Jomo Jomo

ランサムウェア感染からの復旧

社員がフィッシングメールを開封しファイルサーバーが暗号化された状況からの初動対応、バックアップからの復旧、再発防止策をひとり情シスの視点で解説します。

状況:ファイルサーバーのデータが暗号化された

木曜日の午前10時頃、経理部の社員から「共有フォルダのExcelファイルが開けない」という報告がありました。確認すると、ファイルの拡張子が「.xlsx」から「.locked」に変わっており、フォルダ内に「README_DECRYPT.txt」という見慣れないテキストファイルが作成されています。テキストファイルを開くと、英語でビットコインでの身代金支払いを要求するメッセージが表示されました。

すぐにファイルサーバーの他のフォルダを確認すると、経理部の共有フォルダだけでなく、営業部と総務部の共有フォルダのファイルも次々と暗号化が進行していることが判明しました。ランサムウェア感染です。

⚠️ 注意

絶対に身代金を支払わないでください。支払ってもデータが復元される保証はありません。FBIやJPCERT/CCなどのセキュリティ機関も支払いを推奨していません。支払いは犯罪組織への資金提供となり、攻撃者に「この企業は払う」と認識されて再攻撃のリスクが高まります。

初動対応:被害拡大を止める

ステップ1:感染端末とファイルサーバーの隔離(最優先、所要時間5分)

ランサムウェアはネットワーク経由で他の端末やサーバーに感染を拡大します。1秒でも早い隔離が被害を最小限に抑えます。

  1. ファイルサーバーのLANケーブルを抜く。暗号化の進行を止めるため、サーバーは電源を切らない(後の調査で必要)
  2. 感染が疑われるPC(最初に「ファイルが開けない」と報告した社員のPC)のLANケーブルを抜き、Wi-Fiをオフにする
  3. 全社員に「PCの操作を一時停止し、ファイルサーバーへのアクセスを中止」と口頭またはスマートフォン連絡で通知

📋 具体例

緊急連絡例(スマートフォンのチャットグループで送信):
「緊急連絡です。現在、社内ファイルサーバーにセキュリティ上の問題が発生しています。全社員は直ちに以下の対応をお願いします。
1. ファイルサーバー(\\SV-FILE)へのアクセスを中止してください
2. 開いているファイルをローカル(デスクトップ等)に保存して閉じてください
3. 不審なメール(添付ファイル・URLリンク)を開かないでください
4. PCの電源はそのままで、操作を最小限にしてください
詳細は追って連絡します。」

ステップ2:感染経路の特定(所要時間30分~1時間)

感染を報告した社員にヒアリングし、感染経路を特定します。

  • 直近で不審なメールの添付ファイルやURLリンクを開いていないか
  • 不審なWebサイトにアクセスしていないか
  • USBメモリを使用していないか
  • ランサムウェアの活動開始時刻はいつ頃か(最初に暗号化されたファイルのタイムスタンプを確認)

💡 ポイント

感染経路の特定は「犯人探し」ではなく、再発防止のために不可欠です。感染した社員を責めるのではなく、「どのような手口で騙されたか」を冷静に確認してください。社員が萎縮してしまうと正確な情報が得られず、対応が遅れます。今回のケースでは、経理部の社員が「請求書の確認をお願いします」という件名のフィッシングメールの添付ファイル(.zip内の.exe)を実行してしまったことが原因でした。

ステップ3:被害範囲の確認(所要時間1~2時間)

どのサーバー・PCが被害を受けたかを確認します。

  • ファイルサーバーの各共有フォルダの暗号化状況を確認
  • 暗号化されたファイルの数と範囲を把握
  • バックアップサーバー・NASが感染していないか確認(バックアップが暗号化されていないか)
  • Active Directory(ドメインコントローラー)が正常に動作しているか確認
  • 他のPCに感染の兆候がないか確認

⚠️ 注意

バックアップが暗号化されていた場合、復旧は極めて困難になります。近年のランサムウェアは、ファイルサーバーだけでなくネットワーク上のバックアップデバイス(NAS等)も探索して暗号化する高度なものが増えています。バックアップデータが無事かどうかの確認は、被害範囲の調査で最も重要なポイントです。

復旧フェーズ:バックアップからのデータ復旧

ステップ4:バックアップの確認と復旧計画

今回のケースでは、幸いにも以下のバックアップが利用可能でした。

  • 外付けHDD(USB接続)への日次バックアップ:前日(水曜日)深夜のバックアップが最新。ファイルサーバーの共有フォルダをWindows Serverバックアップで取得
  • クラウドバックアップ:Azure Backupで週次バックアップ(先週日曜日時点)

外付けHDDはファイルサーバーにUSB接続されていましたが、バックアップソフトが使用する専用形式で保存されていたため、ランサムウェアによる暗号化を免れていました。

📋 具体例

バックアップからの復旧手順:
1. 感染したファイルサーバーのLANケーブルは抜いたまま維持
2. クリーンな環境(新しいPCまたはフォーマット済みのPC)を用意
3. 外付けHDDをクリーンな環境に接続し、バックアップデータにランサムウェアの痕跡がないことをウイルススキャンで確認
4. ファイルサーバーをフォーマットし、OSを再インストール(感染したOSは信頼できないため)
5. バックアップからデータを復元
6. 復元後のデータをウイルススキャンで再確認
7. ファイルサーバーをネットワークに再接続

