ランサムウェアに感染してしまったら？やってはいけないこと、やるべきことを解説

サイバー攻撃の脅威が日々高まる中、特にランサムウェアによる被害が深刻化しています。かつてはハッカー（クラッカー）の腕試しや愉快犯的な要素が強かったサイバー攻撃ですが、今や組織化・ビジネス化が進み、高度な手法で金銭を得ることを目的としています。注目すべきは、その標的が大企業だけでなく、中小企業にまで及んでいることです。

「うちのような小さな会社が狙われるはずがない」。そう思い込んでいる経営者は少なくありません。しかし、中小企業こそがサイバー犯罪者にとって格好の標的となっているのです。セキュリティ対策が不十分で、攻撃に対する耐性が低いからです。

もちろん、サイバー攻撃を未然に防ぐことが最善策です。しかし、完璧な防御は現実的に不可能です。そのため、攻撃を受けた後の対応策を事前に準備しておくことが極めて重要になります。本コラムでは、ランサムウェアに感染してしまった場合の対処法について、具体的に解説していきます。

ランサムウェアとは

ランサムウェア（ransomware）は、「身代金(ransom)」と「ソフトウェア（software）」を組み合わせた言葉で、システムやデータを人質に取り、身代金を要求する悪意のあるソフトウェアです。 一度感染すると、ランサムウェアはコンピュータ内のファイルを暗号化し、使用不能にします。その後、攻撃者は被害者に対して、ファイルの復号キーと引き換えに身代金（多くの場合、仮想通貨）を要求します。 近年のランサムウェアは非常に洗練されており、単にファイルを暗号化するだけでなく、機密データを盗み出し、公開すると脅迫するケースも増えています。これにより、バックアップ等から復元できるため身代金を支払わない場合でも、データ漏洩による二次被害のリスクが生じます。 ランサムウェア攻撃は、企業の業務停止や重要データの喪失につながる可能性があり、その影響は甚大です。

また、最近では暗号化を行わず、窃取した情報の公開を脅迫の材料とするノーウェアランサムという手口もあります。

ランサムウェア攻撃を受けたら

ランサムウェア攻撃の可能性がある場合、ランサムノート（脅迫文）を確認しましょう。
ランサムノートはデスクトップの壁紙として表示されたり、 目につく場所にテキストファイルとして置かれたりする場合があります。時には漏えいした情報を目にした社外のセキュリティ専門会社や監督官庁から連絡がある場合もあります。

やってはいけないこと

まずは、やってはいけないことを説明します。

パニックに陥り、衝動的な行動を取る

ランサムウェア感染は確かに危機的状況ですが、パニックは状況を悪化させる可能性があります。冷静さを失うと、重要な手順を飛ばしたり、誤った判断をしたりする恐れがあります。落ち着いて、事前に準備した対応計画（コンティンジェンシープラン）に従って行動することが重要です。チームメンバーと協力し、専門家の助言を得ながら、段階的に問題に対処していくことが重要です。

パソコンやサーバーを再起動する

ランサムウェアに限らず、マルウェアの対処全般に言えることですが、再起動してはいけません。
被害の解析に必要なメモリ内の情報や、再起動によりプロセスを加速させるマルウェアが存在します。

感染したデバイスを継続して使用する

再起動をしてはいけませんが、かといってデバイスを使用してよい訳ではありません。感染が疑われるデバイスの使用を続けることは、被害を拡大させる大きなリスクがあります。継続使用により、より多くのファイルが暗号化されたり、ネットワーク上の他のデバイスに感染が広がったりする可能性があります。さらに、攻撃者がシステムにアクセスし続けることで、より多くの機密情報が流出する恐れもあります。感染に気付いたら、直ちにネットワークから切断し、専門家の指示を仰ぐまで使用を控えてください。

身代金を即座に支払う

身代金の即時支払いは避けるべきです。支払いを急ぐと、他の選択肢（バックアップからの復旧など）を十分に検討する時間を失います。また、支払いが犯罪者を助長し、将来的に自社や他組織への攻撃を増加させる可能性があります。さらに、支払いを行っても、確実にデータが復元される保証はありません。

攻撃者と直接交渉する

攻撃者との直接交渉は、多くのリスクを伴います。専門知識がない状態で交渉すると、不利な条件を受け入れてしまったり、攻撃者に更なる弱点を露呈してしまう可能性があります。
また、交渉過程で意図せず重要な情報を漏らしてしまう恐れもあります。代わりに、サイバーセキュリティの専門家や警察に相談し、彼らの経験と知識を活用して交渉戦略を立てることが重要です。

