ランサムウェアに感染したら、データ漏えいによる信用失墜や業務停止による経済的損失など、多方面に深刻な被害をもたらす可能性があります。このような被害を未然に防ぐためにも、適切なランサムウェア対策を実施することが重要です。もしランサムウェアに感染してしまった場合は、すぐにフォレンジック調査会社に相談しましょう。

本記事では、ランサムウェアの対処法をはじめ、感染しないための方法まで詳しく紹介しています。ランサムウェアの包括的な対策として、ぜひ参考にしてください。

＼サイバーセキュリティ専門家へ24時間365日無料相談／

ランサムウェア感染時の対処法6ステップ

ランサムウェアに感染したとき、どんなに焦っていても「正しい順番と判断」ができるかどうかで、被害の規模が大きく変わります。
ここでは、「なぜそれが必要なのか」まで踏み込んだ6ステップの対応法を解説します。

STEP1：感染端末のネットワーク遮断

ランサムウェアは感染端末からネットワークを介して他の端末へと拡散する性質があります。特に社内ファイルサーバや共有ストレージ、ドメイン環境に接続されている場合、被害範囲が指数関数的に拡大する恐れがあります。

そのため、ランサムウェア感染が疑われる場合には、速やかに感染している可能性のある端末をネットワークから切り離すことが必要です。これにより、感染が他のシステムに広がるのを防止し、被害を最小限に抑えることができます。

具体的ネットワーク遮断方法

1. 感染が疑われる端末のLANケーブルを物理的に抜く
2. Wi-Fi接続をオフにする
3. USBストレージや外付けドライブとの接続を遮断
4. ファイルサーバ・共有フォルダから強制ログオフを実施

実施しなかった場合、ネットワーク上の他端末や共有資源への感染拡大が進み、全社的なシステム停止や重要データの暗号化といった被害が発生する可能性があります。

STEP2：専門家への相談と対応方針の策定

ランサムウェア感染が発生した場合、感染源や影響範囲の特定、復旧対策の策定、再発防止策の立案など、多岐にわたる作業や施策が必要となります。

これは一企業のシステム担当者だけで適切に対応することは難しいため、フォレンジック調査の専門業者と提携することが非常に重要です。

フォレンジック調査の専門業者は、サイバーセキュリティとデジタルフォレンジックの分野で高度な専門知識と経験を持っており、迅速かつ的確な調査が可能です。さらに、復旧対策や再発防止策の立案などで専門的アドバイスを提供してもらうことも可能です。

特に感染直後に有効な手法が、インシデント対応に用いられるDFIR（Digital Forensics and Incident Response：デジタルフォレンジックとインシデントレスポンス）です。

DFIRは感染の原因や影響範囲を迅速に特定し、インシデント発生時に採用すべき技術や対応を即時に選定することができます。

ただし、DFIRの実行は高度な技術と経験を要するため、フォレンジック調査の専門家に対応を依頼することをおすすめします。

STEP3：初動対応／感染内容の確認

以後の復旧戦略・報告・対外対応の基礎資料となるため、感染状況の詳細把握は不可欠です。特定のランサムウェアファミリーに応じて対処手段が変わる場合もあるため、正確な情報収集が最優先事項となります。

具体的対応

具体的には、どの種類のランサムウェアに感染したのか、どのファイルが暗号化されているのか、暗号化されたファイルの拡張子は何であるのかなどを把握することが大切です。

この調査は専門のフォレンジック調査会社に相談することがおすすめです。

• 暗号化されたファイルの拡張子とディレクトリ構成を確認
• ランサムノート（脅迫文）の内容・連絡先・支払方法を記録
• 感染が発生した時間帯と初期感染端末の特定
• セキュリティログ・アクセスログ・監視ツールの分析開始

実施しなかった場合、原因究明や再発防止策の策定が困難となり、事態が悪化するリスクがあります。また、誤ってデータを削除したり、データの保全が不完全になる恐れもあります。

STEP4：インシデントの社内報告および法令対応

ランサムウェア感染は単なる技術的問題にとどまらず、法令遵守・企業信用・事業継続に直結する重大インシデントです。経営層や関連部署への早期報告が不可欠です。

具体的対応

• セキュリティ担当（CSIRT等）および情報システム部門への報告
• 経営層に対する被害状況・リスク・対処方針の説明
• 個人情報が関係する場合は、個人情報保護委員会への報告を検討
• IPA（独立行政法人情報処理推進機構）への報告も推奨

