サイバー攻撃が多様化した近年、ランサムウェアによる業務停止、情報漏洩などのサイバーインシデントがニュースに取り上げられることが増えてきました。
もしランサムウェアに感染してしまった場合、焦らずに適切な対処を行うことが重要です。
本記事では、ランサムウェア感染時に取るべき初動対応から、再発を防ぐための予防策までを詳しく解説します。
ランサムウェアとは
ランサムウェアとはマルウェアの一種で、サイバー攻撃に用いられます。感染した端末内のファイルを暗号化し、元の状態に戻すために「身代金」を要求するのが特徴です。
被害者を受けデータが暗号化されてしまうと、その期間は業務が停止し営業できなくなってしまいます。この期間はダウンタイムと呼ばれ、本来見込まれるべき売上・利益を考えると、多額の経済的損失が生じてしまうことになります。
営業できないために損失する利益・システム復旧にかかるコストよりも身代金の方が安く設定されている事が多く、ランサムウェア攻撃を受けた企業は、身代金を支払ってしまうケースもありました。
そういった経緯を経て、ランサムウェアに感染すると感染時の被害額が高額になりやすいという特徴があります。
ランサムウェアに感染したら絶対にやってはいけないこと
ランサムウェアの感染の疑いがある、もしくは感染している場合は、感染端末の起動をしているだけでも命取りになります。
続いては、ランサムウェアに感染したら絶対にやってはいけないことを解説します。
感染端末の稼働
ランサムウェアに感染した可能性のある端末は、絶対に稼働しないようにしましょう。電源を切る、スリープ状態にするなどの対応が必要です。
ランサムウェア感染端末が稼働状態になっていると、ランサムウェアによるファイルの暗号化が進行し被害を広げてしまいます。
特に、社内ネットワークやクラウドサービスに接続されている環境では、ランサムウェアの被害が社内ネットワークやクラウドサービス全体に広がる可能性があります。
感染後のバックアップや、ファイル移動
ランサムウェアに感染している可能性が少しでもあるなら、バックアップや、ファイル移動などデータの移動は絶対に行わないでください。
ランサムウェアには「ネットワークを通じてデバイスからデバイスへ感染を広げていく」という特徴があり、データの移動が原因で、他のデバイスにランサムウェアが広がる可能性が高いためです。
専門機関に相談せずに身代金を払う
ランサムウェアの被害を受けても絶対に身代金を支払わないでください。身代金を支払ってはいけない理由は、以下2点です。
- データの復号が保証されない
- 身代金を支払う企業だと認識される
データの復号が保証されない
攻撃者に対して身代金を払ったとしても、「データの復号が行われない」「一部データが復元できず文字化けなどが残る」といった事象は起こり得ます。
あくまで相手は犯罪者であり、信用できないということを認識しましょう。
身代金を支払う企業だと認識される
身代金を一度支払うと、「攻撃すれば金銭を奪い取れる企業」として良い標的だと認識される可能性が高く、再度攻撃を受けるリスクが高まります。
また、社会的にも身代金を支払った企業は批判される可能性が高いです。
ランサムウェアは世界的に問題視されており、その被害を減らすために身代金を払わないように呼びかける取り組みが行われています。
ランサムウェアに感染した企業が行う必須対処とは
ランサムウェア被害にあった企業には、個人情報漏洩の責任が伴います。
万が一ランサムウェアに感染してしまったら、速やかに以下の対処を実行してください。
- 感染端末をネットワークから遮断・隔離する
- 感染状況を確認する
- フォレンジック調査会社に相談する
- 個人情報・機密データの情報漏えいを報告する
感染端末をネットワークから遮断・隔離する
ランサムウェアの感染を確認した時点で最初に行わなければならないのが、ネットワークからの遮断です。他のデバイスやネットワーク全体への感染拡大を防ぎましょう。
具体的には、LANケーブルを抜くか、Wi-Fiを無効化することでネットワークから独立させて隔離状態にします。
ランサムウェア感染端末とファイルの移行、バックアップなどデータのやり取りをしていた端末も感染の疑いがあるため、合わせてネットワークから隔離しましょう。
感染状況を確認する
感染した端末を隔離したら、他の端末やサーバーが同様に感染していないかを確認します。
身代金を要求するメッセージが表示された場合はランサムウェアに感染していると特定しやすいですが、必ずしもランサムウェア感染であることが分かりやすい状態になっているとは限りません。
見分けるための1つの方法は、ファイル拡張子の確認です。
ランサムウェアに感染したファイルは拡張子が変更されるため、最初に感染が確認された端末のファイルを確認して拡張子を見てみましょう。その拡張子でファイル検索をすることで、同じランサムウェアに感染したファイルを特定することが可能です。
端末のローカル、サーバー上など、ファイルを保存している箇所を調査しましょう。
ただし、このような自社調査では、正確なランサムウェアの侵入経路が分からないため、個人情報保護委員会への報告内容として認められません。
調査報告レポートをそのまま提出できる「フォレンジック調査会社への依頼」がおすすめです。
フォレンジック調査会社に相談する
より詳しい調査は、専門家に相談しましょう。感染経路、漏洩の可能性のあるデータの調査をすることで、今後の対策なども打てるようになります。
