企業提携の解消、法務と実務の手引き|業務・資本提携別の注意点
catfish_admin
経営リスクナビ
もしやランサムウェア?感染症状のチェックリストと緊急時の対処法
catfish_admin
企業のPCやサーバーに不審な挙動が見られ、ランサムウェアへの感染を確認したい担当者にとって、初動の判断は極めて重要です。感染の兆候を見逃し対応が遅れると、事業停止や情報漏洩など深刻な被害に繋がりかねません。迅速かつ正確な対応が、被害を最小限に抑える鍵となります。この記事では、ランサムウェア感染の具体的な兆候と、発覚後の正しい初動対応手順について詳しく解説します。
ランサムウェア感染の兆候
身代金を要求する画面表示
ランサムウェアに感染した最も明白な兆候は、PCやサーバーの画面に身代金を要求するメッセージが突然表示されることです。ランサムウェアはデータを暗号化したり端末をロックしたりして使用不能にし、その復旧と引き換えに金銭を脅し取ります。近年は、データを暗号化するだけでなく、情報を盗み出し「支払いに応じなければ公開する」と脅す二重恐喝の手口が主流です。このような画面が表示された時点で深刻な被害が発生しているため、直ちに初動対応へ移行する必要があります。
身代金要求画面の表示例
- 端末の壁紙がドクロマークなどの警告画像に変更される
- システム起動時やログイン時に脅迫メッセージが表示される
- ポップアップウィンドウで仮想通貨による支払いを要求される
- 盗んだ情報を公開するなどと脅すメッセージが表示される(二重恐喝)
ファイルが暗号化・拡張子変更
業務で使うファイルが暗号化され、拡張子が見慣れない文字列に変更されている状態も、感染の確実な兆候の一つです。ランサムウェアは文書、画像、データベースなどのファイルを暗号化し、利用者がアクセスできないようにします。このとき、ファイル名の末尾に独自の拡張子を付与することが一般的です。ネットワークドライブ上の共有ファイルも攻撃対象となるため、ファイルサーバーのデータが一斉に利用不能になる事態も起こり得ます。ファイルの異常を発見した場合、被害拡大を食い止める措置が急務となります。
ファイル暗号化の具体的な症状
- WordやExcelなどのファイルが突然開けなくなる
- ファイル名の末尾に`.lockbit`など見慣れない拡張子が付与される
- ネットワーク上の共有ファイルが一斉に利用不能になる
不審なファイルやメモの生成
暗号化されたフォルダ内やデスクトップに、見覚えのないテキストファイルが生成されることも重要な感染のサインです。これはランサムノートと呼ばれる脅迫文で、攻撃者が身代金の支払い方法を被害者に伝えるために作成します。ファイルを開くと、暗号化した事実、身代金の支払い方法、連絡先、支払い期限などが記載されています。これらの不審なファイルやメモを発見しても、記載された指示に従ったりリンクを開いたりせず、速やかに専門家を交えた調査を開始してください。
ランサムノート(脅迫文)の主な内容
- ファイルを暗号化したという事実の通告
- データの復元と引き換えに要求する身代金の額
- 支払い方法(主に仮想通貨)と送金先アドレス
- 支払い期限と、期限を過ぎた場合の措置(データ公開など)
- 攻撃者への連絡先(専用チャットサイトのURLなど)
システムや端末の動作不良
PCやサーバーの動作が極端に遅くなるなどの不調は、ランサムウェアがバックグラウンドで活動している初期兆候の可能性があります。ランサムウェアは大量のファイルを暗号化する際にCPUやメモリといったシステムリソースを大量に消費するため、端末のパフォーマンスが著しく低下します。その他、セキュリティ対策ソフトが意図せず無効化されるなど、攻撃者による妨害活動も頻発します。原因不明のシステム不良は単なる故障と判断せず、サイバー攻撃を疑うことが重要です。
システム・端末の動作不良の例
- PCやサーバーの動作が極端に遅くなる
- アプリケーションを起動していないのにハードディスクが作動し続ける
- タスクマネージャーに見慣れないプロセスが表示される
- ファイルサーバーや基幹システムに突然接続できなくなる
- セキュリティ対策ソフトが意図せず無効化されている
感染発覚後の初動対応手順
感染端末のネットワーク隔離
