ランサムウェアに感染したら、データ漏えいによる信用失墜や業務停止による経済的損失など、多方面に深刻な被害をもたらす可能性があります。このような被害を未然に防ぐためにも、適切なランサムウェア対策を実施することが重要です。もしランサムウェアに感染してしまった場合は、すぐにフォレンジック調査会社に相談しましょう。
本記事では、ランサムウェアの対処法をはじめ、感染しないための方法まで詳しく紹介しています。ランサムウェアの包括的な対策として、ぜひ参考にしてください。
\サイバーセキュリティ専門家へ24時間365日無料相談/
目次
ランサムウェア感染時の対処法6ステップ
ランサムウェアに感染したとき、どんなに焦っていても「正しい順番と判断」ができるかどうかで、被害の規模が大きく変わります。
ここでは、「なぜそれが必要なのか」まで踏み込んだ6ステップの対応法を解説します。
- STEP1:感染端末のネットワーク遮断
- STEP2:サイバーセキュリティ専門家に相談する/対応策の確定および実行
- STEP3:初動対応/感染内容の確認
- STEP4:インシデントの社内報告および法令対応
- STEP5:感染範囲の確認と被害の最小化
- STEP6:バックアップからシステムを復旧する(原状回復)
STEP1:感染端末のネットワーク遮断
ランサムウェアは感染端末からネットワークを介して他の端末へと拡散する性質があります。特に社内ファイルサーバや共有ストレージ、ドメイン環境に接続されている場合、被害範囲が指数関数的に拡大する恐れがあります。
そのため、ランサムウェア感染が疑われる場合には、速やかに感染している可能性のある端末をネットワークから切り離すことが必要です。これにより、感染が他のシステムに広がるのを防止し、被害を最小限に抑えることができます。
具体的ネットワーク遮断方法
- 感染が疑われる端末のLANケーブルを物理的に抜く
- Wi-Fi接続をオフにする
- USBストレージや外付けドライブとの接続を遮断
- ファイルサーバ・共有フォルダから強制ログオフを実施
実施しなかった場合、ネットワーク上の他端末や共有資源への感染拡大が進み、全社的なシステム停止や重要データの暗号化といった被害が発生する可能性があります。
STEP2:専門家への相談と対応方針の策定
ランサムウェア感染が発生した場合、感染源や影響範囲の特定、復旧対策の策定、再発防止策の立案など、多岐にわたる作業や施策が必要となります。
これは一企業のシステム担当者だけで適切に対応することは難しいため、フォレンジック調査の専門業者と提携することが非常に重要です。
フォレンジック調査の専門業者は、サイバーセキュリティとデジタルフォレンジックの分野で高度な専門知識と経験を持っており、迅速かつ的確な調査が可能です。さらに、復旧対策や再発防止策の立案などで専門的アドバイスを提供してもらうことも可能です。
特に感染直後に有効な手法が、インシデント対応に用いられるDFIR(Digital Forensics and Incident Response:デジタルフォレンジックとインシデントレスポンス)です。
DFIRは感染の原因や影響範囲を迅速に特定し、インシデント発生時に採用すべき技術や対応を即時に選定することができます。
ただし、DFIRの実行は高度な技術と経験を要するため、フォレンジック調査の専門家に対応を依頼することをおすすめします。
STEP3:初動対応/感染内容の確認
以後の復旧戦略・報告・対外対応の基礎資料となるため、感染状況の詳細把握は不可欠です。特定のランサムウェアファミリーに応じて対処手段が変わる場合もあるため、正確な情報収集が最優先事項となります。
具体的対応
具体的には、どの種類のランサムウェアに感染したのか、どのファイルが暗号化されているのか、暗号化されたファイルの拡張子は何であるのかなどを把握することが大切です。
この調査は専門のフォレンジック調査会社に相談することがおすすめです。
- 暗号化されたファイルの拡張子とディレクトリ構成を確認
- ランサムノート(脅迫文)の内容・連絡先・支払方法を記録
- 感染が発生した時間帯と初期感染端末の特定
- セキュリティログ・アクセスログ・監視ツールの分析開始
実施しなかった場合、原因究明や再発防止策の策定が困難となり、事態が悪化するリスクがあります。また、誤ってデータを削除したり、データの保全が不完全になる恐れもあります。
STEP4:インシデントの社内報告および法令対応
ランサムウェア感染は単なる技術的問題にとどまらず、法令遵守・企業信用・事業継続に直結する重大インシデントです。経営層や関連部署への早期報告が不可欠です。
具体的対応
- セキュリティ担当(CSIRT等)および情報システム部門への報告
- 経営層に対する被害状況・リスク・対処方針の説明
- 個人情報が関係する場合は、個人情報保護委員会への報告を検討
- IPA(独立行政法人情報処理推進機構)への報告も推奨
個人情報保護委員会の通知に、仮に従わないとなると、行政処分を受けたり、損害賠償を請求されたりする可能性があります。また場合によっては社会的な信用が失墜し、事業に支障をきたす可能性もあります。
>>ランサムウェア感染した!企業に求められる被害報告とは?
