「会社のパソコンがランサムウェアに感染したら、一体どうしたらいいの?!」
ランサムウェアの被害に遭った事例は後を絶たず、2022年にはトヨタや森永製菓といった大企業の感染も報じられているため、こうした不安を抱いている方は多いのではないでしょうか?
早速ですが、ランサムウェアに感染した場合に、確実に押さえておきたい初期対応のポイントは以下4点です。
|
ランサムウェアとはコンピューターウイルスの一種。感染すると、端末に保存されているデータを暗号化して使用できない状態にした上で、データを復号する対価=身代金(Ransom)として金銭を要求するのが特徴です。
さらに近年では、身代金の支払いに応じなければ、盗み出した情報をネット上に暴露すると脅す「二重脅迫型」のランサムウェアまで登場し、手口の巧妙化が進んでいます。
そのため被害を最小限に抑えたいがために、金銭の支払いに応じる企業も少なくないようです。
しかし、2020年、Sophosによる調査で、身代金を払った組織のランサムウェア対処コストは、支払っていない組織の2倍であると発表されました。
この結果からわかる通り、ランサムウェアの被害を最小限に抑えるには、焦って身代金を支払うのではなく、落ち着いて正しく対処することが重要です。
そこでこの記事では、以下についてまとめて解説します。
|
読めば、万が一の時に企業としてとるべきアクションがわかるはずです。
そもそもランサムウェアに感染しないための対策についても解説するので、ぜひ最後までチェックしてくださいね。
目次
1. ランサムウェアに感染した場合の初期対処
マルウェアの一種であるランサムウェ冒頭でお伝えした通り、ランサムウェアに感染した場合の初期対応のポイントは以下4点です。
|
以下で詳しく説明していきましょう。
1-1. すぐにネットワークから切り離す
ランサムウェアの感染に気付いたら、すぐにインターネットやサーバーから切り離しましょう。
なぜなら、ネットワークを経由してランサムウェアの感染が広がるのを食い止めるためです。
例えば、LANによって複数の端末が結ばれている場合、1つの端末が感染するとネットワークを介して他の端末にも拡散してしまう危険性があります。
感染の兆候にいち早く気づき、素早くネットワークから切り離すことができれば、被害が広がるのを抑えられます。場合によっては、感染した端末内のファイルがすべて暗号化される前にストップをかけられるかもしれません。
有線接続ならLANケーブルを抜く、Wi-FiならWi-Fi接続をオフにするなど、迅速にネットワークの切断を行いましょう。
1-2. 再起動はNG
どんなに気を付けていランサムウェアに感染した場合、パソコンなど端末の再起動は行わないようにしましょう。
その理由は、再起動によってランサムウェアの症状が悪化するケースがあるからです。
ランサムウェアに感染すると、「何かおかしい!再起動してみよう」と思う人もいるでしょう。実際、米国で実施された調査によると、ランサムウェアの被害者の3割がパソコンの再起動を行っていました。
しかし、近年普及している「ファイルを暗号化する」タイプのランサムウェアで再起動を行うと、電源オフとともに止まっていた暗号化が再開し、内部のファイルすべてが見られなくなってしまう可能性が高いのです。
仮にパソコンを強制終了した場合も、素人が再起動することは避けたほうが安全です。
1-3. 身代金は支払わない
引用:ランサムウェアにご注意!/大阪府警本部 ランサムウェア「Wannacry」の例
ランサムウェアには、ファイルの暗号化を解く鍵と引き換えに、身代金を要求するという特徴があります。(上図参照)
しかし、身代金を要求されても、焦って支払わないようにしましょう。
なぜなら、身代金に応じたからといって、データが復旧するとは限らないからです。
実は、「ランサムウェアの身代金を支払うか否か」は意見が分かれるところ。企業の中には、ファイルの暗号化で生じる業務支障や復旧コスト、盗まれた個人情報が公開される危険性などを検討した結果、金銭を渡す判断を下したところもあります。
