情シス運用サポートBlog

2023.12.28

ランサムウェア感染時の復旧方法とは? 初期対応から被害を抑える対策まで徹底解説

関連サービス
セキュリティ対策

目次

ランサムウェアは、データを暗号化して身代金を要求する非常に厄介なウイルスです。感染によって業務が滞り、顧客サービスを提供できないなど、企業が受けるダメージは大きく、より強固なセキュリティ対策の導入が急務となっています。
この記事では、万が一、ランサムウェアに感染した場合に備えて、感染時の初期対応から復旧方法まで詳しく解説します。被害を最小限に抑えるための対策も紹介しますので、ぜひ参考にしてください。

既知・未知の脅威も エンドポイント セキュリティで防御!

ランサムウェアに感染すると何が起きるか

ランサムウェアは、身代金要求型の悪質なマルウェアです。データを不正に暗号化し、使用不能な状態にした後、データ復旧と引き換えに金銭を要求します。
近年では、攻撃の手法がさらに悪質化し、金銭の支払いに応じなければ企業の重要情報を流出させると脅す「二重脅迫型」の被害が深刻です。
ランサムウェアは、以下のような段階を踏んで攻撃を行います。

  1. 標的の脆弱性や不備を突いて端末内に侵入する
  2. データの暗号化、管理者権限の窃取、端末ロックなどを行う
  3. データの復元や端末のロック解除と引き換えに金銭を要求する
  4. 支払いに応じなければ、機密データや個人情報を暴露すると脅す

ランサムウェアの感染経路で多いのが、VPN(Virtual Private Network:仮想専用通信網)機器やリモートデスクトップからの侵入です。また、不審なメールや添付ファイルを開くことでランサムウェアに感染するケースもあります。

ランサムウェアの感染経路や対策法について、さらに詳しい記事をご用意しております。
▼ランサムウェアの感染経路は? 感染被害や対策方法を徹底解説!

ランサムウェア感染時の主な症状

ランサムウェアに感染すると、以下のような症状が現れます。

  • 画面に脅迫文が表示される
  • ファイルの拡張子が書き換えられて開けない
  • パスワードが勝手に変更されている
  • 管理者権限が失効している
  • 端末がロックされて操作できない

このような症状がある場合は、ランサムウェアへの感染が強く疑われます。また、ランサムウェアだけでなく、複数のマルウェアに感染しているケースもあるため、慎重な調査が必要です。

ランサムウェアによる被害

ランサムウェア感染で企業が受ける被害は、広い範囲に及びます。代表的な被害は次の通りです。

業務やサービスの停止

ランサムウェアによってデータが暗号化されると、ファイルの閲覧や編集作業ができなくなり、様々な業務に支障が出ます。また、端末自体がロックされれば、業務が一切行えなくなってしまうでしょう。
ランサムウェアが基幹システムや社内ネットワークにまで侵入すると、被害はさらに深刻化。企業は機能不全に陥り、顧客にサービスを提供できなくなることで、甚大な損害が発生する恐れがあります。

情報漏えいの発生

二重脅迫型のランサムウェア攻撃を受けた場合、情報漏えいのリスクが高まります。機密データや個人情報が流出するような事態になれば、企業はその責任を厳しく追及される可能性も出てくるでしょう。社会的信用の失墜だけでなく、損害賠償の支払いが必要になるケースもあるのです。

信頼失墜

ランサムウェア感染による業務停止は、自社だけでなく、取引先や顧客にもダメージを与えます。
例えば、「生産管理システムがダウンして製造や出荷が行えない」「オンラインサービスの利用ができない」といった状況が長引けば、企業の信頼失墜やイメージ低下につながりかねません。ランサムウェアから復旧した後の営業活動や収益にも影響が及ぶ可能性さえあるのです。

金銭的損害

ランサムウェアの感染が広範囲に及ぶケースでは、様々な金銭的負担が生じます。 データやシステムの復旧にかかる費用に加え、顧客への損害賠償金、再発防止のためのコンサルティング費用など多岐にわたります。
復旧作業が難航し、事業停止の期間が長くなれば、機会損失による収益の減少も避けられないでしょう。