具体的には、データやPC、サーバーなどのログをもとに犯罪の証拠や不正アクセスの記録を見つける「フォレンジック調査」を行うことで、以下の詳細を調査可能です。
- 組織内でランサムウェア感染がどこまで広がっているのか
- 感染した端末で暗号化や破損の対象となっているデータは何か
- 機密情報が漏洩している可能性はないか
24時間365日、無料相談を受け付けていますので、インシデントが発生した際は相談してみてください。もちろん、公的機関に提出可能な作業報告書(調査レポート)も作成してくれます。
個人情報・機密データの情報漏えいを報告する
ランサムウェアに感染したということは、何らかの情報が漏洩したと考えるべきです。個人情報が漏洩した可能性がある企業は、「改正個人情報保護法」に基づき、情報漏洩の報告義務があります。
2022年4月に改訂された「改正個人情報保護法」にて、情報漏洩が起きた際、被害者への説明と第三者機関での調査が義務化されました。
「改正個人情報保護法」に違反した場合には、個人情報保護委員会から行政指導を受けます。
最悪の場合は、最大で1億円以下の罰金や企業名公表の罰則を受ける可能性があり、マイナスイメージは避けられません。
おすすめフォレンジック調査会社
フォレンジック調査を依頼するなら、デジタルデータフォレンジックがおすすめです。
サイバー攻撃やマルウェア感染調査、情報漏洩の調査の専門業者で、過去の相談件数は3.9万件以上。全国の捜査機関にも捜査協力を行うなど、豊富な実績があります。
「ランサムウェア感染」や「社内不正調査」など調査内容ごとに専門チームが対応しています。
24時間365日、無料相談を受け付けていますので、インシデントが発生した際は相談してみてください。もちろん、公的機関に提出可能な作業報告書(調査レポート)も作成してくれます。
ランサムウェア感染の対策方法
最後に、ランサムウェア感染を防ぐための対策方法をご紹介します。
インシデントさえ起きなければ業務が停止することもイメージダウンすることもありません。以下でご紹介する対策を実行し、備えましょう。
VPN機器、OS等の脆弱性対策
VPN機器などのネットワークに関連する機器、OSなどのソフトウェアは、随時アップデートされています。
セキュリティが強固された最新のパッチには「確認された脆弱性などへの対策」がなされていますので、すぐにアップデートを行いましょう。
脆弱性が放置されていると、攻撃者に狙われやすくなります。
ユーザー権限の厳密化
ランサムウェアに感染したユーザーからの二次被害を防ぐためにも、不要な管理者権限やアクセス権を制限しておくことをおすすめします。
特に、重要なデータへのアクセスは限定しておくと良いでしょう。多要素認証(MFA)を導入することも効果的です。
定期的な第三者機関からのセキュリティ診断
第三者機関による定期的なセキュリティ診断を実施することで、組織のセキュリティ体制を客観的な評価が可能です。
また、社内のチームだけでは見逃してしまうリスクを外部の専門家が発見できる体制は、セキュリティ強化の重要なステップになります。
従業員のリテラシー教育
厳重なセキュリティを構築しても、サイバー攻撃被害に遭ってしまう企業は少なくありません。そして、その原因のほとんどは人のミスによるものです。
いくら対策を整えても、従業員のセキュリティ意識が低いままではサイバー攻撃は防げません。セキュリティ意識を高めるためにも、以下のような教育を強化しましょう。
- 基本的なサイバーセキュリティの理解(マルウェア、ウイルスの挙動など)
- フィッシングメールの見分け方
- 安全なパスワード管理の方法
- リモートワークにおけるセキュリティ対策
- インシデント発生時の報告手順
これらのトレーニングを、定期的に行うことが重要です。
トレーニングを行った後は、従業員に突発的なテスト的なフィッシングメールを送るなどして、「どのように対応するか」をテストすると良いでしょう。
定期的なバックアップの実施
定期的なバックアップの実施は、データ保護の基本的な対策の一つです。
ランサムウェアの攻撃やハードウェアの故障、人為的ミスなどのトラブルは、いつ起こるか分かりません。
定期的なバックアップによる備えがあれば、予期せぬトラブルによってデータが失われるリスクを回避できますし、迅速な復旧も可能になります。
インシデント発生時のマニュアル策定
ランサムウェアなどインシデントが発生した場合のマニュアルを作成しましょう。
「インターネット遮断までの手順」という応急対処を従業員全員が行える状態にしておけば、被害の拡大を最小限にできます。
さらに、インシデントが起きてから相談する専門家を探すのは、遅いです。万が一の場合はどの調査会社に相談するか?といった項目を情シス担当が決めておくことで、会社選定の時間を省くことができます。
おすすめのフォレンジック調査会社
フォレンジック調査を依頼するなら、デジタルデータフォレンジックがおすすめです。
サイバー攻撃やマルウェア感染調査、情報漏洩の調査の専門業者で、過去の相談件数は3.9万件以上。全国の捜査機関にも捜査協力を行うなど、豊富な実績があります。
24時間365日、無料相談を受け付けていますので、インシデントが発生した際は相談してみてください。もちろん、公的機関に提出可能な作業報告書(調査レポート)も作成してくれます。
まとめ
サイバーリスクが高まる昨今、いつどんなインシデントが発生するかは誰にも分かりません。
まずはこの記事でご紹介したランサムウェア対策を行い、万が一被害に遭われた場合は、フォレンジック調査会社に依頼することをおすすめします。