「もしかしたらランサムウェアに感染したかもしれない」
「ランサムウェアに感染したらどうすればいいの?」
など、ランサムウェアの被害に遭った時の適切な対応方法が知りたい方はいませんか?
ランサムウェアに感染したら、「早急」に「適切」な対処を講じなければ、被害があっという間に拡大し、取り返しがつなかい事態になりかねません。
また、最初に覚えておくべきことは、「絶対に身代金の要求には応じないこと」です。
身代金を支払ったとしても、暗号化されたデータを回復できたり、個人情報が漏洩しないということはありません。
この記事では、
- ランサムウェア感染・被害時の初動対応10ステップ
- ランサムウェアで狙われやすい業種・企業の特徴
- ランサムウェアの被害に遭わないための予防策5つ
などを解説していきます。
パソコンの画面に突然「ファイルが暗号化されました」というメッセージが表示されたら、本記事を参考にして早急に適切な対応を行いましょう。
目次
すぐに対処を!ランサムウェア感染・被害時の初動対応10ステップ
「ファイルが暗号化されました」「元に戻したければお金を払え」というメッセージが突然表示されたら、それはランサムウェアに感染したサインかもしれません。
ランサムウェアとは、ファイルを勝手に暗号化(鍵をかけて読めなくする)し、回復することと引き換えに身代金を要求してくるサイバー攻撃です。
ランサムウェアに感染してしまった場合、最初の数分間の行動がその後の被害の大きさを左右します。
パニックにならず、次の10ステップを順番に実行してください。
- 【ステップ1】ネットワークから完全に遮断する(最優先)
- 【ステップ2】接続している周辺機器をすべて外す
- 【ステップ3】電源は切らずにそのままにする
- 【ステップ4】すぐに情報セキュリティ担当者や上司に連絡する
- 【ステップ5】証拠を保存する
- 【ステップ6】最寄りの警察署に連絡する
- 【ステップ7】専門担当者・専門機関が復旧作業を行う
- 【ステップ8】顧客情報の流出があれば公表をする
- 【ステップ9】会社内で情報セキュリティ教育を徹底する
- 【ステップ10】不正検知サービスの導入で再発防止を行う
※企業規模や企業のルールによっては、対応方法・順序など異なる場合があります。
【ステップ1】ネットワークから完全に遮断する(最優先)
ランサムウェア感染が確認できたら、まず最初にやることはインターネットとの接続を切ることです。
なぜなら、ランサムウェアはネットワークを通じて他のパソコンにも感染を広げる性質があるからです。
LANケーブルが刺さっていれば「今すぐ抜く」こと、Wi-Fiで接続している場合は、「Wi-FiをOFF」にしてください。
【ステップ2】接続している周辺機器をすべて外す
USBメモリ、外付けハードディスク、SDカードなど、パソコンに接続しているすべての機器を取り外してください。
ランサムウェアはパソコン本体だけでなく、接続されている外部記録媒体のファイルも暗号化してしまいます。
機密情報をバックアップしていたUSBメモリも、接続したままでは被害を受けてしまいます。
なお、取り外す際にパソコンの操作が必要な場合でも、できるだけ素早く取り外すことを優先してください。
【ステップ3】電源は切らずにそのままにする
「感染したなら電源を切ればいい」と思うかもしれませんが、実はこれが逆効果になる場合があります。
ランサムウェアが暗号化の処理を途中で終えていない場合、電源を切ることで暗号化の解除に必要な情報が消えてしまうことがあります。
また、専門家に調査を依頼する際に、電源が入ったままの状態の方が証拠を多く収集できます。
【ステップ4】すぐに情報セキュリティ担当者や上司に連絡する
職場のパソコンがランサムウェアに感染した場合、一人で解決しようとしてはいけません。
すぐに情報セキュリティの担当者や上司に報告してください。
「大げさかな」「自分のミスがバレる」と思って報告を遅らせることが、被害をさらに広げる原因になります。
状況を正確に伝えるために、感染に気づいた時刻、画面に表示されたメッセージの内容、直前にした操作をメモしておくと役立ちます。
【ステップ5】証拠を保存する
