Written by WizLANSCOPE編集部
【完全保存版】ランサムウェア被害を防ぐ!感染前後に行いたい32のアクションリスト
本資料では、ランサムウェアへの「感染を防ぐための予防策」から「感染後の初動対応」までをチェックリスト形式でまとめています。実践的な内容にしているため、緊急時対応の見直しにもぜひご活用ください。
目 次
この記事では「ランサムウェアに感染した場合の対処方法」について、5つのステップで解説しています。
▼ランサムウェア感染時対応の5つのステップ
- 初動対応(感染内容の確認)
- ランサムウェアの報告とインシデント対応策の決定・実施
- ネットワークの遮断
- 感染範囲の確認と情報の記録
- 被害の最小化と原状回復
近年、国内外を問わずランサムウェアによる被害が拡大しています。
感染によるデータの搾取や暗号化・身代金の要求といった深刻な被害を生むランサムウェアだからこそ、万一の感染時に備え「感染後の対応フロー」を企業で明確にしておくことが重要です。
「ランサムウェアに感染した場合の対処方法」に加え「感染時、絶対にやってはいけない行為」「感染しないための予防策」に関して、わかりやすくご紹介します。
ランサムウェアに感染したら、絶対にやってはいけないこと
ランサムウェアへ感染の疑いがある状況で、初動対応として絶対にやってはいけない行為は以下の3点です。
- 感染端末を再起動する
- 感染後にバックアップを取る
- プロや警察へ相談せず身代金を支払う
1.感染端末を再起動する
やってはいけない初動対応、1つ目は「感染の疑いがある端末を再起動させること」です。
理由は、PCを再起動するとシャットダウンによって停止していたデータの暗号化が再開し、端末内のファイルが閲覧できなくなるリスクがあるためです。
また感染時の対応としても本来はシャットダウンでなく「ハイバネーション」と呼ばれる「シャットダウン前に現在のメモリ内容を保存しておく処理」を行うのが望ましいとされているため、むやみに端末を強制終了することはおすすめしません。
感染後、端末は再起動せず速やかにネットワークから切り離すことが重要です。
2.感染後にバックアップを取る
やってはいけない初動対応、2つ目は「感染後にデータのバックアップを取得すること」です。
理由としては、感染後にバックアップを取るとランサムウェアに感染した状態のデータを保存するため、復旧後に再びランサムウェアへ感染してしまうリスクがあるためです。
またバックアップデータを他の端末に接続・読み込みすることで、感染を拡大させる可能性もあります。
万一、データを暗号化された場合も復旧できるよう、日頃から定期的にバックアップを取得することが重要です。
3.プロや警察へ相談せず身代金を支払う
やってはいけない初動対応、3つ目は「プロや警察へ相談せず、攻撃者に身代金を支払ってしまうこと」です。
攻撃者は「データの暗号化解除」と引き換えに高額な身代金を要求しますが、支払いに応じてもデータが復旧されるとは限りません。
最近では「データの暗号化解除による脅迫」に加え「データ搾取によるデータ公開の脅迫」を二重で要求されるケースも多く見られます。
支払いに応じても追加の要求が来る可能性があるため、まずはセキュリティの専門家や警察へ速やかに相談することをおすすめします。
また企業や組織であれば、ランサムウェアに感染した際の初動対応として「セキュリティインシデント発生時の対応計画」を定められているケースも少なくありません。
ランサムウェアへの感染が発覚した場合は速やかに自社の対応フローを確認し、警察やプロと連携して正しく対処しましょう。
もし現時点で対応フローが明確化されていない場合、万一に備えて自社に適したインシデント対応計画を策定することをおすすめします。ぜひ以下の記事もご覧ください。
ランサムウェアに感染したら企業が行うべき5つのステップ
万が一、ランサムウェアに感染した場合の「対応の流れ」は下記の通りです。
▼ランサムウェア感染時対応の5つのステップ
- ネットワークの遮断
- 初動対応(感染内容の確認)
- ランサムウェアの報告とインシデント対応策の決定・実施
- 感染範囲の確認と情報の記録
- 被害の最小化と原状回復
ランサムウェアに感染した際に企業が行うべき5つのステップについて解説します。
1.ネットワークの遮断
感染の疑いがある場合、真っ先に行ってほしいのがランサムウェアに感染した端末をネットワークから切り離すことです。
感染した端末を接続したまま放置すると、同じネットワーク内のパソコンにもランサムウェアが感染し、さらに被害が広がる恐れがあるためです。
接続方法に応じて、下記の対応を実施しましょう。
- 有線接続の場合:端末に接続されているLANケーブルを抜く
- 無線接続(Wi-Fi)の場合:端末のWi-Fi設定をオフにする