ステップ5:ファイルサーバーの再構築

感染したサーバーのOSは信頼できません。ランサムウェアがバックドア(裏口)を仕掛けている可能性があるため、OSのクリーンインストールから行います

  1. ファイルサーバーのディスクを初期化(全パーティション削除)
  2. Windows Serverをクリーンインストール
  3. Windows Updateを最新まで適用
  4. ウイルス対策ソフトをインストール・最新定義に更新
  5. ファイルサーバーの役割と共有フォルダを再設定
  6. バックアップからデータを復元
  7. 共有フォルダのアクセス権を再設定(バックアップに含まれている場合は復元)

💡 ポイント

ひとり情シスの視点で最も重要なのは、「復旧手順を事前に文書化しておくこと」です。ランサムウェア感染時はパニック状態に陥りやすく、冷静な判断が難しくなります。事前に手順書があれば、一つずつチェックしながら対応できます。手順書はサーバールームに紙で掲示(ネットワーク障害時を考慮)し、クラウド上にもバックアップしておきましょう。

ステップ6:感染PCの対応

感染したPCも同様に、クリーンインストールが推奨されます。

  1. PCのディスクをフォーマットし、Windows 10/11を再インストール
  2. 社内のPC展開イメージがある場合はそれを利用
  3. 必要なアプリケーションの再インストール
  4. ユーザーデータの復元(バックアップがある場合)

ステップ7:全社での動作確認

復旧完了後、全部門でファイルサーバーへのアクセスと業務アプリケーションの動作を確認します。欠損しているデータがないか、各部門のキーパーソンに確認してもらいます。

⚠️ 注意

バックアップの時点(今回は水曜深夜)から感染発覚(木曜午前10時)までの約半日分のデータは失われます。この期間に作成・変更されたファイルは復旧できません。各部門に「水曜深夜以降に作成・変更したファイル」のリストを作成してもらい、必要に応じて再作成をお願いしてください。

再発防止策

1. メールセキュリティの強化

  • フィッシングメール対策:M365のExchange Online Protection(EOP)のフィッシング対策ポリシーを強化
  • 添付ファイルのサンドボックス検査:Microsoft Defender for Office 365の Safe Attachments を有効化(添付ファイルを仮想環境で実行して検査)
  • 外部メールへの警告表示:社外から受信したメールの件名に「[外部]」を自動付加し、社員の注意を喚起

2. バックアップの強化

  • 3-2-1ルールの徹底:データのコピーを3つ、2種類のメディアに保存、1つはオフサイト
  • オフラインバックアップ:ランサムウェアがネットワーク経由で到達できない場所にバックアップを保管。USB接続のHDDをバックアップ完了後に物理的に取り外す
  • イミュータブル(不変)バックアップ:一度書き込んだデータを変更・削除できないストレージにバックアップを保管。Azure Blob StorageのWORM機能やVeeamのイミュータブルリポジトリなど

📋 具体例

バックアップ運用の改善例:
毎日:Windows Serverバックアップで外付けHDD-Aに日次バックアップ
毎週金曜:外付けHDD-Aを取り外し、金庫に保管。外付けHDD-Bを接続
毎週月曜:外付けHDD-Bを取り外し、金庫に保管。外付けHDD-Aを接続
→ 2台のHDDをローテーションし、常に1台はオフライン(ランサムウェアが到達不可)
毎週日曜:Azure Backupでクラウドに週次バックアップ
→ 物理的災害(火災等)への備え

3. 社員教育の実施

  • フィッシングメール訓練:模擬フィッシングメールを送信し、開封率を測定。開封した社員には追加のセキュリティ教育を実施
  • セキュリティ意識向上研修:四半期に1回、15分程度の短時間研修を実施。実際のランサムウェア被害事例を紹介
  • 報告ルールの周知:「不審なメールを開いてしまった場合は、即座にIT担当に報告する」というルールを周知徹底。報告した社員を責めないことを明確にする

💡 ポイント

ひとり情シスの視点では、社員教育に多くの時間を割くのは難しいですが、フィッシングメール対策は最もコストパフォーマンスの高いセキュリティ対策です。Microsoft 365 Business Premiumに含まれる「攻撃シミュレーション トレーニング」を使えば、無料で模擬フィッシング訓練を実施できます。月に1回、10分程度の設定で全社員に訓練メールを送信でき、結果もダッシュボードで確認できます。

4. エンドポイント保護の強化

  • 全PCにEDR(Endpoint Detection and Response)を導入。異常な挙動(大量のファイル暗号化等)を検知して自動ブロック
  • ウイルス対策ソフトの定義ファイルが最新であることを定期確認
  • PowerShellやマクロの実行制限ポリシーを適用

まとめ

  • ランサムウェア感染の初動は「隔離」が最優先。感染端末とサーバーを即座にネットワークから切り離す
  • 身代金は絶対に支払わない。支払っても復元の保証はなく、再攻撃のリスクが高まる
  • 復旧の成否はバックアップの有無と品質にかかっている。3-2-1ルールとオフラインバックアップが命綱
  • 感染したサーバー・PCはOSのクリーンインストールから再構築する
  • 再発防止の要は社員教育(フィッシング訓練)とメールセキュリティの強化