STEP5:感染範囲の確認と被害の最小化
「最初に見つかった端末」以外にも被害が及んでいる可能性があります。バックドアやスケジューラによる再感染、横展開されたマルウェアなどを放置すれば、復旧後の再侵入も現実的なリスクになります。
フォレンジック調査では、感染の影響範囲を評価することで、他のシステムに感染が広がっていないことを確認することができます。また、必要に応じて、他のシステムも切り離すなどの対策を講じることで、被害を最小化することができます。この作業には、感染源の特定、感染の拡大を防ぐための予防措置の実施、システムの修復・再構築などが含まれます。
STEP6:バックアップからシステムを復旧する(原状回復)
定期的にバックアップを取っていた場合は、データが感染した後でも、感染前の状態にデータを復旧することができます(原状回復)。ただし、バックアップが感染している、もしくはバックアップデータが古すぎる場合は、感染前の状態に復旧することはできません。
また根本的な問題を解決しないままバックアップから復旧すると、再攻撃によって感染するリスクもあり、再発防止が困難となります。これら理由から、感染被害を調査して原因を特定し、適切なセキュリティ対策を講じることが重要です。
感染被害を根絶し、再発を防ぐためには、バックアップからの復旧だけではなく、デジタル端末やネットワークを詳細に解析するフォレンジック調査やセキュリティ強化が必要となります。
\サイバーセキュリティ専門家へ24時間365日で無料相談/
ランサムウェア被害に遭わない為の回避・対策方法17選
ランサムウェア被害に遭わない為の網羅的な対策方法は次のとおりです。安全なオンライン環境を築くためにも、あらかじめ下記の内容を実現しておきましょう。
- データをバックアップする
- 定期的にソフトウェアをアップデートする
- 不審なリンクや添付ファイルを避ける
- パスワードを複雑にして、定期的に変更する。
- メールのフィルタリング機能を活用する
- 不明なUSBメモリを使用しない
- セキュリティ対策ソフトウェアを使用する
- リモートデスクトップ(RDP)のセキュリティポリシーを強化
- VPNの脆弱性診断を行う
- 公衆Wi-Fiへの接続時はVPNを使用する
- 従業員教育・組織内啓発・セキュリティポリシーの策定
- マクロの無効化
- 多要素認証(MFA)の有効化
- ユーザーの権限を制限する
- ホワイトリスト(信頼できるWebサイトリスト)を使用する
- 24時間365日体制でネットワークやデバイスを監視する(SOC)
- 相談先を確保する
①データをバックアップする
ランサムウェア感染に備えるため、定期的なバックアップを行うことが重要です。バックアップをとることで、データが暗号化された場合でも、バックアップからデータを復元できます。なお、バックアップをとる場合は、外部ディスクやクラウドストレージに保存することをおすすめします。
NASのデータを外付けHDDでバックアップする

NAS(Network-Attached Storage)は、ファイル共有、バックアップなどに使用される記憶デバイスです。ただ、NASはランサムウェア攻撃の標的になることも多く、実際に感染すると、データにアクセスできなくなってしまいます。
ランサムウェアによるデータの暗号化や組織運営の機能不全を防ぐためには、NASに保存されたデータを定期的にオフラインの外付けHDDにバックアップすることが重要です。
なお、バックアップの頻度はデータが更新されるたびに行い、かつ複数のバックアップを保管することが推奨されます。バックアップは、ランサムウェア以外の災害からもデータを守るために必要な対策の一つですので、しっかりと実施しましょう。
②定期的にソフトウェアをアップデートする
セキュリティを強化するために、オペレーティングシステム(OS)やソフトウェアを最新のバージョンに保つことが重要です。なぜなら大抵のアップデートにはセキュリティの脆弱性修正が含まれており、攻撃者の突破口を狭める助けとなるからです。
同様に、WEBブラウザやプラグインも最新の状態に保つことが重要です。
③不審なリンクや添付ファイルを避ける
ランサムウェアに感染する原因の多くは、メールの添付ファイルや不正なWebサイトからのダウンロードなどが挙げられます。不審なメールやウェブサイトからリンクや添付ファイルを開かないように注意が必要です。
④パスワードを複雑にして、定期的に変更する
強力なパスワードを使用し、パスワードの定期的な変更は、オンラインセキュリティの基本中の基本です。パスワードは、不正アクセスを防ぐために、長さが十分であることが望ましいです。たとえば英数字や特殊文字を組み合わせることで、より強固なパスワードを作成することができます。
なお、同じパスワードを複数のアカウントで使うことは、セキュリティリスクが高まります。そのため、パスワードマネージャーを使用することをおすすめします。