バックアップしたデータがランサムウェアに感染した端末と同一ネットワーク上にある場合も、データを保護するため早急に隔離します。
2.初動対応(感染内容の確認)
ネットワークを遮断したら、次に感染状況の確認をできるだけ詳細に行いましょう。
他のウイルス感染やサイバー攻撃を受けている可能性もあるため「そもそも本当にランサムウェア攻撃による被害なのか」を端末に起きている不具合や症状から判定する必要があります。
また感染状況の調査と並行して、感染していると考えられる端末台数の把握も進めましょう。被害が広範囲に渡るほど、高度なセキュリティインシデントであると判断できます。
3.ランサムウェアの報告とインシデント対応策の決定・実施
大まかな感染状況や感染範囲を特定できたら、自社の情報システム部門や関連部門にランサムウェアに感染したことを迅速に報告し、対応判断を仰ぎます。
このとき報告はランサムウェアに感染した疑いがあるネットワークではなく「事前に組織内で定めた安全性の高い代替ツール」を利用しましょう。
あわせて警察署または各都道府県警察に設置されている「サイバー犯罪相談窓口」へ通報し、公的機関も交えて調査や対応を進めます。
またランサムウェアの被害状況調査や復旧作業・今後の対策といった具体的なアクションを速やかに行いたい場合は、ランサムウェア感染に知見のある「プロの業者」を利用するのもおすすめです。
LANSCOPE サイバープロテクションでも、セキュリティインシデントの原因特定から封じ込め、影響範囲の調査を速やかに行う「インシデント対応パッケージ」を提供しています。感染後、インシデントによる被害を最小限に抑え、いち早く復旧を進めたい企業様におすすめです。
4.感染範囲の確認と情報の記録
ネットワークを遮断し被害の拡大を防いだら、以下の項目を中心に感染範囲を確認し情報の記録を行います。
- 組織内のITインフラがどのくらい被害を受けているのか
- 感染端末内のどのデータが暗号化・破損しているのか
- 機密情報が流出した可能性は無いか
方法としては、まず導入済のウイルス対策ソフト等で組織内の各端末をスキャンし「他にランサムウェアに感染している端末がないか」をチェック。
次に犯人によるデータの持ち出しや不正アクセスの有無を確認するため、自社で取得しているアクセスログの確認も可能な範囲で進めます。
これらの作業は、ハードディスク内のデータやサーバーのログを基に犯罪の証拠や不正アクセスの記録を見つける「フォレンジック調査」をスムーズに行う上で役立ちます。
5.被害の最小化と原状回復
調査で明らかになった情報をもとに、ランサムウェア被害からの原状回復をはかります。感染端末がパソコンの場合は端末を初期化した後、事前に取得したバックアップデータから復旧を試みます。
また被害が広範囲に及ぶ場合、まずは基幹システムや基幹インフラの原状回復から着手し、次点でクライアント端末に対処するなど「優先順位」を設けて回復作業に取り組みましょう。
ランサムウェアの解除ツールを導入している場合は、端末の初期化やバックアップデータからの復旧を行わず、ツールの使用によってファイルを復元できる可能性もあります。
原状回復が完了したら、データの流出した可能性がある全端末のアカウント情報・パスワードを変更し、セキュリティ強化と被害の再発防止に努めましょう。
【完全保存版】ランサムウェア被害を防ぐ!感染前後に行いたい32のアクションリスト
本資料では、ランサムウェアへの「感染を防ぐための予防策」から「感染後の初動対応」までをチェックリスト形式でまとめています。実践的な内容にしているため、緊急時対応の見直しにもぜひご活用ください。
知っておきたいランサムウェアの主な感染経路
ランサムウェアの主な感染経路として、以下の例があげられます。
- VPN機器
- メール・添付ファイル
- Webサイト
- リモートデスクトップ
- ファイルダウンロード
- USBメモリなど外付けHDD
以前まではメールを中心としたランサムウェア被害が多かったものの、近年ではVPNの脆弱性をついた攻撃も増えてきています。
感染被害を起こさないためにも「不審なメールをむやみに開かない」「添付ファイルを安易に開かない」といった社員のリテラシー教育を行うことはもちろん、「脆弱性パッチを定期的に適応する」「適切なアンチウイルスを導入する」といった対策を日ごろから行うことが大切です。
ランサムウェアの感染対策として事前にすべき7つのこと
ランサムウェアの感染対策として事前にすべき代表的な対策として、以下の7つが挙げられます。
- インシデント対応計画の策定とセキュリティチームの創設
- メールの添付ファイル対策
- ユーザー権限の厳密化
- 定期的なバックアップの実施
- VPN機器等の脆弱性対策
