ランサムウェアに感染した場合、被害を最小限に抑えるためには迅速な対応が必要です。
本記事では、ランサムウェアに感染した際の正しい初期対応や、標的となったデータの復旧方法について解説します。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
目次
ランサムウェアとは?
まずは、ランサムウェアとはどのようなものなのか、概要から解説します。
データを人質に身代金を要求するマルウェア
ランサムウェアとは、データを使用不可な状態にして、元通りにする代わりに身代金を要求することを目的としたマルウェアです。
マルウェアとは、ターゲットに損害を与えることを目的とした悪意のあるソフトウェアのことを指します。
関連記事:ランサムウェアとは?感染経路と被害の状況、対策をわかりやすく解説
関連記事:マルウェアとは?種類、脅威や影響、必要な対策をわかりやすく解説
増加する「標的型ランサムウェア」
従来のランサムウェアは、不特定多数をターゲットとして攻撃を仕掛けるタイプでした。しかし、近年は、特定の企業や組織をターゲットとする「標的型ランサムウェア」の被害が増加しています。
標的型ランサムウェアによる攻撃では、まずターゲットにマルウェアが仕込まれたメールが送られてくるケースが多く見られます。メールを受け取った側が添付ファイルを開いたり、偽サイトのURLをクリックしたりすることで感染する仕組みです。
ランサムウェアに感染するとどうなる?
国内でも、ランサムウェアによる被害事例が度々報告されています。ランサムウェアに感染すると、具体的にどのようなことが起こるのでしょうか?
ランサムウェアには潜伏期間がある
ランサムウェアは、感染してすぐに攻撃を開始するわけではなく、潜伏期間があります。
ランサムウェアの潜伏期間は15~25日程度で、感染が十分に広がってから攻撃を開始するケースが大半です。
ランサムウェアに感染した場合の主な症状
ランサムウェアに感染すると、主に以下のような症状が現れます。
・データが暗号化され、不明な拡張子が追加される
・パスワードが変更される
・身代金の要求メッセージが表示される
・画面がロックされる
企業にとってランサムウェア対策が重要な理由
ランサムウェア攻撃を受けると、たとえ身代金を支払わなかったとしても、金銭的損失が生じる恐れがあります。ダメージを最小限に抑えるためには、被害を未然に防ぐ対策を講じることが重要です。
より具体的な理由としては、以下のようなものが挙げられます。
業務やサービスを停止させないため
ランサムウェアの攻撃を受けるとデータが暗号化され、ファイルを開けなくなったり、画面がロックされたりと、業務に支障が出る可能性があります。
もしも基幹システムや社内システムにまで感染が及べば、事態はさらに深刻となり、サービス停止にまで追い込まれかねません。
暗号化されたデータの復旧には、費用が発生します。また、業務やサービスの停止期間が長引くほど、機会損失により本来得られた利益も失われてしまうでしょう。
情報漏えいを防ぐため
ランサムウェアを使った攻撃のなかには、機密情報の暴露を脅迫材料として、身代金を要求するケースもあります。ターゲットを脅すため、盗んだデータの一部を攻撃者が自身のWebサイトに公開することもあるでしょう。
このように、ランサムウェア攻撃を受けると、機密データや個人情報の漏えいリスクが高まります。重要情報が漏えいしてしまえば、顧客や取引先から損害賠償を請求される恐れもあります。
関連記事:情報漏洩とは?原因やリスクと企業が取るべき対策をわかりやすく解説
企業としての信頼を維持するため
ランサムウェア攻撃による情報漏えいやサービス停止は、取引先や顧客にも影響を及ぼしかねません。実際に、ターゲットの取引先や顧客にまで攻撃の手が及んだ例もあるので、くれぐれも注意が必要です。
また、問題の解消に時間がかかれば、社会的信頼の失墜やイメージダウンにつながる可能性もあります。無事に復旧できたとしても、その後の営業活動へのマイナスの影響や、収益低下の懸念は残り続けるでしょう。
ランサムウェア感染時における初期対応の注意点
ランサムウェアによる被害を最小限に抑えるためには、初期対応において次のようなポイントに注意することが大切です。