画面に表示されているメッセージをスマートフォンで撮影して残しておいてください。
後から警察や専門機関に相談する際に、この写真が重要な証拠になります。
メッセージには「いくら払えばいい」「どこに送金すればいい」などの情報が書かれていることが多く、ランサムウェアの種類を特定するためにも役立ちます。
また、感染前後に受け取ったメールや、アクセスしたウェブサイトのURLなどもメモしておくと、原因の特定に役立ちます。
【ステップ6】最寄りの警察署に連絡する
初期対応が完了したら、最寄りの警察署またはIPAの情報セキュリティ相談窓口など、公的な窓口に相談しましょう。
ランサムウェアへの感染は犯罪被害であり、警察に届け出ることができます。
相談の際には、感染に気づいた時刻・画面に表示されたメッセージ・感染前にした操作などを伝えると、スムーズに対応してもらえます。
【ステップ7】専門担当者・専門機関が復旧作業を行う
ランサムウェアに感染したパソコンの調査や復旧は、セキュリティの専門家に依頼するのが安全です。
素人が誤った操作をすると、復旧に必要なデータを消してしまったり、さらなる被害につながる恐れがあります。
専門家は「フォレンジック調査」と呼ばれる方法で、感染の原因・経路・被害範囲を詳しく調べます。
調査結果をもとに、バックアップからのデータ復旧やシステムの再構築を進めていきます。
このように、費用はかかりますが、被害を最小限に抑えるために専門家の力を借りることが重要です。
【ステップ8】顧客情報の流出があれば公表をする
調査の結果、顧客や取引先の個人情報が外部に漏れた可能性があると判明した場合は、速やかに公表・通知を行う必要があります。
個人情報保護法では、個人データの漏えいが発生し、個人の権利利益を害するおそれがあるときは「個人情報保護委員会への報告」と、「被害を受けた本人への通知」が義務付けられています。
※引用:個人情報保護委員会
「隠しておけばばれない」という判断は、後になって法的な責任や社会的信頼の失墜につながるリスクがあります。
不安な点は弁護士にも相談しながら、誠実に対応することが重要です。
【ステップ9】会社内で情報セキュリティ教育を徹底する
ランサムウェアの感染原因として、「怪しいメールを開いてしまった」「パスワードが簡単だった」など、人の行動に起因するものも多いです。
技術的な対策と同じくらい、社員一人ひとりのセキュリティ意識を高めることが大切です。
社員には、不審なメールの見分け方、安全なパスワードの作り方、不審な動きに気づいたときの報告の仕方など、具体的で実践的な内容を教えることが効果的です。
企業が行うべき社員への情報セキュリティ教育については、以下の記事でも詳しく解説しておりますので参考にしてください。
【ステップ10】不正検知サービスの導入で再発防止を行う
一度、ランサムウェアの被害を受けた企業は、改善策を講じない限り、再び狙われて被害に遭う可能性が高いです。
同じ被害を繰り返さないためにも、不正検知サービスの導入を検討しましょう。
不正検知サービスは、ネットワーク上の「いつもと違う動き」をリアルタイムで監視し、ランサムウェアの原因となる不正ログインを早期に発見してくれます。
おすすめの不正検知サービスは、『ランサムウェアの感染を防ぐなら不正検知サービス「O-PLUX」が効果的』で紹介しています。
-8-1000x300.png)
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
【最新データ】ランサムウェアの被害状況・件数
警察庁サイバー警察局の発表によると、ランサムウェアによる被害報告件数は毎年過去最多を更新しています。
※引用:警察庁サイバー警察局
また、近年ランサムウェアの被害による調査・復旧費用が高額化しており、1,000 万円以上を要した組織の割合は、50~59%に増加しています。
※引用:警察庁サイバー警察局
以前は大企業や総合病院などの大きな組織が主な標的でしたが、最近では中小企業の被害が増えており、被害組織の経営に与える影響は決して小さくないと考えられます。
「うちは大手じゃないから」と他人事にならず、ランサムウェアはすべての企業・個人が向き合うべき問題です。
ランサムウェア攻撃が増えているのはなぜ?