パスワードマネージャー(パスワード管理ツール)は、複数のアカウントのパスワードを管理し、自動的にパスワードを生成することができます。これにより、パスワードの管理が簡単になり、セキュリティも強化されます。
⑤メールのフィルタリング機能を活用する
ランサムウェアは、スパムメールを通じて侵入することがあります。そのため、スパムメールを自動で判定し、ブロックするフィルタリング機能を導入することが大切です。これにより、ランサムウェアの侵入を防ぎ、安全なメールのやりとりができるようになります。
⑥不明なUSBメモリを使用しない
ランサムウェアは、USBメモリを通じて侵入することがあります。これはランサムウェアがネットワーク上のあらゆる端末に感染するためで、インシデント後に起こりやすいです。
組織内でのUSBメモリの使用については、セキュリティポリシーを策定し、従業員に周知徹底することが必要です。
⑦セキュリティ対策ソフトウェアを使用する
ランサムウェアや他のマルウェアからの保護は、信頼性の高いセキュリティ対策ソフトウェアを導入することが重要です。セキュリティ対策ソフトには、さまざまな種類がありますが、その中でも一般的なソフトウェアには以下のようなものがあります。
- アンチウイルスソフト
- ファイアウォール
- EDR(エンドポイントの検出と応答)
- UTM(統合脅威管理)
これらは入口・内部・出口それぞれのセキュリティを補完する役割を果たします。もちろん、各特性や各要件を理解したうえで、包括的なセキュリティ体制を構築しましょう。
アンチウイルスソフト
アンチウイルスソフトは、最新のウイルスとマルウェアを検出し、コンピュータやネットワークを定期的にスキャンして除去することができます。
しかし、アンチウイルスソフトは万能ではありません。常に新しいマルウェアが開発されており、常にそれらを検出できるようにアップデートする必要があるからです。また、アンチウイルスソフトだけに頼らず、他のセキュリティ対策も講じることも重要です。
ファイアウォール
ファイアウォールは、パソコンやネットワークをハッキングやDoS攻撃などの不正アクセスから保護するセキュリティであり、あらかじめコンピューターやネットワークへのアクセスを許可するルールを定めておくことで、不正アクセスを自動ブロックすることが出来ます。
EDR(エンドポイントの検出と応答)
EDRは、エンドポイントデバイス(PCやサーバーなど)のログやメモリを監視し、ファイアウォールで防ぎきれなかった不正な活動(アクティビティ)や攻撃の検出、セキュリティ上の脅威の分析、侵害されたエンドポイントの隔離などを行うセキュリティデバイスです。
EDRは、不正アクセスが発生後、その事象を検知し、対応するためのシステムであり、不正な内部侵入を受けた後でもスピーディーに対処することが可能です。
UTM(統合脅威管理)
UTMは、さまざまなセキュリティ機能を統合したセキュリティデバイスであり、包括的なセキュリティ対策を提供するために使用されます。
たとえばファイアウォール、侵入検知システム(IDS)、侵入防御システム(IPS)、アンチウイルス、スパムフィルタリングなどの機能を一つの装置で提供しています。
⑧リモートデスクトップ(RDP)のセキュリティを強化
リモートデスクトップのセキュリティポリシーを強化することは、ランサムウェア感染を防止するために重要です。以下にポイントを列挙します。
- 強力なパスワードと2要素認証を採用
- IPフィルタリングやアクセス制限で不正アクセスを防止
- ログイン試行回数を制限し、アカウントのロックアウトを設定
- セッションタイムアウトでセッションを保護
- 定期的なセキュリティパッチとアップデートの適用
- ログ監視とアラートで異常アクティビティを監視
これらの対策を実施することで、リモートデスクトップ環境のセキュリティを強化し、ランサムウェア感染からのリスクを最小限に抑えることができます。
⑨VPNの脆弱性診断を行う
VPN(仮想プライベートネットワーク)は、インターネットを介して通信を暗号化することで、セキュリティを強化するために使用されますが、VPNには脆弱性があるため、定期的な診断が必要です。
VPNの脆弱性診断を行う手順は以下の通りです。
- 脆弱性情報の収集:VPNサービスの脆弱性情報を調査し、最新情報を取得。
- 設定確認:VPNサービスの設定を確認し、適切なセキュリティが実施されているか確認。
- 脆弱性スキャン:脆弱性スキャナーを使ってVPNに対してスキャンを行い、脆弱性を洗い出し。
- 修正対策:脆弱性を修正するための対策を実施。アップデートや設定変更など。
- 再度スキャン:修正後、再度スキャンを実施し、脆弱性が解消されたか確認。
⑩公衆Wi-Fiへの接続時はVPNを使用する
