お問い合わせ
ランサムウェアはデータを暗号化し、身代金を要求するプログラムです。被害に遭うと、ネットワーク全体の端末が使用できず、業務が停止する可能性があるほか、盗まれた機密情報は暴露される恐れがあり、個人情報保護の観点から被害時は適切な対応が重要となります。
本記事では、ランサムウェアに感染した企業の対応事例、具体的な対応について紹介します。あらかじめ被害時の対処法を学ぶことで、早急に対処できるようにしておきましょう。
目次
ランサムウェアとは
ランサムウェアとは、身代金を意味する「Ransom(ランサム)」と「Software(ソフトウェア)」を組み合わせた造語であり、コンピュータ内のデータ、あるいはデバイスを使用不能にした上で解除キーの提供と引き換えに身代金を要求する悪質なマルウェアです。
ランサムウェア被害はセキュリティ脅威の第1位
現在、ランサムウェアはセキュリティ上の深刻な脅威の一つとなっています。
IPAが発表した「情報セキュリティ10大脅威2024」でも、ランサムウェアは2016年以降9回連続で組織向けの脅威第1位としてランクインしています。もし被害に遭った場合、迅速な対応が必要であることを念頭に置いた対策や準備を行うことが重要です。
ただ、自力で問題に対応しようとすると、技術的な知識や経験の不足から誤った対応をする可能性があり、企業の立場を危険にさらすかもしれません。ランサムウェアの被害を疑う状況に遭遇した場合、迅速な対応が必要です。そのため、サイバーセキュリティの専門家にすぐに相談することを強く推奨します。
サイバーセキュリティの専門家は、問題の原因と影響を把握し、データ保護、法的な対応、そして個人情報保護委員会への報告まで、適切な手順を組み立てることができます。
\サイバーセキュリティ専門家へ24時間365日無料相談/
激増するランサムウェアの被害件数
セキュリティ機関のSANS Instituteは2023年におけるランサムウェアの被害件数について前年比で58%増加し、ランサムウェアグループによって公表されたものだけでも合計4,611件のインシデントが確認されたと報告しています。
特に活動が活発だったグループとしてはLockBit 3.0、AlphVM、CL0P、PLAY、BlackBastaが目立ち、新たに登場したグループである8BASE、Akira、Medusa、NoEscape、Cactusによる被害が全体の約17%を占めています。
警察庁が発表した情報では、令和5年におけるランサムウェアによる被害件数は197件(前年比14.3%減)です。
手口が確認できたものの中だと二重恐喝が多くを占める(74%)といわれています。
被害企業の種類も約半数が中小企業でその中でも製造業が多く狙われる傾向にあります。
感染経路は依然としてVPNの脆弱性や強度の弱い認証情報などが設定されたリモートデスクトップサービスが多くを占めているようです。また復旧には2か月を要し、調査復旧費用が1億円を超える事例もありました。
最近の事例だと、企業・団体のネットワークに侵入し、ランサムウェアを用いたデータを暗号化を行うことなく、データを窃取した上で対価を要求する「ノーウェアランサム」という被害が約30件確認されているようです。こちらの手口はランサムウェア被害の報告件数に含まれていません。
警察庁は、政府機関や重要インフラ事業者だけでなく、産業界全体に対してサイバーセキュリティ対策を講じるよう、関係府省庁と連携し、注意喚起を実施しています。
出典:警察庁
直近増加傾向にあるランサムウェア
当社へランサムウェアのご相談を数多くいただいておりますが、2024年9月現在、「No Caller ID」という電話番号から身代金の要求を受けたというケースが増えています。
攻撃者は、電話での身代金要求を行っているためフォレンジック調査を困難にする複数の回避策を用いています。
電話での身代金要求を受けるランサムウェアに感染した場合には、ランサムウェア感染の調査を専門としているフォレンジック調査会社にご相談することをおすすめします。
\サイバーセキュリティ専門家へ24時間365日無料相談/
【2024年最新】ランサムウェアの被害を公表している企業一覧
ここでは、実際にランサムウェアの被害を公表している企業を紹介します。
今回紹介するのは以下の企業で発生したランサムウェアの被害事例です。
- 株式会社ミヤキ
- 株式会社KADOKAWA
- 税理士法人髙野総合会計事務所
- ニデックインスツルメンツ株式会社
- 株式会社イセトー
- 地方独立行政法人 岡山精神科医療センター
- 株式会社エンドレス:LockBit
- 株式会社イズミ
- 日本航空電子工業:ALPHV (BlackCat)
- セイコー:ALPHV (BlackCat)
- 名古屋港管理組合:LockBit
- 株式会社エーザイ
- 大阪急性期・総合医療センター
- 株式会社ニップン
- 宇陀市立病院:GandCrab
- 株式会社カプコン
- ホンダ自動車:SNAKE
- 多摩都市モノレール株式会社
- 株式会社日立製作所:WannaCry
株式会社ミヤキ
概要
2024年9月4日、株式会社ミヤキ社のファイルサーバーに外部から不正アクセスがありランサムウェア攻撃を受けたと公表されました。株式会社ミヤキ社のお知らせによると個人情報漏えい等は調査中でシステム障害があったと報告されています。