なぜ、近年こんなにもランサムウェアの被害が増えているのかというと、 RaaS(Ransomware as a Service) が普及しており、攻撃者は数万円~数十万円程度で攻撃基盤を利用できるため、侵入コストが大幅に低下してるからです。
▼ランサムウェア攻撃を行う側が支払うコストの例
- フィッシングメール配信費用
- マルウェア開発費
- 初期侵入アカウントの購入費
- ボットネット利用料
- ダークウェブでのアクセス権購入費
対して、ランサムウェア被害企業の復旧費用は、1,000 万円以上を要した組織の割合が50~59%となっています。
ランサムウェア感染からの復旧コストは、抱えている個人情報の量と企業規模の大きさによってかなり変動することが予想されます。
つまり、多くの個人情報を保有している大手企業ほど、復旧コストなどの経済的損失が大きくなるということです。
ランサムウェアで狙われやすい業種・企業の特徴
特にランサムウェアの被害が多い業種は、
- 製造業
- 卸売・小売業
- サービス業
- 情報通信業
- 建設業
- 教育・学習支援業
などです。
※引用:警視庁
共通しているのは「大量の個人情報や機密データを持っている」「システムが止まると業務に大きな影響が出る」という点です。
また、狙われやすい企業の特徴として、
- システムの「脆弱性」を放置している
- 大企業のサプライチェーン(取引関係)の一部である
- 外付けHDDやクラウドが常にPCや社内ネットワークに接続されている
- 社員のセキュリティ意識が低い
- IT担当者不足で、不審な挙動を検知する余裕がない
ことが挙げられます。
このように、「うちは社員数が少ないから」「扱っている個人情報は少ないから」といって安心はできません。
以下の記事では、日本国内のランサムウェア被害事例を紹介しておりますので、ぜひお読みください。
ランサムウェアの被害に遭わないための予防策5つ
ランサムウェアの被害は、正しい予防策を知っていれば防ぐことができます。
ここからは、すぐにできる5つの対策を紹介します。
- 【予防策1】OSやネットワーク機器のアップデートを行う
- 【予防策2】すべてのアカウントに多要素認証を導入する
- 【予防策3】バックアップの管理を徹底する
- 【予防策4】従業員への「不審メール訓練」と「報告ルート」を確立する
- 【予防策5】不正ログインを検知できる専門ツールを導入する
それでは詳しく解説していきます。
【予防策1】OSやネットワーク機器のアップデートを行う
パソコンのOSやソフトウェアを最新の状態に保つことは、最も基本的かつ効果的なセキュリティ対策です。
ランサムウェアの多くは、脆弱性を突いて感染しますが、アップデートには発見された脆弱性をふさぐ修正が含まれています。
「アップデートの通知がうっとうしい」と無視していると脆弱性が放置され、ランサムウェアの感染リスクが高くなりますので、都度アップデートを行うようにしましょう。
【予防策2】すべてのアカウントに多要素認証を導入する
すべてのアカウントに多要素認証を導入しておくことも、ランサムウェアの被害に遭わないためには重要です。
多要素認証とは、ログイン・本人確認をする際に、「知識情報」「所持情報」「生体情報」という3つの認証要素から異なる2つ以上を組み合わせて本人確認を行う仕組みです。
もしパスワードが盗まれてしまっても、スマートフォンがなければログインできないため、不正アクセスを防ぐことができます。
メールアカウント、会社のシステム、クラウドサービスなど、できるかぎり多くのアカウントで多要素認証を有効にしておきましょう。
【予防策3】バックアップの管理を徹底する
万が一ランサムウェアに感染しても、バックアップがあればデータを復元することができるため、バックアップの管理は徹底しましょう。
ただし、パソコンに常に接続している外付けHDDは、感染した場合に一緒に暗号化されてしまうリスクがあるため、「3-2-1ルール」がおすすめです。
「3-2-1ルール」とは、データのコピーを3つ持ち(オリジナル+バックアップ2つ)、2種類の保存媒体を使い(例:外付けHDD+クラウド)、そのうち1つはオフサイトの保存・保管する、というやり方です。