感染が疑われる端末を発見した場合、被害の拡大を防ぐため、最優先でネットワークから隔離します。ランサムウェアはネットワークを通じて他の端末やサーバーへ感染を広げる性質があるため、通信の遮断が不可欠です。
ネットワークからの隔離手順
- 有線接続の場合:LANケーブルを物理的に引き抜く。
- 無線接続の場合:Wi-Fi機能をオフにするか、機内モードに設定する。
- 管理者による対応:ネットワークスイッチのポートを無効化する、またはEDR製品で論理的に隔離する。
- 注意:この段階では端末の電源は切らない。
関係部署への状況報告と連携
端末を隔離したら、速やかに情報システム部門や経営層などの関係部署へ状況を報告し、全社的な連携体制を築きます。サイバー攻撃は全社の事業継続に関わる経営問題であり、迅速な情報共有と意思決定が被害を最小化する鍵となります。発見者は客観的な事実のみを正確に伝え、報告を受けた部門はあらかじめ定めたインシデント対応計画に沿って対策本部を設置し、役割分担を明確にすることが重要です。
報告・連携のポイント
- 発見者は、情報システム部門や経営層へ速やかに第一報を入れる。
- いつ、どの端末で、どのような異常(脅迫画面、ファイル暗号化など)が発生したかを正確に伝える。
- 報告を受けた部門は、緊急対策本部を立ち上げ、社内への情報共有や役割分担を決定する。
- 事前に定めたインシデント対応計画に基づき、組織として統制の取れた行動を開始する。
証拠保全(電源は切らない)
感染した端末の電源は絶対に切らないでください。電源を落とすと、メモリ上に記録されている暗号鍵や通信履歴といった、原因究明に不可欠な証拠(揮発性データ)が失われてしまいます。また、再起動をきっかけに暗号化を加速させたり、システムを破壊するおそれのあるマルウェアも存在します。画面に表示された脅迫メッセージはスマートフォンなどで撮影し、専門家が調査を開始するまで現状を維持することが鉄則です。
証拠保全における注意点
- 電源は絶対に切らない:メモリ上の暗号鍵や通信履歴などの証拠が消えてしまうため。
- 再起動しない:再起動をトリガーに暗号化を加速させるおそれのあるマルウェアも存在する。
- 画面を撮影する:表示されている脅迫メッセージやエラー画面はスマートフォンなどで写真に撮る。
- 操作を控える:専門家が調査するまで、マウスやキーボードによる不要な操作は行わない。
影響範囲の特定と把握
初動対応と並行して、感染がネットワーク内のどこまで広がっているか、影響範囲を正確に特定する調査が必要です。感染端末以外にもマルウェアが潜伏している可能性があり、被害の全容を把握しなければ安全な復旧計画は立てられません。ネットワーク機器の通信ログやサーバーのアクセスログを分析し、不審な活動の有無を確認します。特に、バックアップデータが保存されているサーバーの健全性は最優先で確認すべき項目です。
影響範囲の主な調査対象
- ネットワーク機器やサーバーの通信ログを分析し、不審な通信先を特定する。
- 各端末のイベントログを確認し、不正なログインや不審なプロセスの実行履歴を調査する。
- バックアップデータが保存されているサーバーやストレージの健全性を確認する。
- 感染端末からアクセス可能なファイルサーバーやデータベースなどの被害状況を把握する。
二次被害を防ぐ社内コミュニケーションの注意点
インシデント発生時には、社内の混乱や不適切な個人判断による二次被害を防ぐため、情報伝達を統制する必要があります。憶測や不確実な情報が拡散しないよう、対策本部から一元的に情報を発信することが重要です。従業員に対しては、詳細な状況説明よりも「不審なファイルを開かない」といった具体的な行動指示を簡潔に伝え、組織全体で足並みを揃えて対応することが求められます。
社内コミュニケーションの注意点
- 憶測や不確実な情報が拡散しないよう、対策本部から一元的に情報発信を行う。
- 従業員にはパニックを避けるため、詳細な状況説明より具体的な行動指示を簡潔に伝える。
- 指示の例:「不審なメールやファイルを開かない」「指示があるまでPCを操作しない」など。
- 個人の判断でネットワーク設定を変更したり、USBメモリを接続したりしないよう周知徹底する。
専門家・関係機関への相談
専門調査会社に依頼する