原因
株式会社ミヤキ社は、現在まだ調査中とお知らせで報告しています。
出典:株式会社ミヤキ
株式会社KADOKAWA
概要
2024年6月8日に発生した株式会社KADOKAWAグループへのランサムウェア攻撃が起因で、計254,241人の個人情報が漏えいしたことが株式会社KADOKAWA社のお知らせで報告されました。
原因
フィッシング攻撃などで従業員アカウント情報が窃取されたことにより、グループデータセンター内の株式会社ドワンゴ専用ファイルサーバーなどがランサムウェアなどの大規模なサイバー攻撃の被害を受けたものと調査会社の調査結果から推測されたと株式会社KADOKAWA社のお知らせ報告しています。
出典:株式会社KADOKAWA
税理士法人髙野総合会計事務所
概要
2024年6月4日に、海外から税理士法人髙野総合会計事務所の複数サーバに対して不正アクセスが行われました。ランサムウェアによって暗号化されたデータの中に取引先の個人情報が含まれているものがあったが、現段階の調査結果では、漏えいの事実は確認できていないと税理士法人髙野総合会計事務所が報告しています。
原因
同年5月26日に行われたインターネット接続点に設置する通信機器の更新作業において、委託業者の通信機器の設定ミスによりデータサーバへ不正アクセスできる状態のまま放置されていたと税理士法人髙野総合会計事務所が報告しています。
ニデックインスツルメンツ株式会社
概要
2024年5月26日に、ランサムウェアによってニデックインスツルメンツ株式会社の業務システム等への不正アクセスが発生しました。システム内の情報が暗号化された約40万人分の個人情報が漏えいした恐れがあり、中には従業員・従業員またその家族のマイナンバーなどの情報も漏えいしている恐れがあるとニデックインスツルメンツ株式会社のニュースで報告されています。
原因
システム管理者のログイン情報を何らかの形で不正に入手し業務システム内にアクセスしたと考えられるとニデックインスツルメンツ株式会社のニュースで報告されています。
株式会社イセトー
概要
2024年5月26日に、複数サーバ、端末内の情報が暗号化されるランサムウェアによる被害が発覚したようで、外部専門家の調査途中経過時点で取引先の顧客の個人情報が含まれていると株式会社イセトー社のお知らせで報告しています。
原因
株式会社イセトー社は現在もまだ調査中と株式会社イセトー社のお知らせで報告されています。
出典:株式会社イセトー
地方独立行政法人 岡山精神科医療センター
概要
2024年5月19日に、ランサムウェアによるサイバー攻撃で電子カルテを含めた総合情報市システムに障害が発生しました。その中で漏えいした可能性のある情報は4万人分におよび、一部はすでに漏洩の有無については調査中と同センターの委員長から報告されています。
原因
同センターの常務理事が記者会見で「VPN機器の更新が行われていれば今回の攻撃を防ぐことができたかもしれない」と記者会見で発言されていたことからVPN装置の脆弱性を狙った攻撃ではないかと発言されていました。
株式会社エンドレス
概要
2024年4月23日に、サーバがLockBitランサムウェアに感染したが、お客様の個人情報が格納されてはいないものの、データ流出の有無については調査中と株式会社エンドレス社のお知らせで報告された。
原因
セキュリティ強化の一環でFortiGateをスターティア株式会社が設置する際に利用したtestアカウントがまだ残っており、そちらを利用されたものと株式会社エンドレス社のお知らせで報告されています。
出典:株式会社エンドレス
株式会社イズミ
概要
2024年2月15日、株式会社イズミのサーバーに対して第三者による侵入が検知されました。複数のサーバーがランサムウェアによって暗号化されており、各所に相談し、外部専門機関で調査を実施しました。被害に遭ったランサムウェアの種類は公表されていません。
原因
外部専門機関の調査結果では、VPN装置を経由してグループ会社のサーバーに侵入されたとのことです。
出典:日経クロステック
被害
株式会社イズミで運用していた「ゆめカード」の会員情報の約7,782,009件(※2024 年2月 15 日以前に入会した会員数)・連結子会社の株式会社イズミテクノにおけるパート・アルバイト応募者情報の一部などが閲覧された可能性があると報告しました。しかし、5月1日時点で個人情報を含む当社グループ保有情報が外部へ漏えいした事実は確認されておらず、可能性は極めて低いとのことです。
出典:株式会社イズミ
日本航空電子工業:ALPHV (BlackCat)
概要
2023年11月、日本航空電子工業(JAE)は、同年11月にアメリカ子会社で不正アクセス被害があり、社内資料やコネクター製品の図面などが一部流出したと発表しました。
原因
現時点で詳細な原因は判明していません。
被害
Alphv(BlackCat)は、同社の設計図や契約書、機密メッセージ、報告書などを盗んだと主張し、Tor ネットワーク上のリークサイトに同社を追加し、このメーカーから盗み出したとされる文書のスクリーンショットなどを掲載しました。