公衆Wi-Fiは一般的にセキュリティが脆弱で、ハッカーによるサイバー攻撃が行われる可能性が高いです。ハッカーは、不正なアプリケーションやソフトウェアを利用して、Wi-Fiを経由して送信されるデータを傍受し、個人情報や機密情報を盗み出すことができます。
必ずVPNを使用して、安全な通信環境を確保するようにしましょう。VPNを使用することで、通信内容が暗号化され、セキュリティが強化されます。
⑪従業員教育・組織内啓発・セキュリティポリシーの策定
従業員に対して、統一的なコンセンサスをとるには、ランサムウェアに対する基本的な知識を教育し、セキュリティポリシーの策定をおこなうことが重要です。
なお、ポリシーには、社員の教育、定期的な監査、情報漏えい時の対応手順などが含まれます。ポリシーを策定する際は、社員や関係者の意見を取り入れ、適切に内容を決定しましょう。また、定期的な監査を実施し、ポリシーの遵守を確認し、違反行為に対して厳しい処分を行うことも重要です。
⑫マクロの無効化
マクロとは、Microsoft Officeなどのアプリケーション内で実行可能な自動化スクリプトです。悪意あるマクロを使用した攻撃が増えているため、標準ではマクロの実行を無効にし、必要な場合は信頼できるソースからのみ有効化することを検討しましょう。
⑬多要素認証(MFA)の導入
多要素認証は、通常のパスワードに加えて、さらに別の認証要素(例: スマートフォンアプリによるコード)を必要とするセキュリティ手法です。これにより、万が一パスワードが漏洩した場合でも、攻撃者がアカウントにアクセスするのを難しくします。
⑭ユーザー権限の制限
原則として、ユーザーには必要最低限の権限のみを割り当てるべきです。管理者権限を持つユーザーが攻撃対象になると、攻撃者による被害が大きくなります。特権の割り当ては慎重に行い、ユーザーごとに適切な制限を設定します。
⑮ホワイトリストの活用
ホワイトリストは、信頼できるとされるWebサイトやアプリケーションのリストです。特定のホワイトリスト以外へのアクセスを制限することで、未知の悪意あるプログラムやサイトからの攻撃を防ぐことができます。ホワイトリストを最新の情報に保つことが重要です。
⑯24時間365日体制でネットワークやデバイスを監視する(SOC)
セキュリティオペレーションセンター(SOC)とは、ネットワークやシステムの異常を監視し、セキュリティインシデントに対応する専門チームです。これは24時間365日体制で監視し、異常なアクティビティや攻撃を早期に検出して対応することが目的です。
SOCの構築においては、まずセキュリティ要件を定め、経験豊かなチームを編成し、次に必要なハードウェア・ソフトウェアを整えます。その後、セキュリティツール(SIEM、IDS、IPSなど)を導入し、堅牢な監視基盤を構築します。なお、運用中に発見した脆弱性や改善の余地を分析し、外部専門家との連携を通じて運用の品質向上に努めましょう。
⑰適切な相談先の確保
セキュリティインシデントが発生した際には、サイバーセキュリティ専門のチームやコンサルタントと連携できる体制を整えることが重要です。専門家のアドバイスや支援を受けながら、迅速な対応を行い、被害を最小限に抑えることが求められます。
特に、フォレンジック調査はこのような状況で非常に有効です。フォレンジック専門家は、攻撃手法や感染経路を詳細に分析・特定します。これにより、攻撃の全容を把握し、将来の対策に生かすことができます。状況をより正確に把握し、迅速な対応を実現するためにも、ぜひフォレンジック専門家への相談を検討してみてください。
\累計46万件の相談実績 24時間365日で無料相談/
ランサムウェア調査・対策を行う場合、専門業者に相談する
サイバー犯罪やマルウェアは絶えず進化している一方、国内の多くの企業ではセキュリティ対策が追い付いていないのが実情です。
ウイルス対策ソフトやUTM等の複数のセキュリティツールを組み合わせただけでは不十分で、実際にランサムウェア感染やマルウェアによる情報漏洩被害が発生した際の対応も見越した対策でなければ有効とは言えません。
適切な対策を行うには、サイバーインシデントの対応経験も豊富なセキュリティの専門家に相談することが極めて重要です。専門家のノウハウを活用することで、最新の動向と自社の予算・規模にあわせたセキュリティ対策を構築し、マルウェア・ランサムウェア感染、不正アクセスによる情報漏洩を未然に防いだり、緊急時の相談先とすることができます。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分でWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広いインシデント対応経験、セキュリティ対策の構築経験を持つ専門担当とエンジニアが対応させていただきます。
\サイバーセキュリティ専門家に24時間365日で無料相談可能/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。