ランサムウェアに感染したら？被害事例や5つの対処法を解説！セキュリティ対策も紹介

• 2024.3.29 (金)
  Posted by

昨今、サイバー攻撃による被害は多く報告され、中でもランサムウェアの被害報告件数は年々増加しています。
セキュリティ対策を行っている企業でも、ランサムウェアによる被害を受ける可能性はあるため、万が一感染したときのために、感染時の対応を頭に入れておくと安心です。

今回の記事では、ランサムウェアに感染したら、どのような対応を行うべきなのか、5つの対処法を紹介します。
また、ランサムウェアによる被害事例や、効果的なセキュリティ対策もあわせて紹介しますので、ぜひ参考にしてください。

ランサムウェアはマルウェア（悪意のあるソフトウェア）の一種で、感染したパソコンなどの端末をロックしたり、端末内のファイルを暗号化したりして使用できない状態にした後、元に戻すことと引き換えに身代金を要求するメッセージを表示する攻撃です。
「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせて作られた言葉です。

日本では2015年頃から「ばらまき型」による被害が発生しています。
ランサムウェアが添付されたメールを不特定多数に対して送信する手法です。
2019年後半からは「標的型ランサムウェア攻撃」と呼ばれる、特定の企業や組織をターゲットに攻撃する手法が主流となっています。

また、ランサムウェアの手口として、ファイルの暗号化に加えて「身代金を支払わなければ情報を暴露する」といった脅迫を行う「二重脅迫型」という手法も登場しました。
現在は、企業のサーバーに大量のパケットを送り、サービス提供を妨害するDDoS攻撃や、取引先や顧客に情報漏えいを通知するなどの脅迫を行う「多重脅迫」の手法も確認されています。

サイバー攻撃への端末のセキュリティ対策としては、今まではウイルス対策ソフトが一般的でした。
しかし、ランサムウェアは近年多様化・巧妙化しているため、ウイルス対策ソフトの導入だけでは対策としては不十分で、感染してしまう可能性は少なからずあるでしょう。

2023年3月に警察庁が発表した調査によると、ランサムウェアの被害報告件数は2020年下半期以降増加し、2022年は230件（前年比57.5％増）となっています。
企業規模別に見ると、大企業が63件、中小企業が121件と、規模を問わずに被害が発生していることがわかります。
また、製造業では75件、サービス業で49件、医療・福祉業界で20件と、あらゆる業種での被害が確認されました。

感染経路は、VPN機器からの侵入が約60％で、リモートデスクトップからの侵入が約20％を占めています。
テレワークをはじめ新たな働き方の浸透によって、使われ始めた機器の脆弱性やセキュリティレベルの低い認証情報などを利用して侵入したと考えられるものが81％と大半を占めました。

さらに、感染から復旧までに1か月以上かかった事例は35件（有効回答数131件の27％）、復旧費用が「1,000万円以上」と回答したのは56件（同121件の46％）でした。このように、近年、ランサムウェアによって、多大な被害が発生していることがわかります。

参考：令和４年におけるサイバー空間をめぐる脅威の情勢等について｜警視庁

実際にランサムウェアによる被害としては、どのような事例があるのでしょうか。
ここでは、直近2022年以降に発生したランサムウェアによる被害事例を3つ紹介します。

社会保険労務士向けのシステムを手掛ける開発会社は、ランサムウェアの攻撃を受けたと発表しました。
同社は、サーバーがダウンしたため調査を開始すると、不正アクセスの可能性が発覚しました。対応として、関連するインターネット回線の切断を行っています。

同社は高度な暗号化処理を実施していたことから、情報漏えいは確認されていません。
ただ、攻撃を受けてから1週間以上経過しても、ホームページや提供するクラウドサービスサイトへ接続しづらい状況が続きました。

放送受信機器を取り扱う電気機器メーカーは、ランサムウェアにより社内のパソコンやサーバーにシステム障害が発生していることを確認しました。
サーバーの一部データが暗号化されてロックがかかり、身代金を要求するメッセージが表示されていたとのことです。

同社は対応として、外部ネットワークとの接続を切断しました。また、社内の全システムを停止し、サーバーの移行も並行して進めるなどの対応を行っています。

感染後、情報流出は確認できていませんが、パソコンでのメールの送受信や、サーバーへのアクセスができない状態が続きました。また、委託先の工場や営業拠点に直接被害はなかったものの、本社とのネットワークが切断されたため、一部業務に遅延が生じています。