ランサムウェアに感染した場合の初期対応

ランサムウェアに感染した場合の初期対応について解説します。不測の事態に備えて、まずとるべき行動や、やってはいけないことなどを頭に入れておきましょう。

ネットワークを遮断する

ランサムウェアへの感染が疑われたら、該当端末をすぐにネットワークから切り離しましょう。接続したままにしておくと、ネットワークを介してランサムウェアが拡散され、他の端末やサーバーにまで被害が広がる恐れがあります。
ネットワークを遮断する方法は、接続の仕方で異なります。有線接続の場合は、端末に接続されているLANケーブルを取り外します。無線接続であれば、Wi-Fi設定をオフにする、もしくはWi-Fiルーターの電源を落とすなどの方法でネットワーク接続を無効化します

再起動やシャットダウンを行わない

端末のシャットダウンや再起動を行わないことも、初期対応における重要なポイントです。
ランサムウェアに感染した状態で電源のオン・オフをすると、データ復旧の妨げや被害拡大の要因となる可能性があります。
感染発覚後、事態を悪化させないためには、まず端末をネットワークから切り離すことが何より肝心です。

セキュリティ担当者や専門会社に連絡する

脅迫文の表示やファイルの暗号化を確認したら、速やかにセキュリティ担当者に報告しましょう。初動から迅速に対処できるよう、インシデント発生時の対応フローを周知しておくことも必要です。サイバー攻撃を受けた際の初動対応や復旧手順をまとめた「インシデント対応計画」が定められている場合は、それに沿って対処していきます。
また、サイバーセキュリティ対策を専門とする事業者や、各都道府県警察の「サイバー犯罪相談窓口」に、今後の対応について相談するのも有効な方法です。

身代金の要求には応じない

身代金の要求には一切応じないようにしましょう。仮に金銭を支払ったとしても、データの暗号化が解除される保証はなく、さらに金銭を要求されるリスクもあります。また、金銭を支払うことは、ランサムウェア攻撃を助長させる要因になります。
身代金の要求に応じても確実な解決にはつながりません。別の方法で復旧を目指しましょう。

ランサムウェア感染後の復旧方法

ランサムウェアに暗号化されたデータを復旧する方法として、以下の3つが挙げられます。

  1. 「No More Ransom」で復号が可能か確認する
  2. バックアップを使ってデータを復元する
  3. ベンダーが提供する無償ツールを利用する

それぞれの内容を詳しく解説します。

1. 「No More Ransom」で復号が可能か確認する

「No More Ransom」プロジェクトのWebサイトでは、ランサムウェアの特定や復号ツールの調査が可能です。「No More Ransom」とは、オランダ警察、ユーロポール(欧州警察機関)、カペルスキー社、マカフィー社が主導するプロジェクトで、ランサムウェア被害の救済や感染防止対策の周知を目的としています。
No More Ransomサイトでは、暗号化されたファイルや身代金要求アドレスをアップロードすることで、ランサムウェアの種類を特定できます。ランサムウェアの復号ツールも公開しており、ランサムウェアの特定後、該当する復号ツールがある場合は、そのリンク先を表示してくれます。

2. バックアップを使ってデータを復元する

事前にバックアップを取っていた場合は、それを利用してデータを復元できます。ランサムウェアに感染する前のバックアップデータであることが重要です。
ネットワーク上に保管しているバックアップデータや、感染後に取得したバックアップデータの中には、ランサムウェアが潜んでいるリスクがあります。これらを使用してデータを復元すると再感染が起きてしまうため、注意しましょう。

3. ベンダーが提供する無償ツールを利用する

セキュリティベンダーが提供する無償ツールを利用するのもひとつの方法です。カペルスキー社やマカフィー社など大手セキュリティベンダーでは、マルウェアの駆除ツールやリカバリーツールを一般に提供しています。必ずしもデータを復旧できるとは限りませんが、一度試してみるのもいいでしょう。

有効な予防策・復旧対策は? ランサムウェア被害を最小化する方法

激化するランサムウェア攻撃に対抗するためには、どのような対策が有効なのでしょうか。ここでは、ランサムウェア被害を最小限に抑えるための予防策・復旧対策を紹介します。

ランサムウェア対策ツールを導入する

ランサムウェアに対抗するためには、セキュリティツールの導入が不可欠です。近年では、セキュリティの壁をすり抜けて攻撃を仕掛ける事例も多く発生しており、ランサムウェアの侵入を防ぐ事前対策(EPP)と、侵入された際に被害を最小化する事後対策(EDR)の両方が重要となっています。
EEPとEDRについて詳しい記事もご用意しております。ぜひご確認ください。
▼「EPP」と「EDR」の違いとは? エンドポイント対策の目的や機能について解説

EPPとEDRの役割

EPPとEDRの役割をまとめると次のようになります。

  • EPP
    エンドポイントへの脅威の侵入を防ぐ
  • EDR
    エンドポイントに侵入済みの脅威を迅速に検知し、被害拡大を防ぐ

ランサムウェア攻撃の手口は常に進化しているため、新たな脅威や未知のマルウェアにも対応できるセキュリティツールを選ぶ必要があります。具体的には、AI(人工知能)技術を用いた高性能なEDR製品や、EPPとEDRの機能を兼ね備えた製品などがおすすめです。
テクバンのEDR導入支援サービスとは?

