「ランサムウェアにPCが感染してしまった!」
「ランサムウェアに感染したが、データ復旧の方法を知りたい」
このような状況に陥っている方は、まずは以下の3つの初期対応をしましょう。
ランサムウェアに感染した状態でPCの操作をしてしまうと、かえってデータの復旧が難しくなってしまう可能性があるため注意が必要です。上記の初期対応を行うことで、感染源を封じ込めることができます。
初期対応を行ったうえでランサムウェア感染からのデータ復旧の方法としては、以下の3つがあります。
それぞれの具体的な方法については、記事内で詳しく解説します。
ランサムウェアは近年増加しつつあるサイバー攻撃のひとつです。いつどのような状況でこのような被害を受けるかは分からないため、できる限り普段から対策を練っておくことをおすすめします。
そこでこの記事では、ランサムウェアに感染した際のデータ復旧の手順などについて以下の内容を詳しく解説します。
| この記事のポイント |
|
この記事をお読みいただくことで、ランサムウェアに感染した場合のデータ復旧方法について網羅できます。ぜひこの記事を参考にしていただき、ランサムウェア感染対策に役立てていただければ幸いです。
目次
1. ランサムウェアに感染したらすぐにやるべきこと3つ
冒頭でも解説した通り、ランサムウェアに感染した場合にまずすべき初期対応として以下の3つがあります。
それぞれについて、見ていきましょう。
1-1. ネットワークを遮断する
ランサムウェアへ感染したことが分かったら、ただちにネットワークやサーバーからコンピューターを遮断しましょう。ネットワークに繋いだままにしておくと、それらを経由してランサムウェアの感染が広がってしまう可能性があるためです。
例えば社内の複数のコンピューターが一つのLANケーブルで結ばれている場合には、ほかの端末にランサムウェアへの感染が拡大してしまうことも考えられます。Wi-Fiにつながっている場合にも同じ理由で、ランサムウェア感染が拡大するリスクがあります。
このため、まずはコンピューターがLANケーブルを利用しているのであれば抜いたり、Wi-Fiの接続をオフにするなどしてネットワークを遮断します。そうすることでランサムウェアをコンピューター内に封じ込めることが可能となります。
1-2. 再起動またはシャットダウンしない
ランサムウェアへの感染を確認しても、再起動やシャットダウンは行わないようにしましょう。コンピューターをオフにすることで、かえって症状が悪化してしまうことも考えられます。
ランサムウェアに感染すると多くの場合、パソコンのデータが暗号化されて使えなくなってしまいます。この症状が起こったときに多くの人は、慌ててPCの再起動を試してみたくなるでしょう。
しかし、この状況でPCをシャットダウンすることで暗号化が進むといった種類のランサムウェアも存在します。結果的に内部のファイルが見られなくなってしまうといったこともあり得ます。
そのため、もしもランサムウェアへの感染を確認したら電源は落とさずに、社内のセキュリティ担当者やシステム担当者、さらには社外提携のセキュリティ事故調査会社といったプロフェッショナルに相談しましょう。
ちなみに現時点で電源を落としてしまっている場合にもすぐに電源を付けるのではなく、そのままプロに相談して対策を練ってください。
1-3. 身代金は支払わない
身代金を要求されたとしても、決して支払わないようにしましょう。身代金を払ったとしても必ずしも暗号化を解除できるとは限らないためです。
ランサムウェアに感染すると、暗号化を解除する代わりに身代金を要求されます。以下は、そのポップアップの一例です。
出典:ランサムウェア(Ransomware)とは|トレンドマイクロ
多くの場合、被害者は支払い期限を設けられます。攻撃者は暗号化を行うだけでなく、被害者企業がランサムウェアに感染しデータが脅威にさらされるということを公表すると脅すこともあります。
