮影した画像は、別端末に保存し、編集を行わないでください。
社内通報(CSIRTまたは責任者)
ランサムウェア感染が確認されたら、迅速にCSIRTや情報セキュリティの責任者に報告しましょう。今後責任者によるインシデント対応の指揮系統の確立やランサムウェアによる被害範囲の調査が可能になります。
- 端末名、使用者名、状況の簡易説明、時刻情報などをまとめ、メールやチャット、あるいは口頭で事実ベースで簡潔に報告する。
- 可能であればランサムノートの内容や画面キャプチャ等も添付して送信する
セキュリティベンダーもしくはフォレンジック調査会社への連絡
契約しているセキュリティベンダーもしくはフォレンジック調査会社がある場合、速やかに初動支援を依頼してください。ランサムウェア感染のような高度なサイバー攻撃では、内部対応のみでの原因特定や復旧対応は困難です。外部の専門家が持つ知見やツールを活用することで、感染範囲の正確な把握、適切な封じ込め、データ復旧可能性の調査などを実施できます。
私たちデジタルデータフォレンジックは、電話相談後最短30分でWeb会議可能です。ランサムウェア感染時はすぐにご相談ください。
\サイバーセキュリティ専門家へ24時間365日無料相談/
対処法2:ランサムウェア感染の状況確認(1~4時間)
初動対応によって感染端末の隔離と証拠保全が完了した後、1〜4時間の間に実施すべきフェーズは、ランサムウェア感染被害の全容把握と体制整備です。
このフェーズでは、ランサムウェアの種類特定、感染範囲の評価、社内の対応体制の編成が主な課題となります。
対応の遅れや判断ミスは、復旧コストや組織の信頼失墜リスクを飛躍的に高めるため、冷静かつ組織的な対応が求められる。
ランサムウェアの種類を特定
脅迫画面やファイルの拡張子などから、感染しているランサムウェアの名称を特定できる場合があります(例:Akira、Qilinなど)。
感染しているランサムウェアの種類を特定することで、復号ツールの有無、攻撃グループの特性(暴露型・金銭要求型など)、過去事例から得られる対応策のヒントが得られます。
感染端末とは別の端末でインターネットにアクセスして検索を行いましょう。以下のツールで照合を行うことができます。
- ID Ransomware
- No More Ransom
- BleepingComputerやMalwarebytesなどのマルウェア報告フォーラム
なおランサムウェアも日々改良が行われています。種類の誤判定により、不適切な復号ツールを使用するとデータの破損や再感染のリスクがあるため、最終的な判断は専門家と相談して進めることが望ましいです。
被害範囲の初期評価
ランサムウェアは単一端末にとどまらず、ネットワーク経由で他端末・ファイルサーバ・NAS・クラウドストレージへ拡散している可能性があります。
被害範囲の初期評価によって、被害を受けた資産を特定し、感染拡大を防ぐとともに、復旧・報告の方針を構築するための情報を得ることができます。
この調査は、ランサムウェアに感染していない安全な端末から行いましょう。感染が疑われる端末への直接接続や、ファイル開封といった操作は、二次感染の誘発リスクがあるため厳禁です。
また、調査内容・日時・担当者・確認結果はすべてログとして記録し、後の証拠や報告対応に備えることが望ましいです。
対応チームを編成
被害範囲の初期評価と並行して、法務・広報・経営層といった組織横断的なチーム体制を確立しましょう。
| 部門 | 役割と責任範囲 |
| 情報システム部門(CSIRT) | ランサムウェアの封じ込め、ログ収集、ネットワーク制御、感染端末の保全 |
| 法務部門 | 個人情報保護法、契約・報告義務の検討、当局への報告判断 |
| 広報部門 | 客・取引先・社内への通知方針、メディア対応文案の準備 |
| 経営層 | 経営方針の決定、被害対応の予算承認、専門家導入の判断 |
特に、個人情報の漏えいや第三者への影響が疑われる場合は、個人情報保護委員会への報告義務が発生する可能性があり、法務と情報システム部門の連携が重要となる。
意思決定の遅延は、感染の拡大・社会的信用の失墜・法令違反のリスクを招くため、インシデント発生時に対応権限を一時的に委任できる体制の構築が望ましいとされます。
私たちデジタルデータフォレンジックは、インシデント対応を包括的にサポート可能です。ランサムウェア感染時はすぐにご相談ください。
\サイバーセキュリティ専門家へ24時間365日無料相談/
対処法3:ランサムウェア感染の対応計画策定(4~24時間)
感染端末の隔離、初動対応、被害の初期評価を終えたあとの4〜24時間は、組織としてどのように復旧し、何を優先して対処するかを計画する段階です。
この段階では、技術的調査から得られた情報を基に、復旧方針・再発防止策・社内外への対応計画を策定する必要があります。
ログデータの保全
ランサムウェアの侵入経路、内部活動、影響範囲を正確に把握するためには、多様なログデータの収集と保全が必要です。
これにより、攻撃者の動きのトレース、再感染の有無、証拠としての保存が可能となります。
保全対象となるログ例は以下の通りです。