- 従業員のリテラシー強化
- ランサムウェア対策ソフトの導入と監視
それぞれの項目について解説します。
1.インシデント対応計画の策定とセキュリティチームの創設
セキュリティインシデント発生時の対応を明確化するために、あらかじめ組織内で以下の対応を実施する必要があります。
- 「インシデント対応計画」の策定
- 「セキュリティチーム」の創設
事前にセキュリティインシデント発生時の対応手順やルールを定めておくことで、実際の感染時もマニュアルに沿って冷静に対処することが可能です。
2.メール経由での感染対策
先述の通り「メール」はランサムウェア攻撃で頻繁に利用される感染手口の1つです。
- やみくもにメールを開封しない
- 添付ファイルをクリックしない
- メールの記載されたリンクへアクセスしない
といった基本的な対策を従業員に呼びかけ、1人ひとりのセキュリティ意識を向上させることが大切です。
加えて怪しいメールの受信を拒否したり、悪意あるウイルスの侵入を事前にブロックしたりといった、メールセキュリティに関する対策ツールを導入することも効果的でしょう。
3.ユーザー権限の厳密化
ユーザー権限を厳密化することで、悪意のある第三者が「内部犯」としてランサムウェアに感染させるリスクを軽減できます。
組織内の各端末には必ずIDとパスワードを設定する、席を外す際にはスクリーンセーバーに切り替える、といった対策を行いましょう。
またIDとパスワードは個々で管理し、紙に書き出すなど目に見える形で保存するのは避けることをおすすめします。電話番号などを活用した二段階認証も有効です。
4.定期的なバックアップの実施
定期的にバックアップを取り、セキュリティインシデントの発生時に過去のデータをスムーズに回復できる環境を整えておくことも重要です。
実際、データのバックアップ作業を行わなかったことで、暗号化されたデータを復旧できず、重大な損失に陥った企業も少なくありません。
バックアップをネットワーク経由で行う場合は、ファイルサーバーにアクセス制限を設定し、ランサムウェアによる暗号化を防止するよう対策しましょう。
5.VPN機器等の脆弱性対策
ルーターなどのVPN機器そのものに脆弱性があると、ランサムウェア攻撃の対象として狙われやすくなります。
脆弱性を改善するため、機器は定期的にアップデートし最新の状態を維持するようにしましょう。
またメーカーの保証期間が切れた古い機器では、アップデートが停止し脆弱性対策ができないリスクもあります。古くなったVPN機器は、使い続けず定期的に更新するのがおすすめです。
6.従業員のリテラシー強化
「むやみに添付ファイルを開く」「感染した端末のデータを他の端末にコピーする」といった社員のセキュリティに関する意識・リテラシーの低さが、ランサムウェアの感染を招いてしまった事例は少なくありません。
感染被害を防ぐためにも「従業員のリテラシー強化」は、ランサムウェア対策を向上させる上で重要な項目です。
- 社内で定期的にセキュリティ研修を行う
- 標的型メールの訓練を行う
- 常に社員の利用端末に最新のOSを適用する
企業・組織はこのような施策を実施し、従業員が日常的にセキュリティを意識して行動するように習慣づけましょう。
7.ランサムウェア対策ソフトの導入と監視
ランサムウェア対策として、ランサムウェアを適切に検知し侵入をブロックする「アンチウイルスソフト」を導入することも効果的です。
ランサムウェアの感染を未然に防ぎ、大切なエンドポイント端末やサーバーを攻撃者から守ることが可能です。
セキュリティソフトには様々な種類がありますが、重視するポイントとして「従来のパターンファイル型では防御できない未知の脅威(ランサムウェア)にも、対応できる製品であること」が挙げられます。
「過去のマルウェア(ランサムウェア)の使いまわし」であればパターンファイル型の製品でも検知できますが、攻撃者側もその経緯を知っているため、現在では攻撃者の大半が「未知のマルウェア」を新たに生み出し、攻撃に使用しています。
世界中で1日約100万個作られていると言われる「未知のマルウェア」ですが、従来のパターンファイル型のアンチウイルスでは防御することができません。次世代型アンチウイルス「LANSCOPE サイバープロテクション」であれば、未知・既知を問わず最新のランサムウェアに対策が可能です。
ランサムウェア対策ならLANSCOPEサイバープロテクションにおまかせ
「LANSCOPE サイバープロテクション」では、ランサムウェアをはじめとした凶悪なマルウェアを速やかに検知・ブロックする、2種類のAIアンチウイルスを提供しています。
▼2種類のアンチウイルスソリューション
- アンチウイルス×EDR×監視サービス(MDR)をセットで利用できる「Aurora Managed Endpoint Defense(旧:CylanceMDR)」