また、定期的にバックアップからデータを正しく復元できることも確認しておきましょう。
【予防策4】従業員への「不審メール訓練」と「報告ルート」を確立する
ランサムウェアの感染経路として、メールの添付ファイルや偽のリンクも考えられます。
「請求書の確認依頼」など、一見本物に見えるメールに仕込まれた悪意あるファイルを開くことで、ランサムウェアに感染することもあります。
怪しいメールが来たときに正しく報告・対処できるよう、社内に「こういうメールが来たらここに報告する」というルートを明確にしておくことが大切です。
【予防策5】不正ログインを検知できる専門ツールを導入する
セキュリティツールには、ランサムウェアに感染させる不正ログインをリアルタイムで検知・ブロックしてくれるものがあります。
近年、不正ログインが起因のランサムウェア感染が増えており、対策として不正ログインを検知できるツールを導入する企業も増えています。
次章では、不正ログインが起因のランサムウェア感染を防ぐためのおすすめのツールをご紹介します。
ランサムウェアの感染を防ぐなら不正検知サービス「O-PLUX」が効果的
さまざまなセキュリティサービスの中でも、不正検知サービス「O-PLUX」は、ランサムウェアを含むサイバー攻撃を早期に発見するうえで非常に効果的です。
「O-PLUX」とは、ログインから決済までECの不正を一貫して見抜くクラウドサービスです。
たとえば、保有しているさまざまなネガティブ情報などを駆使し、不審なログインなどの異常をいち早く検知します。
※参考:Cacco Inc.
以前は、ランサムウェアに感染してからデータを暗号化し始めるまでに、数時間から数週間かかるケースが多かったですが、近年わずか数分から数時間でデータが暗号化されてしまいます。
不正検知サービス「O-PLUX」は、ランサムウェアに感染する前の不正ログインの早期発見を自動でサポートしてくれます。
また、専門知識がなくても万全なサポート体制が整っており、中小企業でも導入しやすい設計になっています。
「O-PLUX」について、まずはご相談からでも大丈夫ですので、以下をクリックしてお気軽にお問い合わせください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
ランサムウェアに関するよくある質問6つ
最後に、ランサムウェアに関するよくある質問を6つご紹介し、初心者にも分かりやすく回答していきます。
- 【質問1】ランサムウェアは個人のパソコン・スマホでも感染するの?
- 【質問2】ランサムウェアの感染経路で多いのは?
- 【質問3】身代金を支払えば、本当にデータは元に戻りますか?
- 【質問4】有名なウイルス対策ソフトを入れていても感染しますか?
- 【質問5】個人情報が流出した場合、どんな法的責任が発生しますか?
- 【質問6】画面に脅迫文が出なければ、感染していないと安心できますか?
【質問1】ランサムウェアは個人のパソコン・スマホでも感染するの?
はい、感染します。
企業が標的にされると被害も大きくなるため、ニュースで取り上げられるのは大手企業ばかりです。
しかし、インターネットに繋がっている個人のパソコンやスマートフォンも攻撃対象になるため、危機感を持っておくことは大事です。
大切な写真や動画、仕事のデータを守るためにも、個人でも予防策を取ることが重要です。
【質問2】ランサムウェアの感染経路で多いのは?
ランサムウェアの感染経路として最も多いのは、「VPN機器からの侵入」です。
次いで、「リモートデスクトップ」「不審なメールやその添付ファイル」が続きます。
※引用:警視庁
アップデートの対応の遅れや、古い機器の使用による脆弱性の放置も、ランサムウェアの感染リスクが高まります。
さらに、VPN接続したネットワークの先に感染したコンピュータがある場合、そのVPNを介して他の端末もランサムウェアに感染します。
たとえば、社員が在宅勤務で使っているコンピュータがランサムウェアに感染し、VPN経由で社内ネットワークにも広がる可能性があるため、十分な注意が求められます。
【質問3】身代金を支払えば、本当にデータは元に戻りますか?