証跡を削除する

パニック状態や早期復旧を急ぐあまり、証跡を削除してしまうことがないようにしましょう。システムログ、暗号化されたファイル、攻撃者からのメッセージなどは、後の調査や法的対応に不可欠です。これらの証跡は、攻撃の手法を解明し、再発防止策を立てる上でも重要な情報源となります。また、サイバー保険の請求や法的措置を取る際にも必要となります。証跡は慎重に保全し、専門家の指示に従って取り扱うべきです。

やるべきこと

次に、やるべきことを説明します。

即時のネットワーク切断

感染が確認されたら、直ちに当該デバイスをネットワークから切断します。有線LANケーブルを抜き、Wi-Fiをオフにします。これにより、ランサムウェアの拡散を防ぎ、他のシステムやデータへの被害を最小限に抑えられます。また、攻撃者との通信を遮断し、さらなる指令や暗号化を阻止できる可能性があります。迅速な対応が被害の拡大を防ぐ鍵となります。

被害状況の確認

感染範囲と影響を正確に把握します。どのファイルが暗号化されたか、システムのどの部分が影響を受けたかを特定します。暗号化されたファイルの種類や量、重要度を評価し、業務への影響を判断します。また、データ漏洩の可能性も考慮し、機密情報が含まれていないか確認します。この情報は今後の対応策を決定する上で重要となります。
情報が漏えいしていないかの確認は、ダークウェブモニタリングサービスを活用している場合はサービス提供ベンダへ確認、システムのログを確認するなどの方法がありますが、普段から信頼できる専門の調査会社を調査し、すぐに連絡がとれるようにしておくことがベストです。

関係者への通知

速やかに社内の関係者に状況を報告します。IT部門、経営陣、法務部門、広報部門など、対応に必要な部署に連絡します。各部門の役割を明確にし、協力して対応にあたります。また、必要に応じて取引先や顧客にも状況を説明し、透明性を保ちます。迅速かつ正確な情報共有が、効果的な危機管理の基本となります。

証跡の保全

法的対応や保険請求のため、証跡を慎重に保全します。システムログ、暗号化されたファイル、攻撃者からのメッセージなどを保存します。可能であればメモリダンプも取得し、マルウェアの詳細な分析に役立てます。証跡の改ざんを避けるため、専門家の指示に従って作業を行います。これらの証跡は、攻撃の手口解明や再発防止策の立案にも有用です。

専門家への相談

サイバーセキュリティの専門家や警察に支援を求めます。専門家は高度な技術と経験を持ち、効果的な対応策を提案できます。また、警察は犯罪捜査の観点から助言を提供し、類似事件の情報も共有してくれる可能性があります。JPCERT/CCなどの公的機関への報告も検討し、支援を得ることも有効です。

バックアップの確認

定期的なバックアップの存在を確認し、その完全性を検証します。バックアップがランサムウェアに感染していないか慎重に確認します。可能であれば、攻撃前の最新のクリーンなバックアップを特定します。オフラインで保管されているバックアップは特に有用です。バックアップからの復旧が可能な場合、身代金支払いを回避できる可能性が高まります。

身代金支払いの検討

原則として支払いには応じるべきではありません。しかし、人命にかかわる場合や大規模災害に繋がる場合など、警察やセキュリティ専門家と相談の上、対処せざるを得ない場合もあるかもしれません。
そういった場合にも注意が必要です。海外では、交渉を専門とした交渉人（ネゴシエーター）が攻撃者と連携し、身代金を払いやすいよう仕向けたり、攻撃者からキックバックを受けたりする事例もあります。信頼できる相談先を普段から準備しておくことが有効です。

システムの復旧

クリーンな状態からシステムを再構築します。感染したシステムは完全に初期化し、最新のセキュリティパッチを適用した上で、必要なソフトウェアを再インストールします。バックアップからデータを復元する際は、ファイルが感染していないか慎重に確認します。復旧後は、システムの動作を綿密にモニタリングし、異常がないか確認します。

また、ランサムウェアで暗号化されたファイルはあきらめるしかないと思われていますが、意外にも復号化ツールが存在するランサムウェアもあります。
復号化ツールを無償で提供しているウェブサイト「No More Ransom」はヨーロッパの警察や大手IT企業が運営しています。暗号化されてしまったファイルやランサムノート、実行犯のメールアドレス、ビットコインアドレス等からランサムウェアの種類を特定でき、復号化できる場合はツールが提供されます。
2025年1月現在、180種類のランサムウェアに対する復号化ツールが提供されています。