確実なバックアップ体制を構築する

デスクトップやネットワーク上にバックアップデータを保管していると、ランサムウェアに感染した際に暗号化されるリスクがあります。バックアップが使用不能となれば、データが永久に失われてしまう可能性もあります。

ランサムウェア被害から早期復旧を図るには、感染前に取得したバックアップデータが必要です。定期的にバックアップを行い、データを安全な場所に保管しておくことが肝心です。

バックアップデータは、例えばランサムウェアが侵入できないオフライン環境や、外部のクラウドサービスに保管することをおすすめします。

社内の情報資産のバックアップには下記のサービスをおすすめしています。
テクバンのMicrosoft Azureクラウドファイルサーバー導入支援サービス

クラウドストレージを活用する

日常的な業務やデータのバックアップに、クラウドストレージを活用するのも有効な対策です。社内ネットワークから離れた環境にデータがあるため、ランサムウェアによる被害を回避できます。

ただし、端末とクラウドストレージ間で同期が設定されている場合は注意が必要です。ランサムウェア感染後に同期が行われると、クラウド側にまで暗号化の被害が及んでしまいます。このような被害を防ぐためには、クラウドストレージとの接続を分離する、もしくはアクセス権を持つユーザーが必要な時のみ接続するなどの対策が求められます。

OSやソフトウェアを最新の状態に保つ

基本的なことですが、端末のOSやソフトウェア、通信機器のファームウェアなどは、常に最新の状態に保ちましょう。ランサムウェアを含むマルウェアは、技術的な脆弱性を突いて侵入を試みます。更新ファイルやパッチが提供されたら放置せず、速やかにアップデートを実行しましょう。

セキュリティ対策の重要性を周知する

社員に対してセキュリティ教育を行い、ランサムウェアへの理解を深めてもらうことも重要です。ランサムウェアに感染すると何が起きるのか、どのような経路で感染してしまうのかなど、具体的な被害事例を伝えることでセキュリティへの意識が高まります
業務を行う上での注意点だけでなく、感染発覚時の報告先や対応フローについても周知しておきましょう。

ランサムウェア感染時における復旧の課題

ランサムウェア攻撃は2023年現在、激化の一途をたどっています。被害を100%防ぐことは難しく、対策を講じても復旧に至らないケースも存在します。復旧を妨げる主な要因としては、未知の脅威による攻撃、バックアップ不全、セキュリティ人材の不足などが挙げられます。

また、何らかの方法でデータ復旧に成功したとしても、攻撃者に情報を窃取された後では、重要情報が流出するリスクがあります。「身代金を支払わなければ情報を暴露する」と脅迫される事態になれば、対応は困難を極めるでしょう。

ランサムウェアの手口は年々巧妙化! 早期復旧には事前対策が重要

これまで述べたように、ランサムウェアの手口は巧妙化しており、被害を防ぐためには十分な対策が必要です。自社にとって必要な対策は何か、どのようなツールを導入すべきか、サイバーセキュリティの専門家に一度相談してみるのもおすすめです。

テクバンでは、ランサムウェアに対抗するための様々なソリューションを提供しています。「自社に最適なセキュリティ製品が知りたい」「未知の脅威に備えてセキュリティを強化したい」など、お客様のニーズに応じたご提案が可能です。

ランサムウェア対策として有効な下記のEDRの導入支援も行っておりますので、ぜひお気軽にご相談ください。
テクバンのVMware Carbon Black Cloud導入支援とは?
テクバンのSophos Intercept X Advanced導入支援とは?
テクバンのCrowdStrike Falcon導入支援とは?

ランサムウェアからの迅速な復旧を実現しよう

ランサムウェア攻撃から迅速に復旧するためには、事前に十分な対策を講じておく必要があります。
ランサムウェアに有効なセキュリティツールの導入や、安全なバックアップ体制の構築は特に重要です。
不測の事態に備えて、ランサムウェア対策を万全なものにしておきましょう。
テクバンに相談する

お気軽に
ご相談ください