しかし、2020年にSophosが公開した調査によると、身代金を払った組織のランサムウェア対処コストは、支払っていない組織の2倍。
これは、身代金を支払って「暗号を解く鍵」を手に入れても、すべてのデータが復旧するわけではなく、一部の復旧に追加で費用が必要になっているからです。
また、支払われた身代金はサイバー犯罪者の資金となり、ランサムウェアによる攻撃を助長することにつながります。
「身代金を払えば解決するなら……!」と安易に支払わないようにしましょう。
1-4. 専門家に見せる
ネットワークから切り離した端末は、会社の情報システム部や外部のセキュリティベンダーなどの専門家の元に持ち込んで見てもらいましょう。
なぜなら、ランサムウェアには3桁を超える種類がある上に、日々亜種を増やし手口も高度化しているため、経験のある専門家の支援なしに的確な対処をするのは困難だからです。
仮に持ち込むのが難しい場合でも、以下のような窓口やセキュリティ専門企業に連絡し、指示を扇ぐようにしましょう。
- 都道府県の警察の「サイバー犯罪相談窓口」
- 使用しているセキュリティソフトの窓口
- IPA(情報処理推進機構)の「情報セキュリティ安心相談窓口」
- JNSA(NPO日本ネットワークセキュリティ協会)が紹介する「サイバーインシデント緊急対応企業」
初期対応についてより詳しく知りたい方は、JNSAが2022年3月に公開した「侵入型ランサムウェア攻撃を受けたら読むFAQ」もチェックしてみてください。
2. 自力でランサムウェアに対処する方法
前章でご説明した通り、ランサムウェアに適切に対応するには専門家の支援が必要です。
特に企業で扱うファイルには、個人情報などの重要なデータが含まれる可能性があるため、専門家に対応を依頼することをおすすめします。
しかし、「うちの会社には情報システム部がない!」「専門家に依頼するお金はない……」など、どうしても自分で対応せざるを得ないケースもあるかもしれません。
そんな方のために、以下2点を理解した上で試す自力での対処法をご紹介します。
- 必ずしもファイルが復元できるわけではない。
- 自分で対処しようとすることで、復旧に必要なログを削除してしまうなど、 復元の可能性を下げてしまうケースもある。
自力で対応する方法は、大きく分けて以下の2通りです。
- 【重要データのバックアップがある場合】パソコンを初期化
- 【重要データのバックアップがない場合】セキュリティソフトでランサムウェアを除去し、 データを復元
それでは順番に解説していきましょう。
2-1. 【重要データのバックアップがある場合】パソコンを初期化
企業にとって重要なデータのバックアップがとれていて、バックアップを元に業務を再開できる場合には、パソコンの初期化を行いましょう。
ランサムウェアを確実に駆除するには、パソコンの初期化が最も有効です。
パソコンを購入当初の状態に戻すことにより、侵入してきたランサムウェアもろとも削除することができるからです。
ただし、パソコンを初期化するということは、当然以下のような弊害があります。
- パソコン内のデータはすべて削除される
- ランサムウェアの感染経路などの調査、再発防止策の策定が困難になる
重要データのバックアップはあるため、その他のデータが消えることに大きな支障はないでしょう。
しかし、感染経路の調査ができず的確な再発防止策を策定できないのは、企業として顧客や取引先の信頼を損ないかねません。
そのためネットワークから切り離した後には、やはり専門家に調査・対応してもらうことをおすすめします。
尚、専門家に依頼するとしても、バックアップの重要性は変わりません。
バックアップがあれば復旧に要する時間が短縮され、スピーディーに業務を再開することができます。
日頃から万が一に備え、定期的にバックアップをとるようにしましょう。
バックアップを使ってリストア(修復)する際には、必ず感染より前の時点のバックアップであることを確認しましょう。
感染時点を見誤ってリストアすると、バックアップに混入していたランサムウェアに再度感染する危険性があります。