出典:日本経済新聞
セイコー:ALPHV (BlackCat)
概要
2023年8月、ALPHV(BlackCat)と呼ばれるランサムウェアグループは、セイコーを攻撃したことを公表しました。
Alphv(BlackCat)は、Rust言語で記述されたランサムウェアであり、ロシア語圏のRaaSです。強力な暗号化アルゴリズムを使用して、被害者のデータを暗号化するほか、被害者の情報を公開するという脅迫をすることで、身代金の支払いを要求するのが特徴的です。
ALPHV(BlackCat)ランサムウェアについてはこちら
原因
原因は現時点で公になっていませんが、セイコーグループは、被害の全容解明のためにIT機器の脆弱性調査や情報漏えい範囲の特定、原因の追究などを行い、セキュリティの強化や再発防止策を実施する方針を示し、被害者に対して個別に対応すると表明しました。
被害
セイコーグループも、ランサムウェア攻撃による不正アクセスと情報漏えいに関する公式発表で、約6万件の個人データが外部に漏えいした恐れがあることを認めました。
漏えいが確認されたデータには、セイコーウオッチ株式会社の顧客データや取引先担当者、採用応募者、セイコーグループ会社の従業員情報が含まれているとのことです(クレジットカード情報は含まれていないとしている)。
出典:SEIKO
名古屋港管理組合:LockBit
概要
感染したランサムウェア:LockBit
2023年7月4日、日本最大の貨物取扱量を誇る名古屋港のコンテナ管理システムに障害が発生し、コンテナの搬出入が停止。原因はランサムウェアの感染であり、ロシアを拠点に活動するハッカー集団「LockBit」から港運協会に脅迫文が届いていると報じられた。
原因
その後の調査によると、名古屋港運協会(名古屋市)は、米フォーティネット社製のVPN機器「FortiGate」を使用しており、同社が6月に公表した修正プログラムを適用しておらず、脆弱性に対して無防備だったと考えられます。
内閣サイバーセキュリティセンターは、関連省庁を通じ、インフラ事業者に早急な修正プログラムの適用を求めています。
被害
7月4日、名古屋港内の全コンテナターミナルで使用されている名古屋港統一ターミナルシステム(NUTS)に障害が発生。その影響で、トレーラーによるコンテナの出入りが中止され、システムが復旧する7月6日午後まで広範囲に支障が生じた。
出典:読売新聞
エーザイ株式会社
概要
2023年6月6日に、株式会社エーザイグループの一部サーバーが暗号化されるランサムウェア被害が発生したことを公表しました。株式会社エーザイは、全社対策本部を設置し、外部専門家都協力して調査・復旧作業を実施しているとのことです。
出典:エーザイ株式会社
原因
調査中として公表していません。
被害
暗号化された情報の内容や身代金などの要求の有無については「現在調査中でコメントできない」とのことです。
出典:日本経済新聞
大阪急性期・総合医療センター
概要
感染したランサムウェア:非公開
2022年10月30日(日)に、大阪急性期・総合医療センターのVPNの更新定義ファイルの更新漏れからランサムウェアに感染していることが発覚した。医療センターのネットワークと接続する給食委託業者のVPNからサイバー攻撃が行われ、病院のネットワークの感染に至った。
原因
ソフトウェアが旧式だったことが原因で、脆弱性を突かれてしまった。
被害
システムの稼働に必要なファイルが暗号化され、ビットコインでの身代金の要求被害が発生サーバー画面では、以下のランサムノートが表示された。
“すべてのファイルは、あなたのパソコンのセキュリティの問題により暗号化された。もし復元したければ、我々にメールを送ってください。復元のためにはビットコインで支払ってください。金額は、あなたがどれだけ早く、われわれにメールを送るかによって変わります。支払い後、すべてのファイルを復元するためのツールを送ります。”
株式会社ニップン
概要
感染したランサムウェア:非公開
2020年の7月7日(木)に、大手製粉会社である株式会社ニップンのサーバーなどの複数端末に同時にランサムウェアを投入し、システム障害が発生した。すぐにネット環境から遮断し、外部サービスにてセキュリティ調査を行った。
原因
セキュリティ対策や機器の状態も細心にアップデートしていたにもかかわらず攻撃を感知できなかった。
被害
財務や販売の管理などの情報を保存しているシステムサーバーやグループ内で共有されているサーバーなどが暗号化された。
出典:ITmedia
宇陀市立病院:GandCrab
概要
感染したランサムウェア:GandCrab
2018年10月に、宇陀市立病院で「GandCrab(ガンクラブ)」という種類のランサムウェアを用いたサイバー攻撃が発生した。ランサムウェアに感染した機器は、誤ってシステムログを削除しており、感染経路の特定もできず、バックアップも保存されていない状況だった。
原因
GandCrabを検知できないウイルス対策ソフトを導入していたことや、ソフトを最新にアップデートしていなかった。
被害
病院内で管理している約1,133人分の患者データが暗号化されアクセス不能となった。
出典:宇陀市
株式会社カプコン
概要
感染したランサムウェア:SNAKE