ある総合病院で、ランサムウェアへの感染が発覚しました。
基幹システムサーバーがランサムウェアで暗号化され、電子カルテシステムの利用ができなくなり、新規外来患者の受け入れや手術の停止を余儀なくされました。

ランサムウェアは、患者の給食提供を委託している業者のVPNから侵入したことが明らかになっています。
業者のサーバーと接続されている同病院のサーバーと、電子カルテなどを運用する基幹システムのサーバーのパスワードが同じだったため、ウイルス感染を招きました。
感染から約2ヶ月半後に完全復旧し、被害額は調査・復旧に数億円、診療制限による影響も含めると十数億円にも及びます。

いくら対策を打って注意していたとしても、ランサムウェアの感染は起こり得ます。
ここでは、ランサムウェアへの感染時の対処法を紹介しますので、万が一のときのために把握しておきましょう。

ランサムウェアへの感染の疑いがある場合、該当する端末をネットワークから切り離しましょう。
感染した端末をそのままにした場合、他のパソコンやサーバーへ感染が拡大する危険性があるためです。

有線接続の場合は、端末に接続しているLANケーブルを抜きます。
Wi-Fiの場合は、端末のWi-Fi設定を切ることで対応しましょう。
また、外部ストレージも、ランサムウェアにより暗号化される可能性があるため、ネットワークの切断が必要です。

ネットワークの遮断が完了したら、ウイルス対策ソフトなどでランサムウェアの種類を調べます。
この時点で、そもそも本当にランサムウェアによる被害なのかを、端末の不具合や症状から判定しましょう。また、同時に感染端末の台数の確認も必要です。

ランサムウェアに感染した場合、暗号化解除のために身代金を支払うよう要求されますが、応じてはいけません。
身代金を支払っても、暗号化が解除される保証はないからです。

セキュリティの専門家でなければ自力で解決しようとするのは危険です。
そのため、感染が確認されたらすぐに組織内の担当者へ報告し、警察のサイバー犯罪窓口や外部の専門家への相談も行いましょう。

組織内での被害状況や、暗号化されたデータ、情報漏えいの有無・ある場合は何の情報かを確認しましょう。
まず、導入済みのウイルス対策ソフトで、ランサムウェアに感染した可能性のある他の端末を確認します。不正アクセスや情報漏えいの有無を確認するために、自社で取得しているログの確認も、可能な範囲で進めましょう。

ランサムウェアを駆除して、システムやデータの回復を試みます。
パソコンに感染した場合は、端末を初期化し、事前に取ったバックアップデータから復旧を試みましょう。
ウイルスの解除機能を搭載したツールを導入している場合は、ツールの使用によってファイルを復元できる可能性があります。

回復後は、データ流出の可能性がある端末のID・パスワードを変更します。また、再発防止のためにも、感染した原因を分析し、さらなる対策を講じましょう。

日頃からの少しの注意で、ランサムウェアへの感染リスクを抑えることができます。
ここでは、ランサムウェアへの対策として、日常的に実施できることを紹介します。

ランサムウェアに感染しても、バックアップを取っておくことでデータの復旧が可能なケースがあります。
そのため、バックアップは定期的に取得しておくことをおすすめします。

バックアップデータを保存しているサーバーや端末を攻撃された場合を考えて、データは外部ストレージ内とクラウドストレージ上、といったように複数の場所に保存しておくようにしましょう。

使用しているパソコンのOSやアプリケーションの定期的なアップデートは、セキュリティ対策につながります。
通常、ソフトウェアには何らかのセキュリティ上の欠陥が存在し、メーカーはこの脆弱性への対処として新たなバージョンに更新しているからです。

また、古いバージョンだと、最新のサイバー攻撃を防げない可能性もあります。
そのため、定期的にアップデートを行い、セキュリティを強化しましょう。

スパムメールの中には、宣伝や広告目的以外にも、マルウェア（悪意のあるソフトウェア）が添付されたものや、フィッシングサイトへ誘導するものなども存在します。
これらへの対策として、スパムメールを自動で迷惑メールフォルダに振り分ける機能を使用するのがおすすめです。
また、むやみにメールに添付されたファイルを開いたり、本文内のURLにアクセスしたりすることは避けましょう。

