Written by 田村 彩乃
目次
この記事では「ランサムウェアに感染した場合の対処方法」について、5つのステップで解説しています。
【ランサムウェア感染時対応の5つのステップ】
- 1.初動対応(感染内容の確認)
- 2.ランサムウェアの報告とインシデント対応策の決定・実施
- 3.ネットワークの遮断
- 4.感染範囲の確認と情報の記録
- 5.被害の最小化と原状回復
近年、国内外を問わずランサムウェアによる被害が拡大しています。感染によるデータの搾取や暗号化・身代金の要求といった深刻な被害を生むランサムウェアだからこそ、万一の感染時に備え「感染後の対応フロー」を企業で明確にしておくことが重要です。
「ランサムウェアに感染した場合の対処方法」に加え「感染時、絶対にやってはいけない行為」「感染しないための予防策」に関して、わかりやすくご紹介します。
ランサムウェアに感染したら、絶対にやってはいけないこと
ランサムウェアへ感染の疑いがある状況で、初動対応として絶対にやってはいけない行為は以下の3点です。
- 1.感染端末を再起動する
- 2.感染後にバックアップを取る
- 3.プロや警察へ相談せず身代金を支払う
1.感染端末を再起動する
やってはいけない初動対応、1つ目は「感染の疑いがある端末を再起動させること」です。
理由は、PCを再起動するとシャットダウンによって停止していたデータの暗号化が再開し、端末内のファイルが閲覧できなくなるリスクがあるためです。
また感染時の対応としても本来はシャットダウンでなく「ハイバネーション」と呼ばれる「シャットダウン前に現在のメモリ内容を保存しておく処理」を行うのが望ましいとされているため、むやみに端末を強制終了することはおすすめしません。
感染後、端末は再起動せず速やかにネットワークから切り離すことが重要です。
2.感染後にバックアップを取る
やってはいけない初動対応、2つ目は「感染後にデータのバックアップを取得すること」です。
理由としては、感染後にバックアップを取るとランサムウェアに感染した状態のデータを保存するため、復旧後に再びランサムウェアへ感染してしまうリスクがあるためです。またバックアップデータを他の端末に接続・読み込みすることで、感染を拡大させる可能性もあります。
万一、データを暗号化された場合も復旧できるよう、日頃から定期的にバックアップを取得することが重要です。
3.プロや警察へ相談せず身代金を支払う
やってはいけない初動対応、3つ目は「プロや警察へ相談せず、攻撃者に身代金を支払ってしまうこと」です。攻撃者は「データの暗号化解除」と引き換えに高額な身代金を要求しますが、支払いに応じてもデータが復旧されるとは限りません。
最近では「データの暗号化解除による脅迫」に加え「データ搾取によるデータ公開の脅迫」を2重で要求されるケースも多く見られます。支払いに応じても追加の要求が来る可能性があるため、まずはセキュリティの専門家や警察へ速やかに相談することをおすすめします。
また企業や組織であれば、ランサムウェアに感染した際の初動対応として「セキュリティインシデント発生時の対応計画」を定められているケースも少なくありません。ランサムウェアへの感染が発覚した場合は速やかに自社の対応フローを確認し、警察やプロと連携して正しく対処しましょう。
もし現時点で対応フローが明確化されていない場合、万一に備えて自社に適したインシデント対応計画を査定することをおすすめします。ぜひ以下の記事もご覧ください。
ランサムウェアに感染したら企業が行うべき5つのステップ
万が一、ランサムウェアに感染した場合の「対応の流れ」は下記の通りです。
【ランサムウェア感染時対応の5つのステップ】
- 1.ネットワークの遮断
- 2.初動対応(感染内容の確認)
- 3.ランサムウェアの報告とインシデント対応策の決定・実施
- 4.感染範囲の確認と情報の記録
- 5.被害の最小化と原状回復
ランサムウェアに感染した際に企業が行うべき5つのステップについて解説します。
1.ネットワークの遮断
