編集 NTT東日本編集部

ランサムウェアに感染しても金銭の要求には応じないようにしましょう。金銭を支払ってもデータが復元できるとは限りません。万が一ランサムウェアに感染した場合の対処や予防法について解説します。

1．ランサムウェアとは

ランサムウェアはマルウェアの一種類で、感染するとデータの暗号化を行い、デバイスを利用できなくします。この制限を解除するために攻撃者は被害者に身代金の支払いを要求するのです。また、ランサムウェアの中には、感染したコンピューターが接続されているネットワークを通じて、他のシステムにまで感染を広げるものもあります。

ランサムウェア対策として、業務用端末へのセキュリティソフトの導入や一括管理が有効です。

1-1.ランサムウェアの目的

ランサムウェアは金銭の取得が目的におかれています。電子決済や暗号資産の普及で、インターネット上での金銭のやり取りは容易にできるようになりました。それがランサムウェアの普及の一因とも言われています。近年では特定の企業を攻撃対象にした標的型ランサムウェアも増えており、国内でも大手ゲーム会社などで被害が発生しています。

ランサムウェア対策として、業務用端末へのセキュリティソフトの導入や一括管理が有効です。

1-2.ランサムウェアの動向

電子決済や暗号資産の普及も相まって、ランサムウェアの攻撃手法も年々多様化の一途を辿っています。近年のランサムウェアの動向として出てきた2つの攻撃手法について紹介します。

（１）人手によるランサムウェア攻撃

ランサムウェアを不特定多数の人に送りつけることなく、特定の企業を標的と定めます。攻撃者はその企業のネットワークにひそかに侵入、ネットワーク内の管理システムなどをランサムウェアに感染させます。さらに復旧を阻害するために、バックアップシステムについても同時にランサムウェアに感染させるのです。

（２）二重の脅迫

ランサムウェアでデータの暗号化を行う前に、機密情報などのデータを攻撃者のサーバーに送信して窃取します。攻撃者は復号キーだけでなく、窃取したデータの公開も脅迫材料として利用します。

関連リンク：ランサムウェア攻撃とは？感染経路や手口・正しい対策を紹介

2．ランサムウェアの対策

ランサムウェアの感染防止や、万が一感染した場合に備えて、具体的な対策について紹介します。

2-1.定期的なバックアップ

ランサムウェアに一度感染すると、データの復号・復旧が困難です。そのためコンピューターを一度初期化することになり、データ復旧するためにはバックアップが必要です。バックアップについては、できる限り最新のデータが残るように、高頻度でバックアップを行います。またバックアップしたデータまでランサムウェアに感染しないように、ネットワークの構成や設定を工夫しておきましょう。

クラウドストレージなどを活用すると、バックアップもしやすいです。

2-2.システム的な感染防止

ランサムウェアの感染元はメールとWebサイトの閲覧が大半です。そのためシステムによる監視や検知を行うことで、感染リスクを大きく軽減させられます。システム的な3つの対策手法を紹介します。

（１）メールのスキャンとフィルタリング

受信メールに監視システムを導入することで、身に覚えのない送信元やブラックリストに登録されているアドレスからのメールを除外することが可能です。またメールの添付ファイルの中身を解析し、ファイルに害がある場合、ファイルを無害化した上で受信できるシステムもあります。

メールはプライバシー問題にも関わるため、監視の線引きが難しいラインではあります。しかし万が一に備えるという意味では、送信元アドレスや添付ファイルは最低限、監視の対象としましょう。

（２）ウイルス対策ソフトの導入

ウイルス対策ソフトは、端末内に侵入したマルウェアを検知して、自動での駆除や、マルウェアの実行を防ぐ機能を搭載しています。ウイルス対策ソフトを入れておくことで、被害を受ける前にランサムウェアを検知できる可能性が高まります。

（３）EDRの導入

EDRとは、パソコンやサーバーの不審な挙動を検知して、迅速な対応を支援するセキュリティソフトです。具体的には、サーバーやパソコンの通信内容を監視し、不審な挙動を発見した場合、すぐに管理者に通知します。通知後、管理者はEDRで取得したログを分析して、対策を講じます。
ウイルス対策ソフトでサイバー攻撃を完全に防ぐことは困難なため、ウイルス侵入や不正アクセスが発生した場合を想定して、被害の拡大を防ぐことを目的としています。被害を最小限に抑えられるよう、駆除や隔離などの対応を行うEDRとウイルス対策ソフトのセット導入をおすすめします。

（４）ソフトウェアやOSの定期アップデート

ランサムウェアはブラウザやOSの脆弱性を狙った攻撃も多くあります。発見された脆弱性は、開発元から定期的に更新プログラムが配布されています。プログラムを更新すると稀に使えなくなる機能などもありますが、セキュリティリスクを考慮して更新プログラムはあまり時間を空けずに実行しましょう。