いいえ、残念ながら元に戻る可能性は極めて低いです。
しかし、暗号化されたデータを復元するためハッカーに身代金を支払った日本企業が少なくとも222社に上ることが分かっています。
※参考:共同通信
たいていの場合、犯人はお金を受け取っても、解除コードを渡してくれることはありません。
ランサムウェアに感染後、犯人から身代金の要求があったとしても、決して支払わないようにしてください。
【質問4】有名なウイルス対策ソフトを入れていても感染しますか?
ウイルス対策ソフトは非常に有効ですが、100%の感染防止を保証するものではありません。
ウイルス対策ソフトを最新の状態に保つことはもちろん、アップデートの実施、不審なメールを開かない、怪しいウェブサイトにアクセスしないなど、複数の対策を組み合わせることが重要です。
「ウイルス対策ソフトを入れているから大丈夫」と安心せず、行うべき複数の対策の1つとして考えておきましょう。
【質問5】個人情報が流出した場合、どんな法的責任が発生しますか?
企業がランサムウェア感染によって顧客や取引先の個人情報を漏えいさせた場合、個人情報保護法に基づいて監督機関への報告義務が生じます。
また、被害を受けた個人に対して直接通知することや、状況によっては損害賠償を請求されるリスクもあります。
不正ログインが発生した場合、ECサイトの閉鎖期間における売上高の平均損失額は、1社あたり約5,700万円にのぼります。
さらに、事後対応費用の平均額は、1社あたり約2,400万円ですので、セキュリティ事故や被害が発生してしまうと約8,100万円の経済的損失が発生する恐れがあります。(※ランサムウェアの感染となると平均復旧コストは約2億3,000円と言われています)
他にも、社会的な信頼の失墜など、数字では測れない大きなダメージも加わります。
よって、被害に気づいたら速やかに専門家と法律の専門家(弁護士)に相談することをおすすめします。
【質問6】画面に脅迫文が出なければ、感染していないと安心できますか?
必ずしも安心とは言えません。
ランサムウェアのなかには、すぐに脅迫メッセージを出さずに、長期間にわたって静かに潜伏しながら情報を盗み続けるタイプもあります。
「二重脅迫」と呼ばれる手口では、データを暗号化する前に機密情報をこっそり盗み出し、「お金を払わなければ情報を公開する」と二段階で脅してきます。
パソコンの動作が急に遅くなった、知らないプロセスが動いているなどの異変に気づいたら、早めに専門家に確認してもらうことをおすすめします。
まとめ
ランサムウェアは、近年最も増えており警戒しておくべきサイバー攻撃の一種です。
もしランサムウェアに感染してしまった場合は、以下の10の初動対応を必ず実施しましょう。
- 【ステップ1】ネットワークから完全に遮断する(最優先)
- 【ステップ2】接続している周辺機器をすべて外す
- 【ステップ3】電源は切らずにそのままにする
- 【ステップ4】すぐに情報セキュリティ担当者や上司に連絡する
- 【ステップ5】証拠を保存する
- 【ステップ6】最寄りの警察署に連絡する
- 【ステップ7】専門担当者・専門機関が復旧作業を行う
- 【ステップ8】顧客情報の流出があれば公表をする
- 【ステップ9】会社内で情報セキュリティ教育を徹底する
- 【ステップ10】不正検知サービスの導入で再発防止を行う
正しい知識を持っていれば、ランサムウェアによる被害拡大を抑えることができます。
ランサムウェアでは、「絶対に身代金の要求には応じない」ことも大事です。
身代金を支払ったところで、暗号化されたデータの解除方法を教えてもらえることはほぼありません。
もしまだランサムウェアの被害を受けていない企業であれば、不正ログインを検知してブロックできる不正検知サービスの導入を検討してみてください。
不正検知サービスの導入は、ランサムウェア感染を防ぐための強力なセキュリティ対策となります。
「ランサムウェアへの対策を強化しておきたい」「もう二度とランサムウェアに感染しないようにしたい」とお考えの企業様は、以下をクリックしてお気軽にお問い合わせください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