2020年11月2日(月)に株式会社カプコンは、社内システムへの接続障害を確認した。原因はランサムウェア感染によるファイルの暗号化だと発覚した。ハッカー集団「Ragnar Locker」によるサイバー攻撃の影響であった。大手調査専門業者で不正アクセス攻撃を受けた機器の調査を行った。
原因
VPN(仮想私設網)装置のセキュリティの脆弱性があり、ハッカーが社内ネットワークに不正アクセスできてしまったこと。
被害
北米現地法人が保有していた予備の旧型VPN装がサイバー攻撃を受け、社内ネットワークに不正アクセスされた。盗まれた情報(顧客情報や売り上げ情報、取引先情報など)1TB分もの情報漏洩が発生した。
出典:CAPCOM
ホンダ自動車:SNAKE
概要
感染したランサムウェア:SNAKE
2020年6月8日(月)に、日本の自動車メーカーを代表するホンダ自動車へのサイバー攻撃が発生した。外部からのサイバー攻撃によってランサムウェアに感染した。
原因
SNAKE自体がホンダの社内ネットワーク内でのみ動作する仕組みになっていた。
被害
世界に30か所あるホンダ自動車の工場のうち約3割が停止する被害が発生し、全社員のパソコンの稼働を停止させる事態に発展した。
出典:NHK
多摩都市モノレール株式会社
概要
感染したランサムウェア:非公開
2018年7月10日(火)に、多摩都市モノレール株式会社ファイルサーバー、およびバックアップサーバーに格納されたすべてのファイルが暗号化されアクセス不能になった。
原因
感染経路や感染原因などの詳細な情報は公開されていない。
被害
一般業務用とバックアップ用のサーバーでランサムウェアの被害が発生し、データが暗号化された。列車の運行には問題なかった。
出典:多摩都市モノレール
株式会社日立製作所:WannaCry
概要
感染したランサムウェア:WannaCry
2017年5月12日(金)に、株式会社日立製作所の社内システムの一部がランサムウェア「WannaCry」に感染していることを検知した。
原因
- 社内ネットワークがセキュリティよりも「利便性」を重視した設計をしていた。
- 日立製作所で行っていた「自然災害対応のためのBCP(事業継続計画)に基づく対策会議」がサイバー攻撃の対策として一定の水準を満たしているものではなかった。
被害
工場や病院、鉄道などの産業別に使用しているシステムへの被害状況は世界250カ国以上20万件以上に及び、システム内障害やメールの送受信などの影響が出た。
出典:日本経済新聞
ランサムウェアの被害は、世界中のさまざまな組織や業界に影響を及ぼしている
ランサムウェアの被害は、世界中のさまざまな組織や業界に影響を及ぼしています。
2023年の主な被害としては、Western Digital、ダラス市、Prospect Medical Holdings、MGM Resorts、Boeing、Henry Scheinなどが含まれ、これらの組織はサイバー攻撃によるネットワークの中断や個人情報の漏えいなどの被害を受けました。
これらの事例は、ランサムウェアがグローバル企業や公共機関に与える深刻な影響を示しており、サイバーセキュリティ対策の重要性を浮き彫りにしています。
ランサムウェア感染で実際に起こる被害
ランサムウェアに感染すると、以下の被害が起こる可能性があります。
システムが暗号化され、使用できなくなる(業務が停止する)
ランサムウェアに感染すると、コンピュータ上のファイルが暗号化され、使用できなくなります。これにより、システムやデータへのアクセスが制限され、業務に支障をきたします。
たとえば顧客情報や取引情報などの重要なデータが暗号化されてしまうと、業務の継続が困難になります。また、製造業や物流業などでは、生産や物流が停止する可能性があります。
情報漏えいの被害に遭う
ランサムウェアの中には、暗号化に加えて、顧客情報や取引情報などの機密情報を盗み出すものもあります。
情報漏えいが発生すると、以下の被害が考えられます。
- 顧客や取引先からの信頼を失う
- ブランドイメージの低下
- 損害賠償請求を受ける
- 営業活動の妨げになる
- 競合他社に先行される
情報漏えいが発生した場合は、速やかに個人情報保護委員会に報告し、迅速かつ適切な調査・対応を講じましょう。
背景としては2022年4月に施行された改正個人情報保護法による情報漏えい発生時の事業者対応の厳格化があります。繰り返しになりますが、情報漏えいが発生した場合、速やかに調査を開始することが重要です。
金銭的被害に遭う
ランサムウェアに感染した際に、業務システムの関するデータの暗号化・窃取やサーバがダウンしてしまったり等により業務がストップしてした場合莫大な損害を被ることが予想されます。
また攻撃者の指示に従って身代金を払ってしまったり、ランサムウェアの感染調査を依頼することによる調査費用であったり、どのような形でも金銭被害を被ることになります。
ランサムウェアに感染いないよう対策をしっかりと行うことが重要です。
警察の「サイバー犯罪対策課」に相談に行っても有効な手段を講じることは出来ない
ランサムウェアによる被害に遭遇した場合、警察のサイバー犯罪対策課に相談することは一つの手段ですが、証拠が不十分だったり、人員や予算の限界等のため、結果的に被害者が十分な救済を得るのは困難なケースが多いのが現状です。以下にその具体的な理由をいくつか挙げてみましょう。
