まず、ランサムウェアとはマルウェア(悪意のあるプログラム)の一種で、感染するとパソコンやファイルサーバなどのデータの暗号化が行われます。暗号化されたデータは使用することができなくなります。そして、攻撃者は復号するためには金銭を要求してきます。ランサムウェアとは身代金を意味する「Ransom(ランサム)」と「Software(ソフトウェア)」を組み合わせた造語になります。
では、ランサムウェアに感染してしまった場合の対処方法を見ていきましょう!その前に、身代金の要求には絶対に応えないでください。問題が解決する保証はありませんし、攻撃者が更なる攻撃を開発するための資金にもなりかねません。
感染した後の対処方法
感染した端末をネットワークから切断する(電源は切らない)
まず、真っ先にすべきことは感染した端末をネットワークから切断することです。ランサムウェアに感染すると、使用しているパソコンだけではなく、ファイルサーバ内のデータについても暗号化される可能性があります。従い、パソコン以外のデータについての被害の拡大を止めるためにもまずはネットワークを切断しましょう。
有線のLANケーブルを接続してネットワークに接続している場合は、LANケーブルを外しましょう。
無線LANでネットワークに接続している場合は、無線設定から切断します。または、物理的なディップスイッチがある場合は、そこで切断することもできます。
なお、感染したパソコンの電源は切らないように注意しましょう。パソコン内に復号に必要な情報が残っていることがあります。)
セキュリティ担当者や上司に報告・連絡・相談する
ランサムウェアはファイルサーバなど他の端末にも影響を及ぼす可能性があるため、組織全体の状況を確認する必要があります。したがって、その組織のエスカレーションルールに従い、報告する必要があります。セキュリティ担当者は組織全体の影響範囲を調査して感染範囲の特定に努めます。
都道府県警察のサイバー犯罪相談窓口に連絡・通報する
ランサムウェアの被害にあった場合は、最寄りの警察署またはサイバー犯罪相談窓口に連絡・通報してください。その際、保存した各種ログ等があるとよいです。伺う前に担当者と日時や資料等を調整するとスムーズに進みます。
警察署の一覧はこちら
サイバー犯罪相談窓口はこちら
IPAに報告する
IPA(独立行政法人情報処理推進機構)への報告は義務ではありませんが、コンピュータウイルスやセキュリティに関する調査や情報提供を行っています。IPAに報告することで将来的に世の中のセキュリティ被害を減少させることにつながります。また、情報提供を行うことで様々な助言をいただくことにもつながります。
IPAの届け出先はこちら
データの復元
ランサムウェアに感染した場合、データの復号化は難しいのが現状ですが、一部のランサムウェアについては復号ツールが公開されています。
どうしても復旧したいデータがある場合は、公開されている復号ツールを試してみてもよいでしょう。(本当は試さなくてもよいようにデータのバックアップを取得していおくことが確実な復元になります。
復号ツールの公開先はこちら「No More Ransom」プロジェクト
警視庁でも復号ツールを開発しています。リンクはこちら
感染原因の調査
ランサムウェアに感染した原因を調査します。多くの場合は、メールやWEBサイトからソフトウェアを起動したことが原因となります。また最近では、攻撃者がネットワークに侵入してランサムウェアに感染させるという手口も多くなってきています。
感染しないための予防方法と対策
このように一度ランサムウェアに感染してしまうと、データが暗号化されてしまい、基本的には復旧はできません。従い、感染しないことがとても重要になってきます。
セキュリティソフトの導入
まずはウイルスに対する基本的なソフトウェアを導入しましょう。ウイルス対策ソフトは、パソコン内に侵入したウイルスやマルウェアを検知して、自動で駆除や無効化する機能を搭載しています。ウイルス対策ソフトですべてを防御できるわけではありませんが、被害を受ける前に検知できる可能性が高まります。
メールの添付ファイルやリンクはクリックしない
メールは「危険」という認識を持つことが重要です。
知らない人からのメールやなぜ自分に届いたのかわからないメールについては、添付ファイルやリンクを絶対に開かないようにしてください。
もし連絡先が明記されている場合は、メールの添付ファイルやリンクをクリックする前に電話など別の手段で確認することも予防になります。
脆弱性の修正
ランサムウェアはOSやソフトウェアの脆弱性を狙ってパソコン内に侵入してきます。発見されている脆弱性はOSやソフトウェアの開発元から定期的に更新プログラムが配布されています。更新プログラムの適用可否の判断して速やかに適用するようにしましょう。
特にOSやネットワーク機器、ネットワーク用ソフトウェアについての更新プログラムについては適用するようにしていきましょう。適用できない場合は、リモート接続を禁止にすることも検討します。
IDやパスワードの管理
ランサムウェアはメールやWEBサイトから感染することが多かったですが、最近ではネットワークに侵入してから感染させる手口も多くなってきています。特にテレワーク環境を用意するなど社外から社内に接続できる環境が用意されていることから比較的容易に社内に侵入できるようになってきています。
そこで、特にネットワーク機器のIDやパスワード管理が重要になってきます。万が一、社内に侵入された場合に他のネットワーク機器が同一IDやパスワードの場合、簡単に全てのネットワークに侵入を許すことになってしまいます。
バックアップの取得
ランサムウェアはデータを暗号化し、復号化に向けて金銭を要求してきます。感染して暗号化した場合にデータの復元ができれば、最悪の事態は防げます。
定期的にデータのバックアップを取得することと取得したバックアップデータの保管方法に注意をしてバックアップの運用を行っていきます。
具体的なおすすめのバックアップの運用方法は、2つ取得することです。1つはクラウドに保存(自動的にバックアップするサービスがよい)し、もう1つはUSBハードディスクなどローカルに保存します。USBハードディスクなどローカルに保存したバックアップデータはPCに常時接続することなく、保管します。(常時接続されていると、ランサムウェアに感染した場合、USBハードディスク内のファイルも暗号化されてしまいます。)
まとめ
この記事ではランサムウェアに感染した場合の対処方法とその予防について紹介しました。
ランサムウェアに感染した場合は、被害が大きく、基本的にはデータの復元はできませんので、感染しないことが非常に重要になってきます。
万が一感染した場合には、復旧の工数だけではなく、業務の停止など多くの影響が発生します。自分だけは感染しないと思わず、常にメールやWEBサイトを閲覧する際には注意が必要です。そして、なによりバックアップだけはしっかりと取得するようにしてください。
データが消失した場合のショックは計り知れません。