- OSイベントログ…異常終了・ユーザー操作・サービス起動履歴
- ウイルス対策ログ…検出されたマルウェアの名称・時刻・処理の内容
- ファイアウォール/IPS…通信の許可/拒否履歴、不審なIPアドレスの有無
- VPN・RDPログ…リモートアクセス元のIP・接続時刻・失敗記録
- Proxy/DNSログ…外部サイトへのアクセス、C2サーバとの通信
ログは証拠としての整合性を保つために、改変防止の形で保存し、原本からコピーを取り、調査用と保管用を分離して管理しましょう。
感染経路の特定
今後の再感染防止策および法的報告判断の根拠として、攻撃者が侵入したルートや、影響を受けた資産を正確に特定しましょう。
想定される侵入経路は以下の通りです。
- フィッシングメールの添付ファイルまたは悪性URLのクリック
- RDPやVPNの脆弱性、または認証情報の漏えい
- ソフトウェアのゼロデイ脆弱性の悪用
- サプライチェーン経由(外部からの持ち込み感染)
>>ランサムウェアの感染経路は?攻撃者の侵入経路を特定する方法も解説
影響範囲の特定
被害に遭ったデータ、システム、サーバー、ユーザーアカウントなどを網羅的に洗い出します。一部に見えても、攻撃は深部まで進行しているケースが多いため、甘い見積もりは禁物です。
バックアップの確認
バックアップを活用してデータやシステムを復旧する際は、バックアップデータ自体の安全性と完全性を事前に確認しましょう。
暗号化・削除・改ざんされたバックアップからの復元は、再感染やデータ破損につながるおそれがあります。
バックアップの確認方法は以下の通りです。
- バックアップファイルの最終作成日・サイズ・ハッシュ値を確認
- オフラインまたはクラウドに保存されたバックアップの有無を調査
- バックアップソフトウェアの設定ログも確認し、操作履歴を追跡
復旧優先順位の設定
すべてのシステムを同時に復旧するのは現実的ではありません。業務上優先度の高いものから段階的に復旧させる計画を立てましょう。
復旧優先順位を決定するための主な観点と具体例は以下の通りです。
| 判断軸 | 例 |
|---|---|
| 事業継続への影響度 | 顧客DB、基幹業務システム(ERP)、メールシステムなど |
| 社会的信頼性 | 外部公開Web、契約者情報システム、金融処理系など |
| 法的対応の必要性 | 個人情報・機密情報管理システムなど |
以上がランサムウェアに感染して4~24時間後に実施する内容です。フォレンジック調査会社であればログの保全や感染経路の特定などランサムウェア感染調査を包括的に対応可能です。特にログの保全には専門知識が必要になるため、ランサムウェア感染時はすぐにご相談ください。
\サイバーセキュリティ専門家へ24時間365日無料相談/
対処法4:ランサムウェア感染の調査・対処法(24~72時間)
感染初動への対応と被害範囲の評価、復旧方針の策定を終えた後、24〜72時間の間に求められるのは、詳細な技術的調査、システムの復旧、そして社外対応の判断・実行です。
この段階の動きが、ランサムウェアからの復旧速度・信頼回復・将来の訴訟リスクに大きく影響してきます。
フォレンジック調査を実施
フォレンジック調査とは、電子端末内のデータを証拠として保全・解析する調査です。
ランサムウェア感染調査の際に調査対象となるのは、メモリ上の実行プロセス、ディスク上のファイル・ログ・永続化の設定、OSやアプリケーションのイベントログ、ネットワーク通信履歴などです。これらのデータから、初期侵入経路の特定、内部の横展開の有無、不正な設定変更やデータ流出の兆候などを把握していきます。
ただし、フォレンジック調査を社内だけで進めようとすると、証拠能力が失われたり、誤った手順によって事実関係が曖昧になる恐れがあるため、必ず外部の調査会社に依頼しましょう。
\法人様は最短30分でWeb面談可!/
復号ツールの有無を確認
ランサムウェアの中には、すでに解析されており、「No More Ransom」プロジェクトをはじめとするサイトでは、一部のランサムウェアに対応した復号ツールを提供しています。
適切なツールを利用できれば、バックアップに頼らず一部のデータを復元することが可能となり、復旧コストと時間を大きく削減できます。
復号ツールの使い方は以下の通りです。
- No More Ransom にアクセス
- ランサムノートに表示された内容または拡張子を入力
- 該当する復号ツールがある場合はダウンロードして使用
ただし、復号に失敗するとデータが破損する可能性があるため、実行前にはファイルを複製し、バックアップを取ることを推奨します。また、最新のランサムウェア亜種に対しては復号ツールが存在しない場合も多いため、過信は避けるべきです。
>>ランサムウェア感染時、復号ツールで解除・復旧するための対応方法を解説
顧客・取引先への通知検討
個人情報や取引先情報が流出した疑いがある場合、企業には個人情報保護法などに基づく報告義務が課されます。
法務部と協議し、要配慮個人情報が含まれる、1,000件以上の漏えいが確認された、不正の意図が明白である等の条件に該当する場合は、個人情報保護委員会への「速報」および「確報」の提出が必要です。併せて、顧客や取引先への説明文書を法務・広報と連携して準備し、関係者にランサムウェア感染被害に関する説明を行いましょう。