理由① 人員や予算が限られている
まず一つ目は、サイバー犯罪対策課の存在する場所が全国に約50カ所しかなく、そのために人員や予算が限られており、全ての被害に対応することが困難であるという問題があります。
理由② 被害届が必ず受理されるわけではない
二つ目に、警察が捜査を始めるためには被害届の受理が不可欠ですが、サイバー攻撃に関する被害届が必ず受理されるわけではなく、これが捜査の一大障害となっています。
なぜならランサムウェアは、国際的な犯罪である場合が多く、捜査が困難な場合があります。たとえば、海外のハッカーが関与している場合、警察は海外の警察と協力して捜査を行う必要がある一方、国際捜査は経費がかかるため、捜査が打ち切られる場合があるからです。
理由③ 被害を裏付けるデータを証拠として提出するのは被害者が率先して行わなければならない
また、被害者が被害を裏付けるデータを証拠として提出することができなければ、警察が捜査を断念する可能性も出てきます。
具体的には、以下のデータが証拠として提出しなければならない場合があります。
- 被害が発生した日時や場所を示すログデータ
- 被害を受けたシステムやデータを示すデータ
- 被害を受けた原因を示すデータ
ランサムウェアによる被害に遭遇した場合、サイバーセキュリティ専門家に相談することが重要
これらの問題を鑑みると、ランサムウェアによる被害に遭遇した場合、警察の捜査だけに頼るのではなく、可能な限り早くサイバーセキュリティの専門家に相談することが極めて重要となります。専門家は警察の捜査を補完し、ランサムウェアの具体的な手口や侵入経路を特定するだけでなく、被害に遭ったデータの特定や保全なども行うことができます。
\法人様は最短30分で初動対応打合せ/即日現地駆けつけも可能/
個人情報の漏えい時、企業や組織が取るべき対応とは
個人情報の漏えいは、企業や組織にとって、重大な社会的責任を伴う事態です。個人情報の漏えいが発生した場合、企業や組織は、以下の対応を速やかに行う必要があります。
ランサムウェア被害に遭遇した場合、被害の実態を具体的に調査する方法は下記の記事でも詳しく解説しています。
①漏えいの事実の確認
まず、漏えいの事実を速やかに確認する必要があります。漏えいの事実が確認できたら、漏えいした個人情報の項目や規模、漏えい経路などを調査します。
②被害の拡大防止
漏えいした個人情報の流出や悪用を防ぐために、被害の拡大防止策を講じます。たとえば、パスワードの変更や、不正アクセスの遮断などの措置を講じます。
③本人への通知
漏えいした個人情報の対象となった本人に対して、漏えいの事実を通知する必要があります。通知は、遅滞なく、わかりやすい方法で行う必要があります。
④再発防止策の検討・実施
漏えいの原因を究明し、再発防止策を検討・実施します。再発防止策には、セキュリティ対策の強化や、従業員教育の実施などが考えられます。
⑤外部への公表
漏えいした個人情報の項目や規模が重大な場合、外部への公表が求められることがあります。公表に際しては、客観的かつ中立的立場で正確な情報を公開する必要があります。
ランサムウェアに感染した場合、バックアップからの復旧と初期化だけでは不十分
ランサムウェアに感染した場合、バックアップからの復旧と初期化だけでは不十分です。その理由は以下のとおりです。
未修正の脆弱性が存在する可能性がある
セキュリティパッチが適用されておらず、攻撃者が侵入に利用した脆弱性が修正されていない場合、同じ脆弱性を悪用される恐れがあります。
特にVPN機器やRDPの脆弱性は悪用されやすく、実際、ランサムウェアの感染経路は、71%がVPN機器、10%がRDPとされ、実に8割以上を占めています。
出典:警察庁
脆弱性の確認にはセキュリティ診断が有効
これに限らず、攻撃者が再度侵入する目的でシステム内にバックドアを設置することもあり、攻撃後のネットワーク調査は不可欠といえるものになっています。
この際、セキュリティ診断が有効です。これは組織のシステムに悪用の恐れがある脆弱性がないか診断するサービスで、脆弱性を可視化することで、攻撃前からリスクを把握することが可能です。
弊社のセキュリティ診断については下記で詳しく解説しています。「外部から侵入されないか不安」「侵入されたらどのような影響があるか知りたい」方はぜひ参照してください。
多重脅迫によるデータ漏えいなどの可能性がある
ランサムウェア攻撃は進化しており、特に多重脅迫型ランサムウェアが急増しています。この種のランサムウェアは、身代金の支払いを強制するために過激な手法を用いています。
たとえば、二重恐喝型ランサムウェアでは、身代金の支払いを要求すると同時に、盗んだ情報をリークサイト(情報を暴露するダークウェブ上のサイト)に暴露すると脅迫します。
また三重恐喝では、DDoS攻撃を用いてシステムをダウンさせ、身代金の支払いを迫ります。四重恐喝では、被害者の顧客、取引先に攻撃の事実を暴露する手法が使用されます。
いずれにせよランサムウェアに感染した場合、顧客情報や需要な取引データなどの漏えいリスクをはじめ、あらゆる脅迫に注意する必要があります。