- 各種ファイル・デバイスに対策できる次世代型アンチウイルス「Deep Instinct」
アンチウイルス✕EDR✕監視サービスをセットで利用可能な「Aurora Managed Endpoint Defense」
「LANSCOPE サイバープロテクション」では、EDRのマネージドサービス「Aurora Managed Endpoint Defense」を提供しています。
「Aurora Managed Endpoint Defense 」は、アンチウイルスとEDRを併用し、エンドポイントを内外から保護するセキュリティソリューションです。
高度なエンドポイントセキュリティ製品を導入しても、適切に運用できなければ意味がありません。
「Aurora Managed Endpoint Defense」は、下記の2種類のセキュリティソリューションの運用を、お客様の代わりにセキュリティのスペシャリストが実施するMDRサービスです。
- 脅威の侵入をブロックするAIアンチウイルス「Aurora Protect」
- 侵入後の脅威を検知し対処するEDR「Aurora Focus」
セキュリティのスペシャリストが徹底したアラート管理をおこなうため、お客様にとって本当に必要なアラートのみを厳選して通知することが可能になり、不要なアラートに対応する必要がなくなります。
また、緊急時にはお客様の代わりにサイバー攻撃へ即時で対応するため、業務負荷を減らし、安心して本来の仕事へ集中していただけます。
「Aurora Managed Endpoint Defense」についてより詳しく知りたい方は、下記のページをご確認ください。
各種ファイル・デバイスに対策できるNGAV「Deep Instinct」
「LANSCOPE サイバープロテクション」では、 AI(ディープラーニング)を活用した次世代ウイルス対策ソフト「Deep Instinct」を提供しています。
下記のようなセキュリティ課題をお持ちの企業・組織の方は、 検知率99%以上のアンチウイルス製品「Deep Instinct」の利用がおすすめです。※
- 未知のマルウェアも検知したい
- 実行ファイル以外のファイル形式(Excel、PDF、zipなど)にも対応できる製品が必要
- 手頃な価格で高性能なアンチウイルスを導入したい
近年の攻撃者は、セキュリティ製品から検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを仕掛けてきます。
「Deep Instinct」は、形式を問わずにさまざまなファイルに対応しているため、多様な形式のマルウェアを検知可能です。
「Deep Instinct」は、手ごろな価格設定も魅力です。詳細は以下よりご覧ください。
※Unit221B社調べ
万が一、マルウェアに感染した場合は?迅速な復旧を実現する「インシデント対応パッケージ」
「マルウェアに感染したかもしれない」「サイトに不正ログインされた痕跡がある」など、「サイバー攻撃を受けた後」に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。
「LANSCOPE サイバープロテクション」のインシデント対応パッケージは、フォレンジック調査の専門家がお客様の環境を調査し、感染状況や影響範囲を特定します。
また、マルウェアや脅威の封じ込めから復旧支援、さらに今後の対策に関するアドバイスまでを提供します。
インシデント対応パッケージについて詳しく知りたい方は、下記のページをご確認ください。
まとめ
「ランサムウェアに感染したら」をテーマに、下記内容についてご紹介しました。
▼本記事のまとめ
- ランサムウェア感染後の対応として端末の再起動」「感染後のバックアップ」「相談なしの身代金支払い」の3つはNGである
- 感染時はインシデント対応計画に基づき、迅速かつ適切な対応を取ることが重要
- 感染経路としてVPN機器の脆弱性やメール・USBなど外部接続端末が狙われやすい
- ランサムウェアに感染しないためには「セキュリティチームと対応計画の策定」「定期的なバックアップ」「社員のセキュリティ教育」といった事前対策が不可欠である
下記の資料では「ランサムウェアの攻撃手法」から「感染しないための対策」「感染してしまった場合の対処方法」までを、詳しく解説しています。ぜひ無料でご覧ください。
【完全保存版】ランサムウェア被害を防ぐ!感染前後に行いたい32のアクションリスト
本資料では、ランサムウェアへの「感染を防ぐための予防策」から「感染後の初動対応」までをチェックリスト形式でまとめています。実践的な内容にしているため、緊急時対応の見直しにもぜひご活用ください。
おすすめ記事