感染の疑いがある場合、真っ先に行ってほしいのがランサムウェアに感染した端末をネットワークから切り離すことです。感染した端末を接続したまま放置すると、同じネットワーク内のパソコンにもランサムウェアが感染し、さらに被害が広がる恐れがあるためです。
● 有線接続の場合…端末に接続されているLANケーブルを抜く
● 無線接続(Wi-Fi)の場合…端末のWi-Fi設定をオフにする
バックアップしたデータがランサムウェアに感染した端末と同一ネットワーク上にある場合も、データを保護するため早急に隔離します。
2.初動対応(感染内容の確認)
ネットワークを遮断したら、次に感染状況の確認をできるだけ詳細に行いましょう。他のウイルス感染やサイバー攻撃を受けている可能性もあるため「そもそも本当にランサムウェア攻撃による被害なのか」を端末に起きている不具合や症状から判定する必要があります。
また感染状況の調査と並行して、感染していると考えられる端末台数の把握も進めましょう。被害が広範囲に渡るほど、高度なセキュリティインシデントであると判断できます。
3.ランサムウェアの報告とインシデント対応策の決定・実施
大まかな感染状況や感染範囲を特定できたら、自社の情報システム部門や関連部門にランサムウェアに感染したことを迅速に報告し、対応判断を仰ぎます。このとき報告はランサムウェアに感染した疑いがあるネットワークではなく「事前に組織内で定めた安全性の高い代替ツール」を利用しましょう。
あわせて警察署または各都道府県警察に設置されている「サイバー犯罪相談窓口」へ通報し、公的機関も交えて調査や対応を進めます。
またランサムウェアの被害状況調査や復旧作業・今後の対策といった具体的なアクションを速やかに行いたい場合は、ランサムウェア感染に知見のある「プロの業者」を利用するのもおすすめです。
LANSCOPE サイバープロテクションでも、セキュリティインシデントの原因特定から封じ込め、影響範囲の調査を速やかに行う「インシデント対応パッケージ」を提供しています。感染後、インシデントによる被害を最小限に抑え、いち早く復旧を進めたい企業様におすすめです。
4.感染範囲の確認と情報の記録
ネットワークを遮断し被害の拡大を防いだら、以下の項目を中心に感染範囲を確認し情報の記録を行います。
● 組織内のITインフラがどのくらい被害を受けているのか
● 感染端末内のどのデータが暗号化・破損しているのか
● 機密情報が流出した可能性は無いか
方法としては、まず導入済のウイルス対策ソフト等で組織内の各端末をスキャンし「他にランサムウェアに感染している端末がないか」をチェック。次に犯人によるデータの持ち出しや不正アクセスの有無を確認するため、自社で取得しているアクセスログの確認も可能な範囲で進めます。
これらの作業は、ハードディスク内のデータやサーバーのログを基に犯罪の証拠や不正アクセスの記録を見つける「フォレンジック調査」をスムーズに行う上で役立ちます。
5.被害の最小化と原状回復
調査で明らかになった情報をもとに、ランサムウェア被害からの原状回復をはかります。感染端末がパソコンの場合は端末を初期化した後、事前に取得したバックアップデータから復旧を試みます。
また被害が広範囲に及ぶ場合、まずは基幹システムや基幹インフラの原状回復から着手し、次点でクライアント端末に対処するなど「優先順位」を設けて回復作業に取り組みましょう。ランサムウェアの解除ツールを導入している場合は、端末の初期化やバックアップデータからの復旧を行わず、ツールの使用によってファイルを復元できる可能性もあります。
原状回復が完了したら、データの流出した可能性がある全端末のアカウント情報・パスワードを変更し、セキュリティ強化と被害の再発防止に努めましょう。
知っておきたい、ランサムウェアの主な感染経路
ランサムウェアの主な感染経路として
● VPN機器
● メール・添付ファイル
● Webサイト
● リモートデスクトップ
● ファイルダウンロード
● USBメモリなど外付けHDD
などがあげられます。