個人情報保護委員会の通知に、仮に従わないとなると、行政処分を受けたり、損害賠償を請求されたりする可能性があります。また場合によっては社会的な信用が失墜し、事業に支障をきたす可能性もあります。
＞＞ランサムウェア感染した！企業に求められる被害報告とは？

STEP5：感染範囲の確認と被害の最小化

「最初に見つかった端末」以外にも被害が及んでいる可能性があります。バックドアやスケジューラによる再感染、横展開されたマルウェアなどを放置すれば、復旧後の再侵入も現実的なリスクになります。

フォレンジック調査では、感染の影響範囲を評価することで、他のシステムに感染が広がっていないことを確認することができます。また、必要に応じて、他のシステムも切り離すなどの対策を講じることで、被害を最小化することができます。この作業には、感染源の特定、感染の拡大を防ぐための予防措置の実施、システムの修復・再構築などが含まれます。

STEP6：バックアップからシステムを復旧する（原状回復）

定期的にバックアップを取っていた場合は、データが感染した後でも、感染前の状態にデータを復旧することができます（原状回復）。ただし、バックアップが感染している、もしくはバックアップデータが古すぎる場合は、感染前の状態に復旧することはできません。

また根本的な問題を解決しないままバックアップから復旧すると、再攻撃によって感染するリスクもあり、再発防止が困難となります。これら理由から、感染被害を調査して原因を特定し、適切なセキュリティ対策を講じることが重要です。

感染被害を根絶し、再発を防ぐためには、バックアップからの復旧だけではなく、デジタル端末やネットワークを詳細に解析するフォレンジック調査やセキュリティ強化が必要となります。

＼サイバーセキュリティ専門家へ24時間365日で無料相談／

 

ランサムウェア被害に遭わない為の回避・対策方法17選

ランサムウェア被害に遭わない為の網羅的な対策方法は次のとおりです。安全なオンライン環境を築くためにも、あらかじめ下記の内容を実現しておきましょう。

①データをバックアップする

ランサムウェア感染に備えるため、定期的なバックアップを行うことが重要です。バックアップをとることで、データが暗号化された場合でも、バックアップからデータを復元できます。なお、バックアップをとる場合は、外部ディスクやクラウドストレージに保存することをおすすめします。

NASのデータを外付けHDDでバックアップする

NAS（Network-Attached Storage）は、ファイル共有、バックアップなどに使用される記憶デバイスです。ただ、NASはランサムウェア攻撃の標的になることも多く、実際に感染すると、データにアクセスできなくなってしまいます。

ランサムウェアによるデータの暗号化や組織運営の機能不全を防ぐためには、NASに保存されたデータを定期的にオフラインの外付けHDDにバックアップすることが重要です。

なお、バックアップの頻度はデータが更新されるたびに行い、かつ複数のバックアップを保管することが推奨されます。バックアップは、ランサムウェア以外の災害からもデータを守るために必要な対策の一つですので、しっかりと実施しましょう。

②定期的にソフトウェアをアップデートする

セキュリティを強化するために、オペレーティングシステム（OS）やソフトウェアを最新のバージョンに保つことが重要です。なぜなら大抵のアップデートにはセキュリティの脆弱性修正が含まれており、攻撃者の突破口を狭める助けとなるからです。

同様に、WEBブラウザやプラグインも最新の状態に保つことが重要です。

③不審なリンクや添付ファイルを避ける

ランサムウェアに感染する原因の多くは、メールの添付ファイルや不正なWebサイトからのダウンロードなどが挙げられます。不審なメールやウェブサイトからリンクや添付ファイルを開かないように注意が必要です。

④パスワードを複雑にして、定期的に変更する

強力なパスワードを使用し、パスワードの定期的な変更は、オンラインセキュリティの基本中の基本です。パスワードは、不正アクセスを防ぐために、長さが十分であることが望ましいです。たとえば英数字や特殊文字を組み合わせることで、より強固なパスワードを作成することができます。

なお、同じパスワードを複数のアカウントで使うことは、セキュリティリスクが高まります。そのため、パスワードマネージャーを使用することをおすすめします。

パスワードマネージャー（パスワード管理ツール）は、複数のアカウントのパスワードを管理し、自動的にパスワードを生成することができます。これにより、パスワードの管理が簡単になり、セキュリティも強化されます。

⑤メールのフィルタリング機能を活用する

ランサムウェアは、スパムメールを通じて侵入することがあります。そのため、スパムメールを自動で判定し、ブロックするフィルタリング機能を導入することが大切です。これにより、ランサムウェアの侵入を防ぎ、安全なメールのやりとりができるようになります。