2-2. 【重要データのバックアップがない場合】セキュリティソフトでランサムウェアを除去し、データを復元
重要なデータのバックアップがなく、業務のためにデータの復旧が必要な場合は、セキュリティソフトでランサムウェアを除去した後にデータの復元を試みます。
手順は以下の通りです。
|
手順からわかる通り、あらかじめセキュリティソフトを導入していないパソコンの場合は、ランサムウェアの駆除ができません。
駆除を行わずにファイルを復元しても再び暗号化されてしまうので、セキュリティソフトが入っていない場合には「パソコンを初期化」で対応してください。
3. 企業のランサムウェア対応はプロに依頼すべき理由
ここまで繰り返しお伝えしてきた通り、企業がランサムウェアに感染した場合には、専門家による対応が必要です。
その理由は、主に以下2点です。
- 被害を最小限に抑える
- データ復旧の可能性が高い
以下で詳しくご説明します。
3-1. 被害を最小限に抑える
ランサムウェアによる被害を最小限に抑えるには、早い段階から経験のある専門家の力が必要です。
なぜなら、ランサムウェアは種類が多岐に渡るのと同時に急速に進化(高度化)しているため、ひとつの決まった解決策が存在しないからです。
例えば、2022年2月以降急増しているのは、マルウェア「Emotet(エモテット)」と連携したランサムウェア。
Emotetは、不正なコードをほとんど含まないため、セキュリティ担当者も見つけにくいマルウェアです。
そんなEmotetが先にパソコンに潜伏して重要データの窃取など不正行為を行った後、Emotetを「踏み台」にしてランサムウェアが入り込む仕組みになっています。
ランサムウェアがデータを暗号化してEmotetの痕跡を抹消するため、何が原因なのか、どんなデータが盗まれたのか、調査するのは非常に困難です。
しかも、そうこうしている間に、盗まれた個人情報が流出したり、Outlookを通じて社外にもEmotetが広がってしまうのが、この手口の恐ろしさ。
このように、日々進化するランサムウェアと対策をとる側のいたちごっこが続いており、専門家でも様々な情報をかき集めながらケースバイケースで対処しているのが、ランサムウェアです。
素人が迂闊に手を出すと、逆に復旧を遅らせ、被害を大きくする危険性があります。
ランサムウェアの感染が発覚し次第、早急にセキュリティインシデントの専門家に相談するようにしましょう。
医療機関の場合、医療情報システムのベンダーと保守契約を結んでいるケースが多いですが、医療情報システムのベンダーはセキュリティインシデントの専門家ではないため、適切な対応がとれません。
対応が遅れ被害が広がることがないように、ランサムウェア感染時はセキュリティインシデントの専門家であるセキュリティベンダーと連携するようにしましょう。
医療機関向けのランサムウェア対応について、より詳しく知りたい方は「医療機関向け ランサムウェア対応検討ガイダンス」をチェックしてください。
3-2. データ復旧の可能性が高い
前提として、ランサムウェアで暗号化されたデータは必ずしも復元できるとは限りません。
しかし、「どうしても重要なデータの復旧が必要!」という場合は、専門家の力を借りた方が復旧できる可能性が高まります。
なぜなら先述の通り、一言にランサムウェアと言っても種類は多岐に渡り、的確な復旧を行うには高度なデータ解析が必要だからです。
専門家にデータ復旧を頼む場合は、セキュリティソフトでランサムウェアを駆除する前に持ち込んだ方が復旧の手がかりとなるログが多く、短い時間で復旧できると言われています。
ただし、データ復旧業界として統一された「復旧率」の定義がない中、100%近い復旧率を掲げて多額の復旧費用を請求する悪質な業者もいるため、注意が必要です。
業者選びの際には、以下のようなポイントを確認して慎重に選ぶようにしましょう。
| 業者選びのポイント |
|
4. ランサムウェアに感染した場合のプロの対応とは?
専門家にランサムウェアの感染対応を依頼する場合、どんな対処がとられるのでしょうか?