以前まではメールを中心としたランサムウェア被害が多かったものの、近年ではVPNの脆弱性をついた攻撃が増えてきています。
感染被害を起こさないためにも「不審なメールをむやみに開かない」「添付ファイルを安易に開かない」といった社員のリテラシー教育を行うことはもちろん、「脆弱性パッチを定期的に適応する」「適切なアンチウイルスを導入する」といった対策を日ごろから行うことが大切です。
ランサムウェアの感染対策として事前にすべき7つのこと
ランサムウェアの感染対策として事前にすべき代表的な対策として、以下の7つが挙げられます。
1.インシデント対応計画の査定とセキュリティチームの創設
2.メールの添付ファイル対策
3.ユーザー権限の厳密化
4.定期的なバックアップの実施
5.VPN機器等の脆弱性対策
6.従業員のリテラシー強化
7.ランサムウェア対策ソフトの導入と監視
それぞれの項目について解説します。
1.インシデント対応計画の査定とセキュリティチームの創設
セキュリティインシデント発生時の対応を明確化するために、あらかじめ組織内で
●「インシデント対応計画」の策定
●「セキュリティチーム」の創設
をそれぞれ行う必要があります。
事前にセキュリティインシデント発生時の対応手順やルールを定めておくことで、実際の感染時もマニュアルに沿って冷静に対処することが可能です。
2.メール経由での感染対策
先述の通り「メール」はランサムウェア攻撃で頻繁に利用される感染手口の1つです。
● やみくもにメールを開封しない
● 添付ファイルをクリックしない
● メールの記載されたリンクへアクセスしない
といった基本的な対策を従業員に呼びかけ、1人ひとりのセキュリティ意識を向上させることが大切です。加えて怪しいメールの受信を拒否したり、悪意あるウイルスの侵入を事前にブロックしたりといった、メールセキュリティに関する対策ツールを導入することも効果的でしょう。
3.ユーザー権限の厳密化
ユーザー権限を厳密化することで、悪意のある第三者が「内部犯」としてランサムウェアに感染させるリスクを軽減できます。組織内の各端末には必ずIDとパスワードを設定する、席を外す際にはスクリーンセーバーに切り替える、といった対策を行いましょう。
またIDとパスワードは個々で管理し、紙に書き出すなど目に見える形で保存するのは避けることをおすすめします。電話番号などを活用した二段階認証も有効です。
4.定期的なバックアップの実施
定期的にバックアップを取り、セキュリティインシデントの発生時に過去のデータをスムーズに回復できる環境を整えておくことも重要です。実際データのバックアップ作業を怠たり、暗号化されたデータを復旧できず、重大な損失に陥った企業も少なくありません。
バックアップをネットワーク経由で行う場合は、ファイルサーバーにアクセス制限を設定し、ランサムウェアによる暗号化を防止するよう対策しましょう。
5.VPN機器等の脆弱性対策
ルーターなどのVPN機器そのものに脆弱性があると、ランサムウェア攻撃の対象として狙われやすくなります。脆弱性を改善するため、機器は定期的にアップデートし最新の状態を維持するようにしましょう。
またメーカーの保証期間が切れた古い機器では、アップデートが停止し脆弱性対策ができないリスクもあります。古くなったVPN機器は、使い続けず定期的に更新するのがおすすめです。
6.従業員のリテラシー強化
「むやみに添付ファイルを開く」「感染した端末のデータを他の端末にコピーする」といった社員のセキュリティに関する意識・リテラシーの低さが、ランサムウェアの感染を招いてしまった事例は少なくありません。
感染被害を防ぐためにも「従業員のリテラシー強化」は、ランサムウェア対策を向上させる上で重要な項目です。
● 社内で定期的にセキュリティ研修を行う
● 標的型メールの訓練を行う
● 常に社員の利用端末に最新のOSを適用する
などの施策を行うことで、従業員が日常的にセキュリティを意識して行動するよう習慣づけましょう。
7.ランサムウェア対策ソフトの導入と監視