被害者はこれを見ると焦ってしまい、身代金を支払いたくなってしまうかもしれません。しかし、実際には身代金を支払えば必ずデータを復旧できるとは限らないのです。また、身代金を支払うとそのお金を資金に、サイバー攻撃を助長してしまう可能性もあります。
日本では現時点で身代金支払いに関する罰則は設けられていませんが、一部海外では身代金を支払う行為を違法と位置付けています。身代金は支払わず、まずはデータ復旧に努めましょう。
2. ランサムウェア感染後のデータ復旧方法
それではここからは、具体的にランサムウェア感染が起こってしまった際のデータ復旧方法について解説します。
上から順に試しやすい方法を提示していますので、ぜひ試してみてください。それでは、それぞれ見ていきましょう。
2-3-1. データを復号できるか確認する
まずはどんな種類のランサムウェアに感染したのかを調査し、データを復号できるか確認します。ランサムウェアに感染したらまずは「No More Ransom」サイトを利用します。
「No More Ransom」はランサムウェア被害者に対して情報を提供しているサイトで、複数の団体によって運営されています。
「No More Ransom」を利用すると、暗号化されたファイルと身代金要求のファイルをアップロードすることで無料でランサムウェアを特定することができます。さらに、ランサムウェアを特定するだけでなく復元可能なツールがあればリンクを教えてくれます。
以下がその使い方です。
使い方としては、まずトップページ上部の
「①ランサムウェアの特定」をクリックし、暗号化されたファイルを
「②PCから1つ目のファイルを選択する」で暗号化されたファイルを選択します。
「③結果を見る」をクリックすると、感染したランサムウェアが分かります。
感染したランサムウェアが分かったら、同サイトの「復号ツール」で復号ツールがあるかどうかを確認しましょう。
「No More Ransom」を使えば必ず全て復号できるというわけではありませんが、チャンスはありますのでぜひ確認しましょう。利用料金は無料です。
2-3-2. バックアップを使って復元する
バックアップを取っていた場合には、それを使って復元します。
バックアップを使っての復元を行う場合に注意すべきは、必ず感染以前のバックアップを使うということです。感染後に取ったバックアップを利用すると、ランサムウェアも一緒に復元してしまうことがあるため注意しましょう。
バックアップで復元する前に注意すべき点としては、システムが古い状態だと脆弱性が残ってしまう可能性があるという点です。セキュリティソフトのフルスキャンを行ったり、OSのアップデートをまずは行うようにしましょう。
アップデートを行った後で、バックアップデータから復元を行います。バックアップの復元方法に関してはバックアップの取り方によりますが、以下に代表的なものをまとめました。
- Windows…「設定」の「更新のセキュリティ」からバックアップを行う
- MacOS…「アプリケーション」フォルダの「移行アシスタント」からバックアップを行う
2-3-3. セキュリティベンダーのツールを活用
自社内でデータ復旧が難しい場合には、多くのセキュリティベンダーが行っているランサムウェア対応の解除ツールを活用することもおすすめです。
トレンドマイクロやマカフィーなどよく知られたベンダーが無償で解除ツールを提供していますので、公式サイトを確認してみましょう。
| 悪質なデータ復旧サービスに注意! |
| 近年、ランサムウェアデータ復旧サービスと謳っておきながら「身代金を支払ってしまう業者」が出てきています。これらはランサムウェア犯罪に便乗した悪質なケースです。 悪質なデータ復旧サービスは利用せず、正当な業者に依頼するようにしましょう。 ちなみに、以下のような主張をするデータ復旧サービスには注意が必要です。
原則としてNo more ransomなどで復号化ツールが提供されていないものは、復号化できないと思っておいた方がいいでしょう。上記のような主張をする業者に関しては注意しておきましょう。 |
3. ランサムウェア感染からのデータ復旧コストは?