ここでは、以下の2つについてご紹介します。
- 原因特定からデータ復旧まで請け負う「フォレンジック調査」
- データの復元に特化した業者による「データ復旧」
以下で詳しくご説明します。
4-1. 原因特定からデータ復旧まで請け負う「フォレンジック調査」
ランサムウェアに感染した原因の特定から暗号化されたデータの復旧まで、包括的に対応を請け負ってくれるのが「フォレンジック調査」です。
フォレンジック調査とは、パソコンなどの端末やネットワーク上のデジタルデータから不正行為の事実確認を行ったり、被害状況を割り出したりする調査手法。
「フォレンジック(forensic) 」は「法廷の」という意味であり、言葉の通り、フォレンジック調査の結果は法執行機関における公的な調査資料としても活用することができます。
フォレンジック調査のおおまかな流れは、以下の通りです。
| フォレンジック調査の流れ | |
| 1 | 問い合わせ・無料相談 |
| 2 | 端末の持ち込み |
| 3 | 調査・作業内容の提案と見積もり |
| 4 | 調査・作業の依頼 |
| 5 | フォレンジック調査・復旧 |
| 6 | 支払い |
| 7 | 報告書の納品 |
フォレンジック調査の相場は、1端末あたり150万〜300万円[1] [2] [3] と高額ですが、調査により感染経路や被害の範囲などが特定されると、再発防止の策定や顧客をはじめとした関係各所への報告に非常に役立ちます。
社内の情報システム部の規模が小さい場合、自社だけで事実確認をとるのには限界があるでしょう。調査が不十分だと、顧客や取引先へ報告する際に十分な情報が出せず、信頼を失ってしまう恐れがあります。
そうした企業の信頼低下を最小限に抑えるためにも、フォレンジック調査で事実関係を正確に把握し、セキュリティの穴を塞ぐ対策をとることは有効です。
まずは、業界大手で実績の多い「デジタルデータフォレンジック」や、JNSAの「サイバーインシデント緊急対応企業一覧」の中でフォレンジック調査に対応している企業に無料相談してみるのが良いでしょう。
ランサムウェア感染によって個人情報の流出が疑われる場合、フォレンジック調査で流出したデータを確認することをおすすめします。
万が一個人情報が流出していたら、「個人情報保護法」に則り、個人情報の本人や個人情報保護委員会へ連絡しなければなりません。
4-2. データ復旧に特化した「データ復旧業者」
ランサムウェアによって暗号化されたデータの復旧のみ依頼したい場合には、「データ復旧業者」に相談しましょう。
HDDの解析や復号ツールなどの手段を使い、プロならではの技術力でデータ復旧をサポートしてくれます。
データ復旧の費用は、被害の度合いや業者によって差がありますが、1端末あたり5万〜10万円程度が相場です。
端末の持ち込みが難しい場合は、出張や郵送、リモートアクセスで対応してくれる業者を選ぶと良いでしょう。
先述の通り悪質な業者もいるため、事前にランサムウェアの復旧実績を確認する、無料相談を活用するなど、依頼する業者は慎重に選びましょう。
復旧業者の中には、ランサムウェアの駆除も行っているところがあります。
ランサムウェアの駆除が必要な場合、あるいは、自分で駆除したがメモリ上などに残っている不安がある場合には、駆除と復旧の両方に対応している業者を選ぶようにしましょう
5. 企業に必須の4つのランサムウェア対策
ここまでご説明してきた通り、ランサムウェアに感染してしまうと、重要データを復元できる保証がないだけでなく、個人情報が流出したり、社外にも感染が広がったりと非常に苦しい状況に追い込まれてしまいます。
そのため、感染前に対策を打っておくことが非常に重要です。
企業がすべきランサムウェア対策のポイントは、以下4点です。
- セキュリティソフトを導入
- ソフトウェアは常に最新に
- 従業員全員がランサムウェアについて共通の知識をもつ
- バックアップの徹底
以下で詳しくご説明します。
5-1. セキュリティソフトを導入
ランサムウェアの感染を防ぐには、セキュリティソフトの導入が必須です。
なぜなら、外部からランサムウェアが入り込むのを阻止すると同時に、内部に入り込んだランサムウェアを検知・駆除し、被害の拡大を防ぐ効果があるからです。
イギリスの第3者機関MRG Effitasの調査によると、ESETやトレンドマイクロなどのセキュリティソフトは90%以上の高い確率でランサムウェアのサンプルを検出しました。
一方で、多くの企業がセキュリティソフトを導入する中、ランサムウェアの感染が広がっているのはなぜなのでしょうか?