2-3.ITリテラシーの向上

ランサムウェアに感染しないためにはシステム的な対策だけでなく、個々人のITリテラシー向上も大切です。従業員に徹底したい、3つのポイントについて紹介します。

（１）不審なリンクをクリックしない

身に覚えのないメールの本文内記載リンクや、Webサイト内にある不審なリンクなどをクリックしないようにしましょう。またWebサイトでは表記上公式サイトのリンクでも、リンク設定が別のサイトになっていることもあります。万が一違和感を感じたら、必ずURLの確認を行い、そのサイトが意図したものかどうかをチェックしましょう。

（２）信頼できない送信元からのメールを開かない

Webサービスを多数利用していると、登録に利用したメールアドレス宛にさまざまなメールが届きます。利用しているサービスで個人情報流失が発生し、攻撃者の間でメールアドレスが流通している可能性も考えられます。身に覚えのないメールが届いた場合は、開封前に送信元のアドレスを確認しましょう。もし身に覚えない場合は開かずに削除することが賢明です。

（３）信頼できないWebサイトからファイルをダウンロードしない

Webサイト上には公式非公式関わらず、数え切れないファイル・ソフトウェアが流通しています。見た目上問題なくても、ダウンロードしたファイルの中にランサムウェアが含まれているファイルやソフトウェアも存在します。運営母体が不明瞭なWebサイト、違法ソフトウェア・ファイルを配布しているサイトからのダウンロードは避けましょう。

3．感染した場合の対処法

万が一ランサムウェアに感染した場合の対処法について説明します。ランサムウェアは画面上に脅迫文が表示されることもあり、焦って行動をしてしまいがちです。事前に被害が発生した場合を想定しておくことで、攻撃者の意図通りに被害拡大することを防ぎましょう。

3-1.身代金の要求に応じない・専門部署や専門家への相談

感染した直後に、金銭の支払いには応じないように気をつけましょう。金銭を支払っても暗号化が解除されないケースも考えられます。また自身がセキュリティの専門家でない限り、自力での解決は非常に危険です。ランサムウェアへの感染が確認されたら組織内の担当者への報告、警察のサイバー犯罪窓口に相談を行いましょう。

3-2.ネットワークの遮断

ランサムウェアへの感染が確認されたら、2次被害を防ぐためにコンピューターをネットワークから切り離します。想定される対処としては、Wi-Fiの無効化や物理ケーブルの取り外しです。また外部ストレージについても、ランサムウェアの暗号化対象に含まれる可能性があるため、ネットワークを切断しましょう。

3-3.ランサムウェアの種類の特定

ネットワークの切断が完了したら、ウイルス対策ソフトなどを利用してランサムウェアの種類を特定しましょう。ランサムウェアによっては無料の複合ツールが提供されていることもあります。一方で複合ツールがない場合は、コンピューターの初期化が必要になります。このようにランサムウェアによって対処方針は変わってきますので、種類の特定は非常に大事なステップです。

3-4.ランサムウェアの駆除

ランサムウェアが特定できたら、コンピューター内からランサムウェアの駆除を行います。駆除についてはウイルス対策ソフトを利用したり、場合によってはコンピューターを初期化することで駆除したりします。

3-5.復号ツールの利用

復号ツールが開発・公開されているランサムウェアも一部あります。ランサムウェアが特定できたら、復号ツールの有無について後述する、No More Ransomeのウェブサイトで検索してみましょう。

４．まとめ

ランサムウェアによる報告件数は年々増加し、手口が多様化・巧妙化しているため、侵入を100％防ぐのは困難です。そのため、ウイルス対策ソフトによるサイバー攻撃をブロックする対策と、EDRによるサイバー攻撃の被害に遭った場合の対策をどちらもしておくのが効果的です。さらに、UTMによって包括的に対策を行うことで、よりセキュリティ体制を強化できます。

NTT東日本の「おまかせサイバーみまもりセキュリティパッケージ」は、ウイルス侵入防御機能を備え、感染時の早期発見・早期対応まで行うサービスです。万が一ウイルス感染が疑われる際には、NTT東日本のセキュリティ人材が、調査・復旧支援を行います。
また、プロによる通信状況のモニタリングや、不正通信のブロックによって脅威から守ります。不正なネットワーク通信を発見した際にはすぐにお客さまへ電話で連絡します。該当端末の隔離や、ウイルス駆除の遠隔サポートも可能です。さらに、サイバー保険が付帯され、調査や復旧にかかった費用の一部を補償できるのもポイントです。
「必要なセキュリティ対策がわからない」「時間や手間をかけずにセキュリティ対策を強化したい」とお考えの方は、ぜひNTT東日本にご相談ください。

関連サービス

資料ダウンロード

関連するコラム

• コラムをもっと読む