2023.02.28
ランサムウェアに感染したらどうなる?対処法や確認方法を徹底解説
年々、被害件数が増えているランサムウェア。感染するとデバイスのロックがかかったり、データを暗号化されたりするため、感染している間は業務を停止せざるを得なくなります。企業活動に大きな影響が出るため事前に防ぐことが最善ですが、感染した場合の対処法を把握しておくことで、迅速な復旧が可能になります。そこで今回は、ランサムウェアに感染した場合の症状や対処法を紹介します。
ランサムウェアに感染したらどうなる?
ランサムウェアとはRansom(身代金)とSoftware(ソフトウェア)からなる造語で、感染したコンピューターやシステム上で悪意のある動きをするマルウェアというウイルスの一種です。ランサムウェアに感染すると、強制的にロックをかけたコンピューターの復元や窃取した情報の暴露をしない代わりに、身代金を要求されます。この特徴から「身代金要求型不正プログラム」「身代金要求型不正ウイルス」と呼ばれることもあります。
ランサムウェアの潜伏期間
ランサムウェアは感染してすぐに攻撃を開始するのではなく、15日程度の潜伏期間があります。その間、ネットワークやメールなどでやり取りされる添付ファイル、従業員間の繋がりなどを介して組織内に徐々に浸透し、感染が十分に広がったのちに攻撃を開始するケースが多く見られます。
ランサムウェアの感染確認方法
ランサムウェアに感染した場合、次のような症状が見られます。
- 保存データが暗号化される
- パスワードが勝手に変更されている
- データにアクセスすると警告文が出て身代金を要求される
- 画面そのものがロックされる
これらの症状が出た場合には、高確率でランサムウェアに感染しています。次項から、感染が疑われた場合の対処法について詳しく見ていきましょう。
ランサムウェアに感染した場合の対処法
ランサムウェアに感染した場合は、次の手順に沿って対処していきます。
【ランサムウェアに感染した場合の対処法】
- ネットワークから遮断する
- ランサムウェアの種類を特定する
- データの復元
まずは感染しているデバイス・システムを社内ネットワークから切り離すのが先決です。タイミングによっては暗号化を途中で食い止めることも可能で、被害の拡大を防げます。
1.ネットワークから遮断する
ランサムウェアの感染に気づいたら、これ以上の感染拡大を防ぐためにも、まずは感染したデバイスやシステムをネットワークから遮断します。有線LANで繋いでいる場合はLANケーブルを抜き、無線LANやWi-Fiで繋がっている場合はその機能をオフにして、対象のデバイス・システムを隔離します。
感染に気づいて切り離すタイミングが早ければ、感染拡大はもちろん、ファイルの暗号化を途中で食い止めることも可能です。ネットワークから遮断したあと、感染した対象物の対応については情報システム部や外部のセキュリティーベンダーなどの専門家に任せましょう。素人判断で再起動を行うと、ランサムウェアの活動が再開してファイルの暗号化を進めてしまう恐れがあります。
2.ランサムウェアの種類を特定する
ネットワークの遮断を行い、セキュリティー対策ソフトやツールを使ってランサムウェアの除去ができたら、その種類の特定を行います。種類の特定はランサムウェアに関する情報を提供している「No More Ransom」や「ID Ransomware」などを活用すると良いでしょう。
これらのサイトでは、「暗号化されたファイル」と「身代金要求ファイル」をアップロードすることで、ランサムウェアの種類の特定が可能です。該当するファイル復元ツールがあれば、ファイルの復元を図れる可能性があります。
3.データの復元
データの復元は「バックアップがある場合」と「バックアップがない場合」で対処法が異なります。
データのバックアップがある場合
データのバックアップがある場合は、パソコンを初期化します。購入当初の状態に戻すことで、侵入しているランサムウェアをもろとも削除できます。ただし、パソコン内のデータがすべて削除されることはもちろん、ランサムウェアの感染経路自体も削除されてしまうので、感染した状況の調査や再発防止策を講じることができなくなります。そのため、ネットワークから切り離したあとは、自力で対応するのではなく、専門家による調査を依頼するのがおすすめです。
データのバックアップがない場合
データのバックアップがない場合は、パソコンを初期化してしまうと必要なデータまで削除することになるため、業務の復旧ができません。そのため、セキュリティーソフトやツールを稼働させてランサムウェアを検知・駆除しましょう。その後、ランサムウェアの種類を特定し、復元可能な種類であれば、ファイルの復元を図ります。
ランサムウェアに感染した際に絶対にやってはいけないこと
ランサムウェアに感染した際は、次のことは絶対にやってはいけません。
- 感染したデバイス・システムの再起動
- 身代金の支払い
- バックアップを取る
感染したデバイス・システムを再起動してしまうと、止まっていた暗号化が進んでしまうため厳禁です。さらに、感染後にバックアップを取ってしまうと、バックアップ先にあるファイルも暗号化される恐れがあるため、素人判断をせずに情報システム部やセキュリティーベンダーなどの専門家に見てもらうようにしましょう。
対応が難しい場合は専門家へ相談
ランサムウェアなどのマルウェアに感染した際に、焦って対処してしまうと余計に被害を拡大させる可能性があります。感染した場合に平常心でいられる人は少数派です。混乱して対処に悩んでいるうちに被害が拡大することも考えられるので、確実性を重視するのであれば専門家への相談が望ましいでしょう。
また、感染経路などを調べるためのフォレンジック調査などの対応は、素人ではとても対処できるものではありません。そのため、ネットワークの遮断やランサムウェアの特定などの初動は自力で、その後の工程は専門家に依頼するのがおすすめです。感染発覚後はスピーディーに対処する必要があるため、セキュリティインシデント時の初動を事前に規定するといった際には、相談する専門家の候補も検討しておくと良いでしょう。
ランサムウェアに感染しないための対策
ランサムウェアに感染しないためには事前の対策も必要です。
【ランサムウェアに感染しないための対策】
- 不審なメールは開かない
- 怪しいWebサイトにアクセスしない
- セキュリティー対策ソフトやツールを導入する
- OSを最新にアップデートする
マルウェア対策の基本であるセキュリティー対策ソフトやツールは導入しておくと安心です。怪しいメールやWebサイトに潜むランサムウェアをはじめとするマルウェアの検知・駆除を自動で行ってくれます。また、アップデートを行って常に最新の状態にしておけば、後発の攻撃手法やウイルスにも対応でき、より高いセキュリティー環境を実現することができます。
まとめ
ランサムウェアは感染しないことが一番です。しかし、攻撃者側の手法も日々進化しているため、対策を行っていたとしてもすべてを防ぐのは難しいといった側面もあります。被害の拡大を最小限に留めるために、万が一に備えて感染した場合の対処法を把握し、社内でどういった動きを取るのかを決めておくことが大切です。
ただし、自社で間違った対処法が広まってしまうと、調査に必要となる貴重な証拠を誤って消してしまう恐れもあります。そのため、感染した際の対処法については、まずは一度、専門家に相談しておくこともおすすめです。
【関連コンテンツ】