それは、ランサムウェアの種類によっては、単体のセキュリティソフトでは検知しきれないものが出てきているからです。
このリスクに備えるのが、複数のセキュリティツールを掛け合わせた「多層防御」。
ファイアウォールやVPNのセキュリティなど、複数のセキュリティツールを用いることで、セキュリティソフトの脆弱性をカバーして防御を強化する方法です。
壁を厚くすることで、外部から攻撃しづらい強固な防御態勢を構築しましょう。
5-2. OSやソフトウェアは常に最新に
感染予防には、OSやソフトウェアをこまめに更新し、常に最新の状態を保つことも重要です。
ランサムウェアの中には、OSやソフトウェアの脆弱性を突いて社内ネットワークに侵入してくるものがあります。
OSやソフトウェアの提供元は、そうした新しい脅威に対してセキュリティの穴を埋めるアップデートを頻繁に行っているため、利用者も更新を実行して脆弱性を残さないようにしましょう。
前項で導入をおすすめしたセキュリティソフトも、日々亜種を増やし、進化するランサムウェアに対応できるようにアップデートを行っています。
セキュリティソフトを導入するだけでなく、最新状態を保つことで本来の効果を発揮し、感染リスクを低減させることができます。
5-3. 従業員全員がランサムウェアについて正しい知識をもつ
ランサムウェアの感染を防ぐには、社内全体でランサムウェアに関する正しい知識をもつ必要があります。
ランサムウェアの中には、メールに記載されているURLや添付ファイルを開くことで社内ネットワークに侵入するものや、Webサイトから感染するものがあり、従業員全員にきっかけをつくる可能性があるからです。
セキュリティ教育を通し、以下のような知識を共有しましょう。
- OSやソフトウェアはアップデートを行い、常に最新状態にする
- 不審なURLやWebサイトにアクセスしない
- 不審な添付ファイルは開かない
- 出所の分からないUSBメモリを使用しない
- バックアップはこまめにとる
- ランサムウェアに感染したときの初期対応を知る
また、セキュリティのルールを定着させるためには、その背景にある理由や事例も併せて知っておく必要があります。
ランサムウェアの被害事例については、こちらの記事を参考にしてください。
5-4. バックアップの徹底
防御を固めた上でも、ランサムウェアの感染を100%防げる保証はありません。万が一感染してしまった場合に備え、バックアップは定期的にとっておきましょう。
ランサムウェアに感染した場合に早急に復旧できるか否かは、バックアップの有無にかかっていると言って過言ではありません。
バックアップがあれば、有事でも前世代のデータを参照して業務を継続できると同時に、迅速に復旧作業を進めることが可能です。
JPCERTの調査でも、ランサムウェアの被害に遭った際の対処法として「バックアップデータを利用し復元した」という意見が58%と半数以上を占めており、バックアップの重要性がわかります。
バックアップをとる際のポイントは、次章でご説明します。
6. ランサムウェアに備えるバックアップの3つのポイント
定期的にデータのバックアップをとっておけば、ランサムウェアに感染しても被害を小さく抑えることができます。
ただし、ランサムウェアの特性を考慮したバックアップでないと失敗しかねないので注意が必要です。
ランサムウェアに備えるためには、以下の3つのポイントを押さえてバックアップをとりましょう。
| ランサムウェア対策のためのバックアップの3つのポイント |
|
以下で詳しくご説明します。
6-1. ランサムウェアに感染しにくい保存先を用意する
ランサムウェアに備えるには、現場で使用している端末が感染した場合に、感染が広がらない保存先を用意する必要があります。
ランサムウェアはネットワークを介して感染が広がるため、同一のネットワークやサーバー内にバックアップがあると、バックアップデータも暗号化されてしまう危険性があるからです。
以下を参考に、感染しにくい保存先にバックアップを保管するようにしましょう。
| 感染しやすい保存先 | 感染しにくい保存先 |
| ・接続されたUSBメモリ ・接続されたUSBディスク ・内蔵HDD ・接続された外付けHDD ・ファイル共有サーバー ・ネットワーク接続ストレージ ・ネットワークドライブ ・VSSスナップショット | ・外付けHDDに都度バックアップし、 バックアップが完了したら外付けHDDを 取り外す ・感染の可能性がある端末のOSからは アクセスできないディスクやテープ ・感染の可能性がある端末のOSからは アクセスできないクラウドストレージ |
