ランサムウェアに感染したらどうする？予防から復旧までの対策【情シス向け】

ランサムウェアに感染したらどうする？対策や復旧・予防の対策を情シス向けに解説

ランサムウェアに感染した場合、会社に大きな損害を与える可能性があります。具体的には、業務の停止や機密情報の漏えいが起こり、さらには多額の金銭的な被害を被ることもあります。

この記事では、ランサムウェアの感染を防ぐための具体的な方法について解説します。ランサムウェアへの対策を講じることで、被害のリスクを大幅に軽減することが可能です。ぜひ参考にしてください。

Cloud Mail SECURITYSUITEのサービス資料を受け取る

ランサムウェアとは
ランサムウェアに感染したらどんな症状が出る？
ランサムウェアの感染によるリスク
ランサムウェアに感染した後にやってはいけないこと
ランサムウェアに感染した場合の対策
ランサムウェアの感染から復旧する方法
ランサムウェアの感染を防止する方法
まとめ

ランサムウェアとは

ランサムウェアは、金銭を要求する目的で設計されたマルウェアの一種です。この不正なプログラムは、「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせた造語に由来しています。

感染したデバイス内のデータを暗号化し、復元するための身代金を要求するのが特徴です。

ランサムウェアに感染したらどんな症状が出る？

ランサムウェアに感染すると、デバイスやネットワーク上で深刻な問題が発生します。代表的な症状の一つは、データの暗号化です。また、システムやネットワークのパスワードが勝手に変更され、被害者が重要なデータやシステムにアクセスできない状況に陥るケースもあります。

さらに、ランサムウェアには潜伏期間を設けるタイプもあります。約15日程度の間、システム内に潜伏して被害を拡大させる準備を行います。その後、攻撃が開始されます。

ランサムウェアの感染によるリスク

ランサムウェアに感染すると、企業は多大なリスクを負うことになります。ここでは、ランサムウェア感染による主なリスクを解説します。

業務不能になる

ランサムウェア感染の最も深刻な影響の一つは、業務の停止です。感染により自社のデータやシステムにアクセスできなくなると、業務が全面的に停止し、売上が大幅に減少します。さらに、システム復旧の費用や調査・封じ込めのコストも発生します。

また、システムの復旧作業や広報対応、社内の関連部門による対応も必要となり、人的リソースが大幅に消耗します。場合によっては、データの復旧が不可能である場合もあり、新たに機器を入れ替えるなどの対応を余儀なくされることもあります。

顧客のデータが流出する

ランサムウェアの感染により、サーバやパソコンに保存されているデータが盗まれるリスクがあります。

特に、顧客の個人情報や取引先との機密情報が流出した場合、企業の信頼が大きく損なわれる可能性があります。データの流出が明るみに出れば、被害者からの問い合わせ対応などに追われることになり、企業運営に多大な負担を与えます。

法的な責任を負う

ランサムウェア感染によるデータ漏えいが発生した場合、企業は法的責任を負うことになります。

日本国内では、個人情報保護法に基づく行政指導や勧告を受ける場合があります。また、海外の取引先が関与する場合、GDPR（一般データ保護規則）などの厳しい規制に違反し、高額な罰則を科される可能性もあります。

取引先からの信頼を失う

ランサムウェア感染による業務停止やデータ漏えいは、取引先からの信頼を失う大きな要因となります。

感染による事業の停止は、取引先に迷惑をかけることにもつながり、企業間の関係悪化や契約解除のリスクも考えられます。

ランサムウェアに感染した後にやってはいけないこと

ランサムウェアに感染した場合、冷静に対応することが被害を最小限に抑えるポイントですが、一方で取るべきではない行動もあります。ここでは、感染後に絶対に避けるべき行動について解説します。

再起動をする

ランサムウェアに感染した直後、端末を再起動するのは避けるべきです。再起動によってランサムウェアのプロセスが再開され、さらにデータが暗号化されてしまう可能性があります。

そのため、適切な対応としては、端末を強制終了するのではなく、現在のメモリ内容を保持できるハイバネーション（休止状態）を利用することが推奨されます。

身代金を支払う

ランサムウェア感染時、攻撃者から要求される身代金の支払いには応じてはいけません。

身代金を支払ったとしても、必ずしもデータが復旧される保証はなく、むしろ攻撃者にさらなる金銭を要求されるリスクを高めることになります。また、支払いが確認されることで、再びターゲットにされる可能性もあります。

攻撃者と直接交渉する

感染後に攻撃者と直接交渉を試みることも、避けるべき行動の1つです。

サイバー攻撃に関する専門知識がない場合、攻撃者に不利な条件を提示され、それを飲まされるリスクが高まります。さらに、直接交渉が原因で漏えいした情報が悪用され、被害が拡大する可能性もあります。

ランサムウェアに感染した場合の対策

企業や組織の内部ネットワークがランサムウェアに感染した場合、業務停止や情報漏えいといった大規模な被害につながる恐れがあります。感染後の対応としては、迅速かつ的確な行動が求められます。

被害を受けた場合、まずは被害の報告と相談を行い、現状を把握した上で対応方針を決定することが重要です。具体的な対応方法については、信頼できるセキュリティ専門家や公的機関の指示を仰ぎ、対策を講じる必要があります。