弊社の情報漏えい調査については、下記の記事でも詳しく解説しています。
ランサムウェア感染による企業の情報漏えいインシデント対応が義務化されています
ランサムウェアに感染した場合、被害範囲や感染経路を調べることが大切です。
特に2022年4月施行の「改正個人情報保護法」では、財産的被害が生じるおそれのある個人データの漏えい等が発覚した場合、法人に以下の義務が課せられました。
- 個人情報保護委員会への報告:当該企業は、個人情報保護委員会に漏えいの報告を行う。
- 当該個人に対する通知:当該企業は、個人情報漏えいの被害を受けた個人に通知を行う。
したがって被害調査を行うことは、再発防止のためだけでなく、個人情報取扱事業者の義務でもあります。
仮に、措置命令違反や、個人情報の不正流用が発生した場合、最高で1億円の罰金が科せられる可能性もあります。そこで情報漏えい時、どの情報が、どのように漏えいしたのかを調査し、今後の対応や予防策を考える必要があります。
ただし、被害の調査を行う場合、法的知識や専門技術が必要です。これは自社のみで対応するのが困難であるため、フォレンジック専門家と提携して調査することをおすすめします。
フォレンジック専門家は、インシデントの原因や範囲を特定する検証作業に秀でており、感染源の特定はもちろん、公的に使用できる報告資料を作成でき、被害を未然に防ぐ有効な対策を講じることができます。
\相談から最短30分でWeb打ち合わせを開催/
ランサムウェア感染時に有効なフォレンジック調査とは
ランサムウェアに感染し、適切な対処ができる企業はほとんどありません。むしろ自社だけで対応を判断するのが一番のリスクです。ランサムウェアに感染した場合、情報漏えいや更なるサイバー攻撃被害が疑われるため、まずはサイバーセキュリティの専門家と提携して感染原因の究明や被害範囲の特定を行うことが重要です。
この際、有効なのが「フォレンジック調査」です。
フォレンジック調査とは、コンピュータやネットワークに保存されたデータやログを分析し、インシデントの原因や経緯、影響範囲を解明する調査手法です。ランサムウェアの感染調査では駆除・隔離に加えて、侵入経路や情報漏えいの有無を確認することができます。
私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があり、攻撃に使用された侵入経路や漏えいデータを迅速に特定します。ご相談や詳細な情報については、いつでもお気軽にお問い合わせください。
\フォレンジック調査の専門家に無料相談できる/
フォレンジック調査の詳細については下記の記事で詳しく解説しています。
法人様は最短30分でWeb打ち合せ(無料)を設定
ランサムウェアに感染したときの初動対応~調査
ランサムウェア感染時の初動対応~調査方法としては、以下の対処方法があげられます。
ランサムウェア感染時の適切な初動対応・調査方法は、下記でも詳しく解説しています。
①【前提】身代金は支払わない
身代金を支払っても、暗号化されたデータが確実に復号されるという保証はありません。過去に身代金を支払った企業のうちデータが戻ってきたのは半数程度で、身代金を支払った企業の8割が再び攻撃を受けたというデータもあります。
また、身代金を支払うこと自体が反社会勢力の増長につながる恐れもあるため、相手の要求を鵜呑みにせず、身代金を支払うことは避けましょう。要求された際には対処しようとせずにランサムウェアの調査可能な専門業者に相談しましょう。
②インターネットから切断する
ランサムウェアに感染していると思われる場合は、すぐにインターネットから切断してくてください。接続したままの状態にするとインターネット経由で被害が拡大します。
また、機器の電源を切るとRAM上に保存されているランサムウェアの感染経路のログなどの揮発性データが削除される可能性があります。削除されたログは、専門業者であっても調査できなくなる可能性があるので、必ずスリープモードにして管理してください。
③セキュリティソフトを使用する
セキュリティソフトやファイアウォールを導入することで、外部からの不審な通信を遮断し、通信の可否を選択することで、ある程度の不正アクセスやランサムウェア感染に対して診断・検知・保護する機能があります。マルウェアは1日に数十万という数が新しく作られているため、常にソフトウェアを最新の状態に保つだけではなく、OSやセキュリティソフトのアップデートを怠らないようにしましょう。
ただし、セキュリティソフトは万能ではないため、いくらセキュリティ対策していたとしても、ランサムウェアに感染する可能性があります。感染した際は、専門業者に依頼して詳細な調査を行って各方面に報告することが必須になります。
④バックアップから復旧する
ランサムウェアに感染してデータが暗号化された場合でも、事前に作成しておいたバックアップからのデータ復旧が可能な場合があります。バックアップは感染前のデータの状態を保持しているため、被害を最小限に抑える重要な手段です。
ただし、ファイルが暗号化された時点でセキュリティ侵害の可能性が高く、バックアップからの復旧だけでは不十分です。