感染を防ぐには、「端末から直接アクセスできない場所」をバックアップ先に選ぶことが大切です。
6-2. システム復旧に必要な全てのデータを保持する
バックアップをとる際には、システム復旧に必要な全てのデータを保持するようにしましょう。
顧客情報やアプリケーションデータなど、一部のデータだけでは、システムを復旧することはできません。
企業にはパソコンをはじめ様々なデバイスに多くのデータが存在しているため、従来は業務上重要度が高いものに絞ってバックアップをとる運用が行われてきました。
しかし、万が一の時に迅速にシステムを復旧させ、被害を最小限に抑えるには、システムにまつわるデータを丸ごとバックアップしておく必要があります。
「イメージバックアップ」のように、サーバやパソコンの中身を丸ごとバックアップできる機能を用いると良いでしょう。
6-3. 多世代のバックアップを保管する
感染後の復旧作業を迅速に進めるには、多世代のバックアップデータを保管しておく必要があります。
なぜなら、より多くの世代、より長期間のバックアップを保持することで、感染前のデータに遡れる可能性が高まるからです。
FireEyeの調査によると、ランサムウェアが侵入してから検知されるまでの平均時間は5日。
もし1世代しか保存できないシステム上で、ランサムウェアに暗号化されたデータをバックアップしてしまえば、健全なデータは失われます。ランサムウェアに感染したデータのバックアップでは、システムの復旧はできません。
引用:ランサムウエアに備える運用(PDF)|Arcserve
健全な時点のバックアップデータを確保できる確率を上げるために、月次・週次・日次と多世代のバックアップを保持するようにしましょう。
より詳しくバックアップ方法を確認したい方は、Arcserveの「ランサムウェアに備える バックアップ運用例とベストプラクティス」をご参照ください。
| Arcserveのバックアップが選ばれる理由 Arcserveはデータ保護専業のベンダーとして、35年以上にわたり事業継続に最適なバックアップを提供。現在も以下の理由から多くの企業に選ばれています。
例えば「ArcserveUDP」なら、イメージバックアップによりシステム全体を「丸ごとバックアップ」して、「丸ごと元に戻す」ことが実現。また、テープに二次バックアップをとり、オフラインで管理することも可能です。 これにより万が一の時に素早くデータ復旧をして経済的な損失を抑えるのはもちろん、情報資産となるデータを厳重に管理します。 |
7. まとめ
最後に、この記事の内容をまとめましょう。
◎ランサムウェアに感染した場合の初期対処
- すぐにネットワークから切り離す
- 再起動はNG
- 身代金は支払わない
- 専門家に見せる
◎自力でランサムウェアに対処する前に知っておくべきこと
- 必ずしもファイルが復元できるわけではない。
- 自分で対処しようとすることで、復旧に必要なログを削除してしまうなど、 復元の可能性を下げてしまうケースもある。
◎自力でランサムウェアに対処する方法
- 【重要データのバックアップがある場合】パソコンを初期化
- 【重要データのバックアップがない場合】セキュリティソフトでランサムウェアを除去し、 データを復元
◎企業のランサムウェア対応はプロに依頼すべき2つの理由
- 被害を最小限に抑える
- データ復旧の可能性が高い
◎ランサムウェアに感染した場合のプロの対応
- 原因特定からデータ復旧まで請け負う「フォレンジック調査」
- データの復元に特化した業者による「データ復旧」
◎企業に必須のランサムウェア対策
- セキュリティソフトを導入
- ソフトウェアは常に最新に
- 従業員全員がランサムウェアについて共通の知識をもつ
- バックアップの徹底
◎ランサムウェア対策のためのバックアップの3つのポイント
- ランサムウェアに感染しにくい保存先を用意する
- システム復旧に必要な全てのデータを保持する
- 多世代のバックアップを保管する
ランサムウェアに感染したら企業がとるべきアクションについて、具体的に理解できたのではないでしょうか。
この記事を参考にあなたの会社のセキュリティ体制が整い、安心して業務に取り組める環境が実現することを願っています。
コメント