企業に対するサイバー攻撃の中でも、ランサムウェアによる被害が増えています。感染した場合は適切な初動対応が求められるため、どのような対応を取るべきかを把握しておく必要があります。この記事では、ランサムウェアについての基礎知識と感染した場合の初動対応、やってはいけないことなどについて解説します。
ランサムウェアとは?
ランサムウェア(Ransomware)とは、身代金を意味するランサム(Ransom)とソフトウェア(Software)を組み合わせた造語で、身代金を要求するコンピューターウイルスの一種です。感染したコンピューターにロックをかけたり、ファイルを暗号化して利用不可な状態にしたりして、その復元と引き換えに身代金を要求する悪質なプログラムです。近年では身代金を支払わなければ盗んだデータを公開すると脅迫するタイプのランサムウェアも流行しています。
マルウェアやウイルスとの違い
マルウェア(Malware)とは、悪意を意味するmaliciousにソフトウェア(Software)を組み合わせた造語で、不正かつ有害に動作させる意図で作成された悪意あるソフトウェアの総称です。コンピューターウイルス(Computer Virus)とは、他のプログラムにコードを挿入することで自己増殖する悪意あるプログラムのことです。ランサムウェアもウイルスも、マルウェアの一種です。
【関連記事】マルウェアに感染したらどうなる? 感染経路や対策、対処法を解説
ランサムウェアの感染が企業に及ぼす影響
従業員のコンピューターなどがランサムウェアに感染してしまった場合、企業に与える影響について解説します。
被害対応の負担や金銭的損害が発生する
ランサムウェアに感染すると、データ復旧やセキュリティ対策の強化を専門業者に依頼する必要があり、社内のセキュリティ担当者の負担および、多額の金銭的損害も発生します。
個人情報など情報が漏洩し、顧客や取引先にも影響する
ランサムウェアの感染はプライバシー侵害や個人情報の漏洩・悪用などを引き起こします。その際の対応が不適切であったり、顧客や取引先への情報提供が不十分であったりすると、信頼関係を低下させる恐れもあります。
企業の業務やサービスが停止する
組織全体の業務やサービスが停止したり機能不全を起こしたりすることも、ランサムウェア感染による深刻な悪影響のひとつです。製造業なら生産ラインが停止してしまい、病院であれば電子カルテや診療報酬に関わるシステムが影響して診療が続けられなくなり得ます。
損害賠償などの法的リスクが発生する
業務停止や信用失墜による損失だけでなく、扱うデータによっては法的リスクも発生します。感染によって個人情報が漏洩するなど、企業が法的な責任を負う場合は罰金を支払う可能性があります。
ランサムウェアの感染経路は?
主なランサムウェアの感染経路は、電子メールに添付されたファイルやリンク、改ざんされたWebサイトの閲覧などがあります。近年では、外部に公開されたVPN機器の脆弱性を悪用し、窃取した認証情報による不正侵入が多くなっています。
ランサムウェアに感染したら絶対にやってはいけない3つの行動
ランサムウェアに感染した疑いがある場合、絶対に避けるべき3つの行動について紹介します。
感染した端末を再起動する
感染したデバイスやシステムを再起動してしまうと、シャットダウンによって停止していたデータの暗号化が再開してしまい、端末内のファイルが閲覧できなくなるリスクがあります。そもそもシャットダウン前に現在のメモリ内容を保存しておくハイバネーションと呼ばれる処理を行うのが望ましいため、むやみに端末を強制終了することもおすすめしません。端末は再起動せず速やかにネットワークから切り離すことが重要です。
感染後にバックアップを取る
ランサムウェアに感染した後にバックアップを取ると、その状態のデータを保存することになるため、復旧後に再び感染してしまうリスクがあります。バックアップを他の端末に接続してしまうことで感染を拡大させる可能性もあります。感染する前に日頃から定期的にバックアップを取得することが重要です。
専門家や警察へ相談せずに身代金を支払う
ランサムウェアは暗号化解除と引き換えに身代金を要求しますが、支払ってもデータが復旧されるとは限りません。最近では暗号化解除による脅迫に加えて、搾取したデータを公開するという二重の脅迫をされてしまうケースも見られます。支払いに応じても追加の要求が来る可能性があります。まずは専門家や警察へ速やかに相談しましょう。
ランサムウェアに感染した場合の対処法
ランサムウェアに感染してしまった疑いがある場合に必要な初動対応について解説します。
ネットワークから切り離す
同じネットワークに接続している他の端末まで感染が広がってしまう危険性があるので、すぐに端末をネットワークから切り離します。暗号化の進行を防ぐことができる可能性もあります。有線接続の場合はLANケーブルを抜く、Wi-Fi接続の場合はオフにするなど、迅速にネットワークの切断を行ってください。
インシデント通報・システム担当者への共有
自身がセキュリティの専門家でない限り、自力での解決は危険です。速やかに組織内の担当者への共有を行いましょう。
サイバーセキュリティの専門業者に相談
自社のセキュリティ部門だけでなく、外部の専門業者に相談しましょう。適切な対応を早急に行えるので被害を最小限に食い止めることが可能です。
感染内容の把握・感染経路の特定
どのシステムが影響を受けたのか、どのようにアクセスしたのか、どのようなデータが漏えいしたのかを特定する必要があります。社内の端末を徹底的にスキャンすることで攻撃の手法や侵入経路を、さらに感染した端末および疑わしい端末を個別に調査することで被害の詳細や感染の原因を特定します。
復号ツールの利用
特定のランサムウェアは復号ツールが情報サイトなどで公開されているので、暗号化されてしまったファイルを復元できる可能性があります。感染前のデータのバックアップがある場合は、パソコンを初期化することで戻すことができますが、直前のデータはすべて削除されてしまい、感染した状況の調査ができなくなるので注意が必要です。なお、実際に感染した場合には、素人判断で復元せず、ネットワークから切り離した後は自社の情報システム担当やフォレンジック調査会社のようなベンダーに依頼するのが最適です。
ランサムウェア感染被害への対応、サイバーセキュリティ調査ならFRONTEOのサービス活用を
このようにランサムウェア感染の初動対応には細心の注意と迅速な処理が必要なので、専門サービスを活用することがおすすめです。10,600件以上の不正調査実績を誇るFRONTEOの「サイバーセキュリティ調査パッケージ」なら、複数の保険会社にも推奨されている高品質なサイバーセキュリティ調査を提供します。
EDR調査やダークウェブ調査など、サイバー攻撃を受けた際に対応すべき必要最低限の調査をワンパッケージにした初期対応に有効なソリューションで、Wi-Fi脆弱性調査やNDR調査、ペネトレーションテストなど追加調査も実施可能です。専門知識がある人材がいない企業の場合、有事対応の際のスピードや専門性に懸念が残ります。圧倒的な実績から得たノウハウをもとに、FRONTEOがサイバー攻撃被害の初期対応をサポートします。