NO MORE RANSOM

セキュリティ強化

一度攻撃を受けた場合、再攻撃のリスクがあります、その理由は以下の通りです。

• 攻撃者は同じ脆弱性を使って再び侵入する可能性が高い
• 初回の攻撃で得た内部情報を利用した、より精緻な攻撃を仕掛けてくる可能性
• バックドアが残存している可能性があり、完全な駆除が必要

攻撃の経験を踏まえ、セキュリティ対策を全面的に見直します。ファイアウォールやアンチウイルスソフトの強化、多要素認証の導入、定期的なセキュリティ監査の実施などを検討します。従業員向けのセキュリティ教育も重要です。また、ゼロトラストアーキテクチャの導入など、より高度なセキュリティ戦略の採用も考慮します。

事後分析と報告

攻撃の全容を詳細に分析し、報告書にまとめます。侵入経路、使用されたマルウェアの種類、被害の範囲、対応の効果などを記録します。この分析結果を基に、セキュリティポリシーや対応手順の改善点を特定します。また、類似の攻撃に備えるため、得られた知見を組織全体で共有します。継続的な改善のサイクルを確立することが重要です。

二次被害の防止

ランサムウェア攻撃の被害は自社のみではありません。窃取された情報を公開された場合、第三者に被害が及ぶ可能性があります。以下の二次被害防止の対策は特に重要です。

速やかな情報開示

個人情報漏洩が確認されたら、迅速かつ透明性のある情報開示が不可欠です。被害者に対し、漏洩の事実、範囲、潜在的リスクを明確に伝えます。この通知には、漏洩した情報の種類（例：氏名、住所、クレジットカード番号など）、想定される悪用の可能性、そして被害者自身が取るべき具体的な対策を含めます。迅速な開示は、被害者が早期に自己防衛措置を講じることを可能にし、また組織の信頼性維持にも寄与します。

また、被害者以外にも個人情報保護委員会や監督官庁へも報告が必要です。特に、GDPR対象国の個人情報が含まれている場合は72時間以内という具体的な制限が設けられているため注意が必要です。

パスワードリスト攻撃に対する注意喚起

漏洩した情報に、暗号化されていないアカウント情報が含まれる場合、パスワードリスト攻撃のリスクがあることを注意喚起する必要があります。漏洩したアカウントと同じパスワードを他のサービスでも使用している場合、それらすべての変更が必要です。新しいパスワードは十分に複雑で、以前のものとは全く異なるものを選択するよう注意喚起します。

身代金は払うべきかどうか

ランサムウェア攻撃に遭った場合、一般的には以下の理由から身代金を支払うことは推奨されません。

犯罪者に資金を提供することになる

身代金を支払うことは、直接的にサイバー犯罪組織の活動資金となります。これにより、彼らの組織力や技術力が向上し、より多くの被害者を生み出す可能性があります。また、ランサムウェア攻撃が「儲かるビジネス」として認識されることで、新たな犯罪者の参入を促し、攻撃の頻度や規模が拡大する恐れがあります。結果として、サイバー犯罪のエコシステム全体を強化してしまう危険性があります。

支払っても必ずしもデータが返還される保証がない

支払っても必ずしもデータが返還される保証がない: 犯罪者との取引には信頼性がありません。身代金を支払っても、約束通りにデータを復号化するキーが提供されない、または提供されても正常に機能しないケースが多々あります。一部のデータのみが復元され、残りは失われるという事態も起こり得ます。また、データが復元されても、密かにバックドアを仕掛けられているなど、新たなセキュリティリスクが生じる可能性もあります。

再び攻撃の標的になる可能性が高くなる

身代金を支払うことで、その組織が「支払う意思がある」ターゲットとして認識されてしまいます。これにより、同じ攻撃者や他の犯罪グループから、再度狙われるリスクが高まります。また、セキュリティの脆弱性が修正されていない場合、同じ手法で繰り返し攻撃される可能性もあります。結果として、長期的にはより大きな損害を被る恐れがあります。

支払った事実をさらなる脅迫の材料とされる

ランサムウェア攻撃にあったことを世間に公表せず穏便に済ませようとした場合、犯罪組織に身代金を支払った事実を公表すると脅すことによりあらたな資金を調達しようとする脅迫につながることがあります。

違法行為の可能性がある

一部の国では、特定のサイバー犯罪組織への支払いが法律で禁止されている場合もあり、支払いそのものが違法行為となる可能性があります。

身代金支払いを検討するべき状況

一般的には身代金を支払うべきではありませんが、例外的に支払いを検討せざるを得ない状況もあります。

・人命にかかわる場合
・大規模災害に発展する場合
・国家安全保障に関わる極めて重要な情報の場合

これらの状況でも、警察や専門家と相談の上で判断することが重要です。

まとめ