ランサムウェア対策として、ランサムウェアを適切に検知し侵入をブロックする「アンチウイルスソフト」を導入することも効果的です。ランサムウェアの感染を未然に防ぎ、大切なエンドポイント端末やサーバーを攻撃者から守ることが可能です。
セキュリティソフトには様々な種類がありますが、重視するポイントとして「従来のパターンファイル型では防御できない未知の脅威(ランサムウェア)にも、対応できる製品であること」が挙げられます。
「過去のマルウェア(ランサムウェア)の使いまわし」であればパターンファイル型の製品でも検知できますが、攻撃者側もその経緯を知っているため、現在では攻撃者の大半が「未知のマルウェア」を新たに生み出し、攻撃に使用しています。
世界中で1日約100万個作られていると言われる「未知のマルウェア」ですが、従来のパターンファイル型のアンチウイルスでは防御することができません。次世代型アンチウイルス「LANSCOPE サイバープロテクション」であれば、未知・既知を問わず最新のランサムウェアに対策が可能です。
ランサムウェアの感染対策として「LANSCOPE サイバープロテクション」が最適な理由
ランサムウェアの感染対策に最適な「LANSCOPE サイバープロテクション」について、他製品との違いや導入メリットを簡単に紹介します。
1.AI機能により「最新のランサムウェア」に対策できる
LANSCOPE サイバープロテクションは、次々と誕生する最新のランサムウェアにも対策が可能です。攻撃者が作成したばかりの「未知の脅威」であっても、AIを活用した99%の高い検知率でランサムウェアをブロックします。
お客様のニーズやご利用環境によって
● 国内導入実績の豊富な「CylancePROTECT」
● 様々なOSやファイルに対応する「Deep Instinct」
高性能な2種類のAIアンチウイルスから選択いただけます。
2.導入から運用開始まで手厚いサポートが受けられる
LANSCOPE サイバープロテクションは、導入前の無料お試し版の利用時から、契約後の導入設計・システムの操作説明まで、導入に関わる一連のサポートをプロのエンジニアが手厚く支援します。
さらに CylancePROTECT では、「運用代行オプション」や「定期レポートオプション」など、セキュリティの専門家が運用やレポート出力を代行するサービスも利用できるので、社内に詳しい担当がいない場合も心配ありません。
3.エンドポイントマネージャー連携で流入原因を即時に特定できる
LANSCOPE サイバープロテクションとLANSCOPE エンドポイントマネージャー クラウド版 を連携してご利用いただくことで、ランサムウェアの流入原因を操作ログから調査することも可能です。
例えば、ランサムウェアを検知した前後に「どのような操作を行っていたか」を、エンドポイントマネージャーの操作ログで確認。「ランサムウェアの流入元」を把握できるため、該当のWebページへのアクセスを禁止する等といった、再発防止策を打つことが可能です。
まとめ
「ランサムウェアに感染したら」をテーマに、下記内容についてご紹介しました。
【この記事のポイント】
● ランサムウェア感染後の対応として端末の再起動」「感染後のバックアップ」「相談なしの身代金支払い」の3つはNGである
● 感染時はインシデント対応計画に基づき、迅速かつ適切な対応を取ることが重要
● 感染経路としてVPN機器の脆弱性やメール・USBなど外部接続端末が狙われやすい
● ランサムウェアに感染しないためには「セキュリティチームと対応計画の査定」「定期的なバックアップ」「社員のセキュリティ教育」といった事前対策が不可欠である
またランサムウェアの脅威から大切なデータを守るためには、最新のランサムウェアを未然に防御できる、最新のアンチウイルスソフトの導入も効果的です。
下記の資料では「ランサムウェアの攻撃手法」から「感染しないための対策」「感染してしまった場合の対処方法」までを、詳しく解説しています。ぜひ無料でご覧ください。
おすすめ記事