身代金は支払わない
攻撃者の要求通りに身代金を支払ったとしても、攻撃者が約束を守ってデータを復旧するとは限りません。
要求がエスカレートしたり、再攻撃のリスクが高まったりと、かえって状況が悪化する可能性もあるため、身代金は支払わないようにしましょう。
ネットワークから遮断する
感染したことに気づいたら、即座にデバイスやシステムをネットワークから遮断することが大切です。
感染源をネットワークに接続したままにしていると、ほかのデバイスやシステムにも被害が拡大するリスクがあります。
例えば、有線接続ならLANケーブルを取り外す、無線接続ならWi-Fiをオフにするなどして、ネットワークからの遮断を試みましょう。
デバイスをシャットダウン・再起動しない
感染に気づいたときに慌ててデバイスをシャットダウンしてしまうと、マルウェアの痕跡がなくなり、侵入経路や被害範囲の調査が困難になります。また、シャットダウンにより暗号化が進むタイプのランサムウェアも存在します。
感染に気づいたらデバイスを強制終了するのではなく、ネットワークからの遮断を試みましょう。すでにシャットダウンしている場合は、止まっていた暗号化が再開する可能性があるので、そのまま再起動しない方が得策です。
個人で復旧を試みないよう周知する
ランサムウェアに感染した際、感染したデバイスの持ち主が個人でデータ復旧を試みることは危険です。データの復旧には高度な専門知識が必要なので、必ずセキュリティ担当者や専門業者に相談するよう、従業員に周知しましょう。
相談先としては、各都道府県警察の「サイバー事案に関する相談窓口」やIPA(情報処理推進機構)の「情報セキュリティ安心相談窓口」などもあります。
※参考:サイバー事案に関する相談窓口
※参考:情報セキュリティ安心相談窓口 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
ランサムウェアに感染したデータを復旧する3つの方法
ランサムウェアに感染したら、まずは専門家に相談することが大切です。
専門家の指示に従ったうえで、以下のような方法を試みるとデータを復旧できる可能性があります。
1.「The No More Ransom Project」を利用する
「The No More Ransom Project」は、オランダ警察やユーロポール(欧州警察機関)などが共同で運営する国際プロジェクトです。
感染したランサムウェアの種類を特定して、該当する復号ツールがある場合はサイト上で入手できます。ただし、全種類に対応しているわけではなく、あくまで感染したランサムウェアの復号ツールがある場合のみに利用できます。
2.バックアップから復旧する
あらかじめバックアップをとっていた場合は、バックアップデータを利用して復旧することが可能です。ただし、感染後に取得したものやネットワーク上に保管しているものについては、バックアップデータにもランサムウェアが潜んでいる可能性があるので注意しましょう。
また、ネットワーク上のランサムウェアを完全に除去しないと、データを復旧しても再び感染してしまう恐れがあります。バックアップデータが安全であること、ネットワークからランサムウェアを除去したことを必ず確認してから、復旧を試みましょう。
なお、バックアップからの復旧の具体的なやり方は、OSにより異なります。
3.セキュリティベンダーのツールを使用して復旧する
セキュリティベンダーによっては、無償の復旧ツールを提供している場合もあります。
ただし、ツールを使用しても必ず復旧できるとは限らないので注意しましょう。
データの復旧にかかる費用や時間の目安
ここからは、データの復旧にかかる費用や時間について解説します。
データ復旧費用
警察庁が2024年に公表した「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア被害の復旧に要した費用については、「1,000万円以上5,000万円未満」と回答した企業が最も多いという結果となりました。
| 100万円未満 | 12件 |
| 100万円以上500万円未満 | 10件 |
| 500万円以上1,000万円未満 | 4件 |
| 1,000万円以上5,000万円未満 | 13件 |