ランサムウェア感染の原因究明や復旧作業には、高度な専門知識と特殊なツールが不可欠です。自社で不用意に調査を行うと、かえって証拠データを破壊し、復旧を困難にするリスクがあります。速やかにセキュリティ専門の調査会社へ支援を依頼し、客観的かつ科学的な調査に基づいた対応をとることが、確実な事業復旧への近道です。
専門調査会社の主な支援内容
- デジタルフォレンジック調査:侵入経路や被害の全容を特定する。
- マルウェア解析:ランサムウェアの挙動を分析し、駆除方法を確立する。
- データ復旧支援:暗号化されたデータの復号可能性を調査・試行する。
- システム復旧・再発防止策の助言:安全なネットワーク再構築を技術的に支援する。
警察への通報・相談方法
ランサムウェア被害はサイバー犯罪であり、警察へ通報・相談することが重要です。捜査によって攻撃者の特定に繋がる可能性があるほか、公的な被害申告は保険適用や取引先への説明においても重要な根拠となります。各都道府県警察に設置されている「サイバー犯罪相談窓口」へ連絡し、状況を整理して伝えます。警察の捜査に協力するためにも、初動対応における証拠保全は極めて重要です。
警察へ通報・相談する際に伝える情報
- 感染に気づいた日時と経緯
- 画面に表示された脅迫文(撮影した写真など)
- 感染が疑われる端末の情報と隔離状況
- 判明している範囲での被害状況(暗号化されたファイルの範囲など)
IPAなど公的機関への届出
被害情報の共有による社会全体のセキュリティ向上と、法令遵守の観点から、公的機関への届出も必要です。コンピュータウイルスや不正アクセスの被害についてはIPA(情報処理推進機構)へ、個人データの漏えいまたはそのおそれがある場合は個人情報保護委員会へ、それぞれ定められた手順で報告します。特に個人情報保護法に基づく報告は企業の法的義務であり、遅滞なく対応しなければなりません。
| 届出先機関 | 届出が必要なケース | 備考 |
|---|---|---|
| 独立行政法人情報処理推進機構(IPA) | コンピュータウイルスや不正アクセスの被害に遭った場合 | 被害の拡大防止や技術的な情報共有を目的とする。 |
| 個人情報保護委員会 | 個人データの漏えい等が発生した場合またはそのおそれがある場合 | 個人情報保護法に基づく報告義務(速報および確報)がある。 |
身代金支払いを検討する際の法的・財務的リスク
攻撃者からの身代金要求に対しては、原則として支払いに応じるべきではありません。支払ってもデータが復旧される保証はなく、かえって「支払いに応じる企業」と見なされ、さらなる攻撃の標的となるリスクが高まります。また、支払先が国際的な制裁対象組織であった場合、外国為替及び外国貿易法に抵触する可能性もあります。法的・財務的リスクを考慮し、バックアップからの復旧を基本方針とすることが重要です。
身代金を支払うことの主なリスク
- データが復旧される保証がない:支払い後も復号キーが提供されない、またはデータが破損しているケースがある。
- さらなる攻撃の標的になる:「支払いに応じる企業」と認識され、再度攻撃を受けるリスクが高まる。
- 犯罪組織への資金提供:テロ組織や反社会的勢力の活動を助長することになる。
- 法規制への抵触:支払先が経済制裁対象である場合、外国為替及び外国貿易法などに違反するおそれがある。
主な感染経路を特定する
VPN機器の脆弱性
テレワークの普及に伴い利用が拡大したVPN(仮想私設網)機器は、ランサムウェアの主要な侵入経路となっています。これらの機器はインターネットに直接公開されているため攻撃者の標的になりやすく、ソフトウェアの更新が放置されていると、既知の脆弱性を突かれて容易に内部ネットワークへの侵入を許してしまいます。常に最新のセキュリティパッチを適用し、脆弱性を放置しない管理体制が不可欠です。
VPN機器を狙った攻撃の特徴
- インターネットに直接接続されているため、攻撃者から発見されやすい。
- ソフトウェアの更新が放置され、既知の脆弱性が残っているケースが多い。
- 一度侵入されると、社内ネットワークへのアクセス権限を容易に奪われる。
リモートデスクトップ経由の侵入