それではここからは、ランサムウェア感染からのデータ復旧にどの程度のコストがかかるのかについてみていきましょう。ここでは「費用」と「復旧までの時間」をデータをみながら解説していきます。
3-1. ランサムウェア感染の調査や復旧にかかった費用
まずは、ランサムウェア感染の調査や復旧にかかった費用の統計を見ていきましょう。以下は、警察庁が令和4年に発表した「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」をまとめたレポートです。
出典:令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁
これによると、「調査・復旧費用の総額」は最も多いのが、1,000万円以上~5,000万円未満で、全体の37%でした。一方で100万円未満としている場合も20%の10件となっており、ランサムウェア感染の調査や復旧にかかる費用には大きな開きがあることが分かります。
とはいえ、全体の半数以上が1,000万円以上の費用を要していることは気に留めておく必要がありそうです。
3-2. ランサムウェア感染からの復旧にかかった時間
次に、ランサムウェア感染からの復旧にかかった時間についても見ていきましょう。同じ調査のデータによると、復旧にかかった時間が1週間~1カ月未満であると回答した企業が全体の30%でした。
出典:令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について|警察庁
有効回答のうち約半数が1カ月以内に復旧できています。ただし、有効回答のうち26%の14件がまだ復旧作業を行っています。
復旧にかかる時間に関しては、あらかじめ準備をしておくことで大幅に減らすことも可能です。もしもこれからランサムウェア感染対策を行うのであれば、次章から解説する内容を参考に被害を最小限に抑えましょう。
4. ランサムウェアに感染しないために普段から対策すべきこと
ここからは、ランサムウェアに感染しないために普段から対策すべきことについて解説します。
具体的には以下の4つについて対策をしておきましょう。
それぞれ解説します。
4-1. セキュリティソフトを導入する
ランサムウェアへの感染を予防したいのであれば、セキュリティソフトの導入は必須項目です。
セキュリティソフトは外部からのランサムウェアの侵入を防ぐだけでなく、内部に侵入したものを検知・駆除してくれるためです。
セキュリティソフトを導入するとランサムウェア感染を防ぐだけでなく、被害の拡大も抑えることができます。
もちろん、セキュリティソフトを導入すれば確実にランサムウェアを排除できるというわけではありません。セキュリティソフトにも様々なものがあり、ランサムウェアの種類の寄っては検知しきれないものもあります。
とはいえ、複数のセキュリティソフトを導入したりサポートを厚くすることで、被害を最小限に抑えることは可能です。
セキュリティソフトを選ぶ際には、以下の2つの種類の双方を導入するようにしましょう。
| EPP (Endpoint Protection Platform) | マルウェア(ランサムウェア)の感染を防ぐソフト |
| EDR (Endpoint Detection & Response) | マルウェア(ランサムウェア)侵入を感知するソフト |
EPPとは、コンピューターにマルウェアが入ってこないように防ぐソフトです。
それに対しEDRとは、マルウェアが侵入した場合にいち早く感知するソフトです。
セキュリティ対策を行う場合には、これらどちらか一方だけ入れるのでは不十分です。どちらも導入することで、より強固なセキュリティ対策が可能となります。
4-2. OSやソフトウェアを常に最新の状態にする
使っているOSやソフトウェアは必ず常に最新の状態にしておきましょう。ランサムウェアはコンピューターの脆弱性が見つかった部分から侵入してしまうことがあります。
OSやソフトウェアはそうした脆弱性を解消する目的でアップデートを行っているため、ランサムウェア対策としても常に最新の状態にすることが望ましいです。
方法はOSやソフトウェアによって異なりますが、代表的なものは以下の方法で行います。
- Windows…「Windows Update」を活用したアップデートをする
- Mac OSの場合—「Mac の macOS をアップデートする」を参考にアップデートする
- その他ソフトウェアなど…製品サイトでアップデート情報を確認
4-3. 従業員にセキュリティ対策について周知する
ランサムウェアに関しては、従業員全員にセキュリティ対策について周知する必要があります。ランサムウェアの侵入経路の多くが、「メール」や「Webサイト」からの感染です。そのため、従業員がきちんとセキュリティ対策について理解しておけば防げることもあるのです。
具体的には以下のようなルールを設定しておきましょう。
- 不審なURLを開かない
- 不審なメールを開かない
- 不審な添付ファイルをダウンロードしない
- 出所不明なUSBを使わない など
これらのルールをただ伝えるのではなく、なぜこうしたルールが必要なのかや、セキュリティ被害の事例などを合わせて説明してしっかり理解してもらいましょう。社内掲示板や一斉メールで周知するのではなく、できれば少人数制の勉強会などを設けるのが望ましいです。