⑥不明なUSBメモリを使用しない

ランサムウェアは、USBメモリを通じて侵入することがあります。これはランサムウェアがネットワーク上のあらゆる端末に感染するためで、インシデント後に起こりやすいです。

組織内でのUSBメモリの使用については、セキュリティポリシーを策定し、従業員に周知徹底することが必要です。

⑦セキュリティ対策ソフトウェアを使用する

ランサムウェアや他のマルウェアからの保護は、信頼性の高いセキュリティ対策ソフトウェアを導入することが重要です。セキュリティ対策ソフトには、さまざまな種類がありますが、その中でも一般的なソフトウェアには以下のようなものがあります。

• アンチウイルスソフト
• ファイアウォール
• EDR（エンドポイントの検出と応答）
• UTM（統合脅威管理）

これらは入口・内部・出口それぞれのセキュリティを補完する役割を果たします。もちろん、各特性や各要件を理解したうえで、包括的なセキュリティ体制を構築しましょう。

セキュリティソフトによる多層防御についてはこちら

アンチウイルスソフト

アンチウイルスソフトは、最新のウイルスとマルウェアを検出し、コンピュータやネットワークを定期的にスキャンして除去することができます。

しかし、アンチウイルスソフトは万能ではありません。常に新しいマルウェアが開発されており、常にそれらを検出できるようにアップデートする必要があるからです。また、アンチウイルスソフトだけに頼らず、他のセキュリティ対策も講じることも重要です。

ファイアウォール

EDR（エンドポイントの検出と応答）

EDRは、エンドポイントデバイス（PCやサーバーなど）のログやメモリを監視し、ファイアウォールで防ぎきれなかった不正な活動（アクティビティ）や攻撃の検出、セキュリティ上の脅威の分析、侵害されたエンドポイントの隔離などを行うセキュリティデバイスです。

EDRは、不正アクセスが発生後、その事象を検知し、対応するためのシステムであり、不正な内部侵入を受けた後でもスピーディーに対処することが可能です。

UTM（統合脅威管理）

UTMは、さまざまなセキュリティ機能を統合したセキュリティデバイスであり、包括的なセキュリティ対策を提供するために使用されます。

たとえばファイアウォール、侵入検知システム（IDS）、侵入防御システム（IPS）、アンチウイルス、スパムフィルタリングなどの機能を一つの装置で提供しています。

⑧リモートデスクトップ（RDP）のセキュリティを強化

⑨VPNの脆弱性診断を行う

VPN（仮想プライベートネットワーク）は、インターネットを介して通信を暗号化することで、セキュリティを強化するために使用されますが、VPNには脆弱性があるため、定期的な診断が必要です。

VPNの脆弱性診断を行う手順は以下の通りです。

1. 脆弱性情報の収集：VPNサービスの脆弱性情報を調査し、最新情報を取得。
2. 設定確認：VPNサービスの設定を確認し、適切なセキュリティが実施されているか確認。
3. 脆弱性スキャン：脆弱性スキャナーを使ってVPNに対してスキャンを行い、脆弱性を洗い出し。
4. 修正対策：脆弱性を修正するための対策を実施。アップデートや設定変更など。
5. 再度スキャン：修正後、再度スキャンを実施し、脆弱性が解消されたか確認。

⑩公衆Wi-Fiへの接続時はVPNを使用する

公衆Wi-Fiは一般的にセキュリティが脆弱で、ハッカーによるサイバー攻撃が行われる可能性が高いです。ハッカーは、不正なアプリケーションやソフトウェアを利用して、Wi-Fiを経由して送信されるデータを傍受し、個人情報や機密情報を盗み出すことができます。

必ずVPNを使用して、安全な通信環境を確保するようにしましょう。VPNを使用することで、通信内容が暗号化され、セキュリティが強化されます。

⑪従業員教育・組織内啓発・セキュリティポリシーの策定

従業員に対して、統一的なコンセンサスをとるには、ランサムウェアに対する基本的な知識を教育し、セキュリティポリシーの策定をおこなうことが重要です。

なお、ポリシーには、社員の教育、定期的な監査、情報漏えい時の対応手順などが含まれます。ポリシーを策定する際は、社員や関係者の意見を取り入れ、適切に内容を決定しましょう。また、定期的な監査を実施し、ポリシーの遵守を確認し、違反行為に対して厳しい処分を行うことも重要です。

ランサムウェア調査・対策を行う場合、専門業者に相談する