法的な責任問題に発展する可能性もあるため、通知・通報にあたっては、不確実な情報を含めないよう、経営層・CSIRT・広報・法務が連携し、慎重に確認してください。
>>ランサムウェアに感染した?企業に求められる被害報告を実務対応ベースで解説
事業継続計画(BCP)の開始
システムが全面復旧するまでに時間を要する場合は、BCPに基づいた暫定的な業務運用に切り替え、手動処理の一時導入、仮想環境やクラウドベースの仮設システムの活用、安全な端末の使用を行うことで、完全な業務停止を回避しましょう。
注意点としてBCPに基づく運用へ移行する際は、仮設ネットワークに感染被害が発生しないように、感染が疑われる端末やファイルを仮設環境に流用しないでください。
ランサムウェア調査・対策を行う場合、専門業者に相談する
サイバー犯罪やマルウェアは絶えず進化している一方、国内の多くの企業ではセキュリティ対策が追い付いていないのが実情です。
ウイルス対策ソフトやUTM等の複数のセキュリティツールを組み合わせただけでは不十分で、実際にランサムウェア感染やマルウェアによる情報漏洩被害が発生した際の対応も見越した対策でなければ有効とは言えません。
適切な対策を行うには、サイバーインシデントの対応経験も豊富なセキュリティの専門家に相談することが極めて重要です。専門家のノウハウを活用することで、最新の動向と自社の予算・規模にあわせたセキュリティ対策を構築し、マルウェア・ランサムウェア感染、不正アクセスによる情報漏洩を未然に防いだり、緊急時の相談先とすることができます。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分でWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広いインシデント対応経験、セキュリティ対策の構築経験を持つ専門担当とエンジニアが対応させていただきます。
\サイバーセキュリティ専門家に24時間365日で無料相談可能/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
ランサムウェア被害の実例
ここでは、実際に報道された企業の被害事例を紹介します。どのような状況で感染し、どのような影響が出たのかを知ることで、自社の対策の参考にしてください。
株式会社イセトーの事例
2024年、印刷・製本業を行う株式会社イセトーがランサムウェアに感染し、イセトーが管理を受託していた自治体や企業の住民・顧客リストを含む個人情報約100万件~150万件が流出したとされます。
流出した情報の一部は、攻撃者のリークサイト上で公開されました。このランサムウェア感染被害により、一部市町村における入札停止や、プライバシーマークやISO認証の一時停止などが実施されました。
出典:株式会社イセトー
KADOKAWAの事例
2024年、出版大手のKADOKAWAはハッカー組織の「BlackSuit」から大規模なランサムウェア攻撃を受け、動画サービスや出版機能が停止に追い込まれました。
このランサムウェア感染被害により、株価の下落や、約25万件に及ぶ個人情報の漏えいが発生し、匿名掲示板やSNSなどで、サイバー攻撃を実行した組織による情報の拡散が確認されています。
出典:株式会社KADOKAWA
ランサムウェア感染の再発を防ぐ対処法
一度ランサムウェアに感染した企業は、再発のリスクを抱え続けることになります。以下の対策を実施することで、将来的な被害の予防が可能になります。
ローカル管理者アカウントの見直し
各端末において不要な管理者権限が残っていると、攻撃者に乗っ取られやすくなります。利用実態を確認し、最小限の権限で運用する原則を徹底しましょう。
EDRなどセキュリティ製品を導入し、多層防御を行う
ウイルス対策ソフトに加え、EDR(Endpoint Detection and Response)やファイアウォール、UTMなどを組み合わせた多層的な防御体制が必要です。異常検知や封じ込めの仕組みを構築することで、感染を最小限に抑えられます。
バックアップ体制を見直す
バックアップは定期的かつ多重化して行い、可能であればネットワークから隔離されたオフラインバックアップを保持しましょう。復旧速度や完全性も定期的に検証する必要があります。
社内のセキュリティ教育を実施する
標的型攻撃やフィッシングメールは、人の判断ミスを突いて侵入します。社員に対して定期的にセキュリティ研修を行い、リテラシーを高めることで、初期段階での感染防止が可能になります。
インシデントレスポンス計画の整備と訓練を行う
被害を最小限に抑えるためには、事前に定めた対応マニュアルと組織体制(CSIRT)を整備し、定期的な机上訓練・模擬訓練を通じて即応性を養うことが重要です。実戦に近い訓練を行うことで、万が一の際にも冷静な対応が可能になります。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