バックアップの取得やソフトウェアのアップデートなどに日頃から気をつけるだけでは、ランサムウェアへの対策は不十分です。
そのため、セキュリティ対策ソフトの導入をおすすめします。ここでは、セキュリティ対策に有効なソフトを紹介します。

ウイルス対策ソフトとは、パソコンなどの端末やウイルス感染を防ぐセキュリティ対策ソフトです。
基本的には、端末内に侵入したウイルスを検知して、自動での駆除や、ウイルスの実行を防ぐ機能を搭載しています。

中でも代表的なのが、アンチウイルス機能です。
パターンマッチング方式によって既出のマルウェアウイルスを検知するタイプが一般的ですが、近年は振る舞い分析や機械学習などの技術を用いて、未知のマルウェアウイルスでも検知できるようになっています。

EDRとは、パソコンなどの端末の不審な挙動を検知して、迅速な対応を支援するセキュリティソフトです。
具体的には、サーバーやパソコンの通信内容を監視し、不審な挙動を発見した場合、すぐに管理者に通知します。通知後、管理者はEDRで取得したログを分析して、対策を講じます。

ウイルス対策ソフトでサイバー攻撃を完全に防ぎきるのは困難なので、ウイルス侵入や不正アクセスが発生した場合を想定して、被害の拡大を防ぐことを目的としています。

UTMは複数のセキュリティ機能を1つに集約して、包括的にネットワークを守る製品です。
統合脅威管理とも呼ばれ、外部ネットワークと社内ネットワークの間に設置し、セキュリティ対策を一元管理します。

UTMは製品によって異なりますが、アンチウイルスやファイアウォール、アンチスパム、外部サイトへのアクセス制限などの機能が搭載されています。
包括的にセキュリティ対策ができるだけでなく、管理や運用の負担を軽減できるのもメリットです。

ランサムウェアによる報告件数は年々増加し、手口が多様化・巧妙化しているため、侵入を100％防ぐのは困難です。
そのため、ウイルス対策ソフトよるサイバー攻撃をブロックする対策と、EDRによるサイバー攻撃の被害に遭った場合の対策をどちらもしておくのが効果的です。
さらに、UTMによって包括的に対策を行うことで、よりセキュリティ体制を強化できます。

NTT東日本の「おまかせアンチウイルスEDRプラス」は、ウイルス侵入防御機能を備え、感染時の早期発見・早期対応まで行うサービスです。万が一ウイルス感染が疑われる際には、NTT東日本のセキュリティ人材が、調査・復旧支援を行います。

また、プロによる通信状況のモニタリングや、不正通信のブロックによって脅威から守るサービス「おまかせサイバーみまもり」も提供中です。
不正なネットワーク通信を発見した際にはすぐにお客さまへ電話で連絡します。該当端末の隔離や、ウイルス駆除の遠隔サポートも可能です。さらに、サイバー保険が付帯され、調査や復旧にかかった費用の一部を補償できるのもポイントです。

「必要なセキュリティ対策がわからない」「時間や手間をかけずにセキュリティ対策を強化したい」とお考えの方は、ぜひNTT東日本にご相談ください。

ランサムウェアは、パソコンを通じてデータを暗号化し、使用できないようにした後、暗号化解除と引き換えに身代金を要求するメッセージを表示する、マルウェア（悪意のあるソフトウェア）の一種です。
ランサムウェアの被害件数は2020年下半期から増加し、大企業や中小企業など規模にかかわらず被害が発生しています。

マルウェア（悪意のあるソフトウェア）への対策としては、感染防止を行うウイルス対策ソフトや、感染後の迅速な対応を支援するEDRなどがあります。
また、セキュリティ対策を包括的に行えるUTMの導入も効果的です。

NTT東日本では、ログ監視により脅威から守る「おまかせサイバーみまもり」や、脅威の侵入の検知・早期対応を支援する「おまかせアンチウイルスEDRプラス」などの、セキュリティ対策サービスを提供しています。時間や手間をかけずに企業のセキュリティ体制を強化したいなら、NTT東日本に一度ご相談ください。

ページの先頭へ

おまかせサイバーみまもりのトップに戻る