| 5,000万円以上1億円未満 | 5件 |
| 1億円以上 | 4件 |
復旧費用は100万円未満と回答した企業も多いものの、1,000万円以上と回答した企業の割合が全体の45.8%に上ることが分かります。
※参考:令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁
時間
警察庁の同公表によると、ランサムウェア被害の復旧に要した時間は、「現在も復旧中」と答えた企業を除き、「即時〜1週間未満」という回答が最も多いという結果になりました。
| 即時~1週間未満 | 19件 |
| 1週間~1か月未満 | 15件 |
| 1か月~2か月未満 | 6件 |
| 2か月以上 | 4件 |
| 復旧中 | 21件 |
上記より、復旧に要する時間はばらつきが大きいことが分かります。例えば「社労夢シリーズ」などを提供する株式会社エムケイシステムがランサムウェアによる不正アクセス被害を受けた際は、サービス再開までおよそ1か月かかりました。
※参考:令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁
ランサムウェアの再感染に備えるには
データの復旧に成功したあとは、以下のような施策を通じてランサムウェアの再感染に備えることが大切です。
セキュリティツールの導入
ランサムウェア対策には、セキュリティツールの導入が不可欠です。
セキュリティツールは、ランサムウェアの感染を防ぐツールと、感染された場合の被害を抑えるためのツールの2種類に大別されます。ツールにより必ず被害を食い止められるわけではありませんが、複数のツールを活用して対策を強化するという方法もあります。
関連記事:標的型攻撃メールを防御!失敗しないメールセキュリティ対策の選び方
OSやソフトウェアを最新の状態に保つ
OSやソフトウェアが最新でないと、攻撃者に技術的な脆弱性を突かれやすくなります。
OSやソフトウェアの更新情報がきたら、速やかにアップデートしましょう。
バックアップの取得
万が一ランサムウェアに感染しても、バックアップデータがあればそこから復旧を試みることが可能です。
直前の状態に戻せるよう、なるべくこまめにバックアップを作成しましょう。また、バックアップデータがランサムウェアに狙われないよう、接続を分離したクラウドストレージやオフライン環境への保存がおすすめです。
従業員のセキュリティ意識を高める
サイバー攻撃による被害を防ぐためには、従業員のセキュリティ意識を高めることも重要です。セキュリティ対策の重要性について社内へ周知し、感染するリスクや被害事例などを伝えましょう。
また、感染した場合の対応フローも構築し、周知することも大切です。
ランサムウェア対策なら「Cloud Mail SECURITYSUITE」
電子メールがマルウェアの感染経路となり、サイバー攻撃を受けるケースは多くあります。メールのセキュリティ対策を高めるなら、Cloud Mail SECURITYSUITEをご活用ください。
メールのセキュリティ強化をオールインワンでサポート
Cloud Mail SECURITYSUITEには、2段階のウイルスチェックが標準搭載されています。
ウイルス対策はもちろん、スパム対策やフィッシング対策も可能です。ほかにも誤送信対策やアドレス流出の防止などにも対応し、メールのセキュリティ強化をオールインワンでサポートします。
必要な機能だけを選んで利用できる
充実した機能のなかから、必要なものを、必要なだけ選んでご利用いただけます。
利用料金は月々200円(1アカウントあたり)からと低コストで、コストパフォーマンスに優れている点も特徴です。
まとめ
ランサムウェア攻撃により情報漏えいが起こったり、業務停止に陥ったりすると、企業にとっては大きなダメージとなります。万が一、感染した場合は焦らず専門家に相談し、データの復旧を試みましょう。
メールをきっかけとしたランサムウェア感染を対策するなら、「Cloud Mail SECURITYSUITE」の導入をご検討ください。ウイルス対策やスパム対策をはじめ、誤送信対策やコンプライアンス対策など充実の機能を備えています。必要な機能だけを選び、月々200円からの低コストでご利用いただけます。