ここからは、一般的な対応策について具体的に解説します。

参考：侵入型ランサムウェア攻撃を受けたら読むFAQ

ケーブルなどを切断し、ネットワークから切り離す

ランサムウェア感染が確認された場合、最初に行うべき対応は、ネットワークから感染したデバイスを切り離すことです。

有線接続の場合はケーブルを外し、無線LANを使用している場合はWi-Fiをオフにすることで、感染の拡大を防止します。

警察に連絡する

ランサムウェア感染は犯罪行為の一環であるため、被害を確認したら速やかに警察へ連絡しましょう。

また、サイバーセキュリティの専門家にも相談し、適切な助言を受けることで、今後の対応方針を明確にすることも重要です。

感染状態や原因の調査を実施する

次に行うべきは、ランサムウェアの感染状況や原因を特定する調査です。

感染したデバイスやサーバを詳しく調査し、どのような手口でランサムウェアが侵入したのかを明らかにします。この調査により、どのシステムが影響を受けているのか、攻撃の侵入口はどこかといった情報を把握できます。

復旧の基本方針を指示する

調査結果に基づき、復旧の基本方針を決定します。この際、感染原因への対処を優先し、その後にシステムの復旧やファイルの復元を進めるのが一般的です。

攻撃の原因を解決しないまま復旧作業を行うと、再び感染のリスクにさらされる可能性があるためです。

ランサムウェアの感染から復旧する方法

ランサムウェアの感染から復旧する方法を4つ解説します。

システムを復旧する

ランサムウェアに感染した場合、まずシステムの復旧を検討します。具体的には、現在のOS設定やインストールされているソフトウェアを完全に削除し、クリーンな状態から再設定を行います。

ドライバやアプリケーションを初期化することで、ランサムウェアが残存している可能性を排除し、システムを安全な状態に戻すことができます。

バックアップから復旧する

ランサムウェア感染に備えて定期的にバックアップを取っている場合、そのデータを利用して復旧を行うことができます。

特に、ネットワークから切り離された状態で保管されたバックアップデータであれば、安全に復旧を進めることが可能です。また、メール環境の変更や監査の対応が必要な場合には、長期保管や監査対応が可能なメールアーカイブサービスが役立ちます。

なお、サイバーソリューションズの「ENTERPRISEAUDIT Σ（エンタープライズオーディットシグマ）」は、EメールやTeamsに対応したアーカイブ・監査サービスです。データの安全な長期保管と迅速な復旧に対応しています。

ENTERPRISEAUDIT Σ ーEメールとTeamsに対応したアーカイブ・監査サービス

無償のツールで復旧する

セキュリティ会社が提供する無償ツールを活用することで、ランサムウェア感染の特定や一部の感染原因の除去が可能な場合があります。

ただし、利用前に、提供元が信頼できるか確認することが重要です。

「No More Ransom」を使用する

「No More Ransom」は、複数のセキュリティ対策ソフトウェアベンダが共同で運営するWebサイトで、ランサムウェア被害者の支援を目的としています。

また、このサイトでは、ランサムウェアの種類を特定し、対応可能な復号ツールを提供しています。

ランサムウェアの感染を防止する方法

ランサムウェア感染を防ぐためには、日頃からのセキュリティ対策が不可欠です。企業や組織のデータを守るために、具体的な防止策を以下で解説します。

認証を強化する

まず、パスワードには推測されにくい文字列を設定することが重要です。長さを確保し、アルファベットの大文字と小文字、数字、記号を組み合わせた複雑なパスワードを使用しましょう。

さらに、多要素認証（MFA）やシングルサインオン（SSO）を取り入れることで、セキュリティを大幅に強化できます。

アップデートで最新の状態を保つ

使用しているOSやソフトウェアを常に最新の状態に保つことも、感染防止に効果的です。

アップデートを適切に行うことで、プログラムの脆弱性を修正し、新しいセキュリティ機能を導入できます。特に、ランサムウェアの感染経路となりやすいVPN機器については、定期的なアップデートが欠かせません。

セキュリティ対策ソリューションの導入やサイバー保険への加入を検討する

ランサムウェア対策には、総合的なセキュリティソリューションの導入と運用が重要です。ソリューションにより、侵入や特権ID奪取などの対策ができます。

また、万が一の被害に備えてサイバー保険への加入も検討しましょう。サイバー保険は、損害賠償責任や対応費用、喪失利益を補償し、被害後の迅速な復旧をサポートします。防止策とリスク管理を組み合わせることで、万全な体制がつくられます。

まとめ

ランサムウェアは、企業の業務や信用を脅かす深刻な脅威です。感染を防ぐためには、セキュリティ対策ソリューションの導入や定期的なシステム更新、認証の強化が欠かせません。また、万が一感染した場合は、ネットワークから切り離し、専門家や警察に相談することで被害を最小限に抑えることが可能です。

また、メールセキュリティの強化をお考えなら、「Cloud Mail SECURITYSUITE」をご検討ください。「Microsoft 365」や「Google Workspace」を補完する日本企業向けのセキュリティ機能をオールインワンで提供します。必要な機能を低コストで導入でき、脅威防御や標的型攻撃対策を月額200円で利用可能です。ランサムウェア対策にぜひご活用ください。