ランサムウェアの被害事例に関しては「【最新】ランサムウェアの国内外の被害事例10選と予防法を紹介」を参考にしてみてください。
4-4. バックアップを強化する
ランサムウェアに感染しないためには、普段からバックアップを強化しておきましょう。
ランサムウェアに感染してしまうと、コンピューターをシステムごと利用できなくなることがあります。そんな時、感染する前のバックアップデータがあると迅速に復旧することが可能です。バックアップをできるだけ頻繁に保存し、もしもの場合に備えるようにしましょう。
ランサムウェア感染対策のためのバックアップの取り方についても、いくつかの注意が必要です。例えば、自分のPCに保存すると同時に社内の共有フォルダに二重保存するといった方もいるかもしれません。しかし、ランサムウェアは同じネットワークで繋がっている端末に感染が及ぶ可能性があるので、その方法では万全とは言えません。
ランサムウェア感染対策に有効なバックアップ手法について、詳しくは次章にて解説しますのでぜひ参考にしてみてください。
5. ランサムウェア対策のためのデータバックアップ強化方法
この章では、ランサムウェア対策に最も有効なバックアップ手法として以下の3つを紹介します。
ぞれぞれ、見ていきましょう。
5-1. システムを丸ごとバックアップする
ランサムウェア対策のためのバックアップ方法として最もおすすめなのは、システムを丸ごとバックアップする「イメージバックアップ」を行う方法です。
「イメージバックアップ」はファイルやアプリ構成などコンピューター全体のコピーを作るバックアップ手法です。イメージバックアップを取っておくと、ランサムウェア感染をしてしまった場合にもすぐにシステムを復旧することができます。
イメージバックアップのデメリットとしては、システム全体のバックアップを取る方法なので容量の大きなバックアップ媒体が必要になるという点が挙げられます。それに準じてバックアップ保存のためのコストもかかる点には注意が必要です。
ただし、確実にデータを復元したいのであれば最もおすすめの方法となります。
イメージバックアップについてより詳しい内容については、「イメージバックアップ|企業にとって必須なバックアップをプロが解説」にて解説していますのでぜひ参考にしてみてください。
5-2. 離れた場所にバックアップを保存する
物理的に離れた場所にバックアップを保存するのも、とても重要な対策です。前章でも解説した通り、同一ネットワーク上にバックアップを保存してしまうとランサムウェアに感染したときにどちらも被害を被ってしまう可能性が高いためです。
またランサムウェア対策だけでなく、地震や台風といった災害などにも同時に備えるという意味でも離れた場所へのバックアップは重要です。同じ地域内にバックアップを保存してしまうと、災害が起こった際に一緒に被災してデータを失ってしまうこともあります。バックアップを保存する場所についても十分に検討しましょう。
例えばバックアップデータを保存しているメディアを遠隔地に輸送したり、クラウドに保存するといった方法も有効です。
サイバー攻撃や災害からのデータ復旧に関して、より詳しくは「ディザスタリカバリとは|プロがどこよりも分かりやすく解説」でも解説していますので、ぜひ参考にしてみてください。
ランサムウェア対策にはアークサーブのデータ保護ソリューションがおすすめ
ランサムウェア対策でバックアップの強化をお考えであれば、ぜひアークサーブにご相談ください。「Arcserve UDP」はお客様の大切なデータを保護するソリューションです。
「Arcserve UDP」はシステム全体を高速で丸ごとバックアップする「簡単イメージバックアップ」を行います。また専門知識が無くても、保存したバックアップからデータをもとに戻す作業も簡単に可能です。
Arcserve UDPには以下のような特徴があります。
- 使いやすい操作性を最大限に求めた設計
- 深い知識を提供する製品サポート
- チャネルバートナー様の利益への支援
まずはぜひ、「Arcserve UDP」の無償トライアルをお試しください。
ダウンロードはこちら
5-3. バックアップは「3-2-1ルール」で運用する
バックアップは「3-2-1ルール」で運用することを徹底しましょう。
「3-2-1ルール」とは、3つのファイルデータを2つ以上のメディアに保存し、1つは遠隔地に保存するという基本ルールです。
この方法を取ることで、例えばメディアが一つ破損してしまっても確実な復旧が可能となります。災害が起こっても遠隔地にバックアップを保存するためリスクは大きく下がります。
バックアップを確実に取るのであれば、ぜひ「3-2-1ルール」を徹底してください。
ランサムウェアのバックアップ対策についてより詳しくは「ランサムウェア感染からでも、早く、的確に復旧させるプロ直伝のバックアップ方法」で解説していますので参考にしてみてください。
6. まとめ
以上この記事では、ランサムウェアに感染した際のデータ復旧の手順などについて以下の内容を詳しく解説してきました。
| この記事のポイント |
|
この記事をお読みいただいたことで、ランサムウェアに感染した場合のデータ復旧方法について網羅できたかと思います。ぜひこの記事を参考にしていただき、ランサムウェア感染対策に役立てていただければ幸いです。
コメント