Jomo Jomo

ランサムウェアに感染してしまった

ランサムウェア感染が発生した際の初動対応から復旧、再発防止までの実践的な手順をひとり情シス向けに解説します。

状況:ランサムウェアに感染してしまった

社員から「ファイルが開けない」「デスクトップに見知らぬ画面が表示されている」という連絡が入ります。確認すると、ファイルの拡張子が「.locked」や「.encrypted」などに変わっており、身代金要求のメッセージが表示されている――これがランサムウェア感染の典型的な症状です。

中小企業はセキュリティ対策が手薄なことが多く、攻撃者にとって格好のターゲットです。ひとり情シスがこの状況に直面した場合、パニックにならず、正しい手順で対応することが被害を最小限に抑える鍵となります。

原因:どのように感染したのか

ランサムウェアの主な感染経路は以下の通りです。

  • フィッシングメールの添付ファイル:請求書や納品書を装ったメールに添付されたマルウェア
  • 悪意のあるWebサイト:改ざんされたWebサイトを閲覧しただけで感染(ドライブバイダウンロード)
  • VPN機器の脆弱性:古いファームウェアのVPN装置を経由した侵入
  • RDP(リモートデスクトップ)の不正アクセス:弱いパスワードでインターネットに公開されたRDPへの総当たり攻撃
  • USBメモリ経由:感染したUSBメモリを接続して感染

⚠️ 注意

絶対に身代金を支払わないでください。支払ってもファイルが復元される保証はなく、支払い実績がある企業は再度標的にされる可能性があります。また、身代金の支払いは犯罪組織への資金提供につながります。

対応手順:被害拡大を防ぎながら対処する

ステップ1:感染端末をネットワークから即座に隔離する

最も重要な初動対応です。感染が確認された、または疑われるPCは即座にLANケーブルを抜き、Wi-Fiをオフにします。ランサムウェアはネットワーク経由で他のPCやサーバーのファイルも暗号化するため、1秒でも早い隔離が被害拡大を防ぎます。

💡 ポイント

「PCの電源を切るべきか?」は判断が分かれますが、ネットワーク隔離を最優先してください。電源を切るとメモリ上の暗号鍵が失われ、復号の可能性がなくなる場合があります。ただし、暗号化が進行中の場合は電源を切ることで被害を食い止められることもあります。迷ったらネットワーク切断だけ行い、専門家に相談しましょう。

ステップ2:被害範囲を調査する

以下を確認し、被害の全体像を把握します。

  1. 感染端末の台数:他のPCで同様の症状が出ていないか全社に確認
  2. ファイルサーバーへの影響:共有フォルダ内のファイルが暗号化されていないか
  3. バックアップの状態:バックアップデータが暗号化されていないか(オフラインバックアップは安全な可能性が高い)
  4. 感染時刻の特定:ファイルの更新日時から、いつ暗号化が始まったかを推定

ステップ3:経営層への報告と外部への連絡

ランサムウェア感染はセキュリティインシデントです。以下の報告・連絡を行います。

  1. 経営層(社長・役員)への即時報告:被害状況と今後の対応方針を伝える
  2. 警察への通報:サイバー犯罪として最寄りの警察署または都道府県警のサイバー犯罪対策窓口に連絡
  3. IPA(情報処理推進機構)への相談:情報セキュリティ安心相談窓口(03-5978-7509)に連絡
  4. 取引先への連絡(必要に応じて):メール経由の感染の場合、取引先にも注意喚起

📋 具体例

経営層への報告例:「本日○時頃、社内PCにてランサムウェア感染を確認しました。現在○台のPCと共有フォルダの一部が暗号化されています。感染端末はネットワークから隔離済みです。バックアップからの復旧が可能か調査中で、完全復旧には○日程度を見込んでいます。セキュリティ専門業者への相談を検討しています。」

ステップ4:ランサムウェアの種類を特定する

暗号化されたファイルの拡張子や身代金要求メッセージの内容から、ランサムウェアの種類を特定します。「No More Ransom」プロジェクト(nomoreransom.org)では、一部のランサムウェアに対する無料の復号ツールが提供されています。

ステップ5:バックアップからの復旧

バックアップデータが無事であれば、以下の手順で復旧します。

  1. 感染端末のOS をクリーンインストール(初期化)する
  2. 最新のセキュリティパッチを適用
  3. ウイルス対策ソフトをインストールしフルスキャンを実行
  4. バックアップからデータを復元
  5. 動作確認後、ネットワークに再接続

⚠️ 注意

感染端末をクリーンインストールせずにウイルス駆除だけで済ませるのは危険です。ランサムウェアが残した「バックドア(裏口)」が残っている可能性があり、再度侵入される恐れがあります。必ずOSの再インストールから行ってください。

再発防止策

1. オフラインバックアップを確保する

ネットワークに常時接続されたバックアップはランサムウェアに暗号化される可能性があります。外付けHDDでのバックアップを取得後に物理的に取り外す、またはクラウドバックアップでバージョニング(世代管理)を有効にしましょう。

2. VPN機器のファームウェアを最新に保つ

VPN機器の脆弱性を突いた攻撃が急増しています。FortiGate、Ivanti Connect Secure(旧Pulse Secure)、SonicWallなどのVPN機器は、メーカーのセキュリティアドバイザリを定期的に確認し、速やかにアップデートしてください。

3. RDPをインターネットに直接公開しない

リモートデスクトップはVPN経由でのみ接続可能にし、直接インターネットからアクセスできない構成にします。

4. 社員向けセキュリティ教育を実施する

不審なメールの見分け方、添付ファイルの取り扱い方について、全社員に定期的な教育を実施します。年に1回でも効果があります。

💡 ポイント

ランサムウェア対応は一人で抱え込まないでください。セキュリティ専門業者やIPAの相談窓口を積極的に活用しましょう。事前にインシデント対応を依頼できる業者を見つけておき、連絡先を控えておくことが理想です。

まとめ

  • 感染を発見したら即座にネットワーク隔離が最重要
  • 身代金は絶対に支払わない
  • 経営層への報告と警察・IPAへの連絡を速やかに行う
  • バックアップからの復旧時は必ずOSのクリーンインストールを行う
  • オフラインバックアップ、VPN更新、社員教育で再発を防止する