データやファイルが暗号化された場合、個人情報保護の観点からデータ漏えいの有無はもちろん、攻撃者がどのようにシステムに侵入したかを特定することが重要です。これにより、セキュリティの脆弱性や攻撃手法を把握し、今後の防御策を強化することができます。
\サイバーセキュリティの専門家に無料相談できる/
⑤復号ツールで検索する
一部のランサムウェアの場合、セキュリティ企業や公的機関が提供する復号ツールが存在することがあります。感染したランサムウェアの種類を特定し、セキュリティ関連のウェブサイトやツール提供サイトで復号ツールの有無を調査してみましょう。これらのツールは、データを復号化するために役立つ場合があります。
No more Ransomを利用する
データの復号には、公式の復号ツールを入手することが重要です。この際、官民連携の「No More Ransom」というプロジェクトが有効です。
このプロジェクトは、セキュリティ企業や法執行機関が協力して開発した復号ツールを提供しています。ウェブサイトにアクセスし、感染したランサムウェアの詳細を入力すると、対応する復号ツールを入手できる場合があります。
ランサムウェアの復号ツールの探し方、復号ツールを使って復旧する方法、注意点はこちら
⑥専門家の助言を受ける![]()
ランサムウェア感染時、法人は個人情報漏えいが確認された場合、被害報告が必要となります。そのためにも感染経路を特定し、再発防止策を講じる必要があります。
この際、自社のみでの対応では不十分な点が多いため、サイバーセキュリティ専門家を活用し、サイバー攻撃被害の原因や情報漏えいの有無、再発防止策を講じることで、迅速かつ正確にインシデント対応を行うことができます。
被害の封じ込めと感染状況調査はデジタルフォレンジックが最適
サイバーセキュリティの専門家は、ランサムウェアに関する攻撃手法や脆弱性に精通しており、感染経路の迅速な特定から被害の封じ込めによる感染拡大の防止に役立ちます。
特に脆弱性を悪用した攻撃を受けた場合、再度攻撃を受けないように、どの端末の、どのデータが被害に遭ったのかについて確認する必要があります。
しかし、これは自社調査だけでは客観性や正確性が確保できないことがあります。たとえばセキュリティソフトは、マルウェアを検知・駆除こそできますが、感染経路や情報漏えいの有無などを適切に調査することはできません。
したがってランサムウェア感染時は、感染経路調査に対応した「フォレンジック調査」を利用することが有効です。
デジタルフォレンジックとは
デジタルフォレンジックは、サイバーセキュリティインシデントの分析を通じて、攻撃の手法や経路を特定し、被害の範囲や影響を詳細に調査するプロセスです。
デジタルフォレンジックには以下の利点があります。
- 攻撃手法の把握 :攻撃者の手法や侵入経路を理解することで、類似の攻撃を防ぐための対策を講じることができます。
- 影響の評価:被害の範囲や影響を正確に評価することで、復旧作業の優先順位を決定できます。
- 証拠の収集:攻撃の証拠を収集することで、法的手続きや保険請求時に活用できます。また、攻撃者の特定にも役立ちます。
- セキュリティ強化:攻撃を分析し、セキュリティを改善することで、同様の攻撃を未来に防ぐための対策を講じることができます。
特に専門家はデジタル証拠を分析し、攻撃の詳細を特定する専門知識を持っています。これにより被害範囲や経路の詳細を明らかにし、再発を防ぐための対策を講じることができます。特に緊急の場合は、フォレンジック専門家のアドバイスを得ることが重要となります。
特に次のような疑問がある場合、専門家まで対応を依頼されることをおすすめします。
- 「漏えいによって個人情報が、どの範囲まで流出したのか?」
- 「漏えい情報が他の企業や組織にも影響を及ぼすのではないか?」
- 「インシデントの影響がどれくらい長期間にわたるのか?」
- 「漏えいした情報が悪用される可能性が知りたい?」
- 「問題に対して今後どのような対策を取るべきか知りたい」
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが40名以上在籍しており、相談や見積もりを無料で受け付けています。いつでも対応できるよう、24時間365日体制でご相談を受け付けておりますので、まずはお気軽にご相談ください。
◎フォレンジック調査を考えている方へ (お見積りまで完全無料)
フォレンジック調査は、DDF(デジタルデータフォレンジック)までご相談ください。
累計32,377件のご相談実績(※1)があり、他社にはないデータ復旧業者14年連続国内売上No.1のデータ復旧技術(※2)とフォレンジック技術を駆使してお客様の問題解決をサポートします。
✔不正アクセスの形跡があると報告された
✔ランサムウェアやマルウェア感染の原因がわからない
✔データが漏えいしているかもしれない
上記のようなご相談から調査項目/作業内容のご提案、お見積りまでは完全無料。安心してご相談ください。
\24時間365日 相談受付/
※1 データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと
第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(集計期間:2007年~2020年)
※2 累計ご相談件数32,377件を突破(期間:2016年9月1日~)
フォレンジックの詳細は下記の記事でも詳しく解説しています。
ランサムウェアの感染経路や手口
ランサムウェア感染を防ぐためには、感染ルートを理解し、適切な対策を取ることが重要です。主要なランサムウェアの感染経路は下記のとおりです。
ランサムウェアの感染経路、症状・被害事例の詳細については下記の記事でも詳しく解説しています。
1位:VPN機器からの侵入
警察庁の調査によると、ランサムウェア感染において、VPN機器からの侵入は全体の71%を占めています。
企業は感染を防止するためにも、テレワークでVPNを使用する際には、適切なバージョンアップを行うことが重要です。またVPN以外のセキュリティ対策としてファイアウォールやアンチウイルスソフトウェアを導入し、強力なパスワードの使用や、適切なアカウント管理をおこなう必要があります。
出典:警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」(PDF)
2位:RDP(リモートデスクトップ)からの侵入
警察庁の調査によると、RDP(リモートデスクトップ)は、ランサムウェアの侵入経路として10%を占めています。
RDPもVPNも、組織におけるシステムにおいて重要な役割を担っていますが、重大な脆弱性も報告されており、ここから攻撃者はIDやパスワード情報を割り出し、不正ログイン、感染拡大を図ります。
被害を未然に防ぐためにも、パスワード更新、定期的なセキュリティチェックなどが必要です。またVPNも同様に、機密情報の暗号化や不正アクセスの監視などが必要です。
出典:警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」(PDF)
3位:フィッシングメールや添付ファイル
それ以外の感染経路のほとんどはメールに添付されたファイルを解凍しての感染です。たとえばEmotet(エモテット)などの危険なマルウェアが、その手口に利用されることが多いです。
Emotetが引き起こすランサムウェアの脅威についてはこちら
自社調査では誤った対処により痕跡が失われる場合も
いずれにせよランサムウェアから身を守るために、セキュリティ対策を怠らず、重要なデータのバックアップを定期的に行いましょう。
またインシデント発生後、システムログやトラフィックの解析、マルウェアの解析などを通じインシデントの全容を特定することで、有効な再発防止策をとることをおすすめします。
一方、自社調査では誤った対処により痕跡が失われる場合や、客観性が認められないこともあるため、ログ解析や感染経路の特定を行う場合、サイバーセキュリティ専門家に相談して実施することをおすすめします。
私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があり、攻撃に使用された経路や漏えいデータを迅速に特定します。
24時間365日体制で相談や状況のヒアリング、見積もりを無料で受け付けておりますので、お電話またはメールでお気軽にお問い合わせください。
\サイバーセキュリティの専門家に無料相談できる/
ランサムウェアによる被害調査を行う場合、専門業者に相談する
マルウェア・ランサムウェア感染、不正アクセスのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
選ばれる理由
累積ご相談件数32,377件以上の実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積32,377件以上(※1)のご相談実績があります。また、警察・捜査機関から累計360件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
利用しやすい料金設定 相談・見積無料
外注により費用が高くなりやすい他社様と異なり、当社では自社内のラボで調査するため、業界水準よりも安価に調査サービスを提供しております。初動対応のご相談・お見積は無料で実施。はじめてのご利用でも安心してお任せください。
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※4)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※4)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
国際空港レベルのセキュリティ体制
官公庁や警察などの機密性の高い情報を取り扱うため、第三者機関の警備やセキュリティゲート、監視カメラを配置し、情報の管理を行っています。世界基準のセキュリティ規格であるISO、Pマークを取得。万全のセキュリティ体制を構築しています。
多くのお客様にご利用いただいております
ランサムウェア調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様・個人様問わず対応 24時間365日無料相談OK!/
ランサムウェア調査の料金・目安について
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