遠隔地のPCを操作するリモートデスクトップ(RDP)も、設定不備が原因で主要な侵入経路の一つとなっています。特に、インターネットに直接公開している状態で、安易なパスワードを設定していると、総当たり攻撃などによって認証を突破され、管理者権限を奪取されます。アクセス元IPアドレスの制限や多要素認証(MFA)の導入など、厳格なアクセス制御が求められます。
リモートデスクトップの主なリスク要因
- 脆弱なパスワードを設定しており、総当たり攻撃などで容易に突破される。
- 初期設定のポート番号のままインターネットに公開している。
- アクセス元IPアドレスの制限や多要素認証(MFA)を導入していない。
メールの添付ファイルやURL
業務連絡や取引先を装った不審なメールは、古典的ですが依然として強力な感染経路です。攻撃者は巧妙な文面で受信者を騙し、添付されたWordやExcelファイルのマクロを有効化させたり、本文中のURLからマルウェア配布サイトへ誘導したりします。従業員への継続的なセキュリティ教育と、不審なメールを検知・隔離するシステムの導入を組み合わせた多層的な対策が必要です。
巧妙化するメール攻撃の手口
- なりすまし:実在の取引先や公的機関を装い、請求書や業務連絡に見せかける。
- 添付ファイル:Office文書のマクロ機能を悪用したり、ZIP形式で圧縮した実行ファイルを送付したりする。
- 悪意のあるURL:本文中のリンクをクリックさせ、偽のログイン画面やマルウェア配布サイトへ誘導する。
Webサイト閲覧による感染
日常的なWebサイトの閲覧だけでランサムウェアに感染するリスクもあります。正規のサイトが改ざんされていたり、不正な広告(マルバタイジング)が表示されたりした場合、閲覧するだけで自動的にマルウェアがダウンロード・実行される「ドライブバイダウンロード攻撃」の被害に遭う可能性があります。OSやブラウザ、各種ソフトウェアを常に最新の状態に保ち、脆弱性を解消しておくことが基本的な対策となります。
Webサイト閲覧による主な感染シナリオ
- ドライブバイダウンロード:改ざんされた正規サイトや不正広告を閲覧しただけで、自動的にマルウェアが実行される。
- 偽の警告表示:「ウイルスに感染しました」などの偽警告で利用者の不安を煽り、偽の対策ソフトをインストールさせる。
- 脆弱性の悪用:OS、ブラウザ、プラグインなどのソフトウェアの脆弱性を突き、不正なプログラムを送り込む。
よくある質問
ランサムウェアと他のマルウェアの違いは?
ランサムウェアが他のマルウェアと決定的に異なるのは、その目的が金銭の直接的な搾取にある点です。一般的なマルウェアが情報窃取やシステム破壊などを目的とするのに対し、ランサムウェアはデータを人質に取り、復旧と引き換えに身代金を要求するという明確なビジネスモデルを持っています。
| 項目 | ランサムウェア | 一般的なマルウェア(スパイウェア、ウイルス等) |
|---|---|---|
| 主な目的 | 金銭の直接的な搾取 | 情報の窃取、システムの破壊、他の攻撃の踏み台化など |
| 主な攻撃手法 | データの暗号化やシステムのロック | バックドアの設置、キー入力情報の窃取、ファイルの自己増殖など |
| 被害者への接触 | 画面に脅迫文を表示し、積極的に金銭を要求する | 被害者に気づかれないよう潜伏して活動することが多い |
感染調査は自社だけで可能ですか?
結論として、自社の担当者のみで本格的な感染調査を完結させることは極めて困難であり、推奨されません。侵入経路の特定やマルウェアの完全な駆除には、デジタルフォレンジックなどの高度な専門知識と特殊なツールが必要です。無理に自社で調査を進めると、重要な証拠データを破壊してしまい、原因究明や復旧をより困難にするおそれがあるため、速やかに外部の専門機関に依頼すべきです。
自社のみでの感染調査が困難な理由
- 侵入経路の特定やマルウェアの完全な解析には、高度なデジタルフォレンジックの専門知識が必要なため。
- 不用意な操作が、メモリ上やディスク上の重要な証拠データを破壊してしまうリスクが高いため。
- 攻撃者が仕掛けたバックドアなどを見逃し、マルウェアを完全に駆除できないおそれがあるため。
バックアップから復旧する際の注意点
バックアップデータからシステムを復旧する際は、そのバックアップデータ自体がマルウェアに感染していないかを慎重に確認する必要があります。マルウェアが潜伏したままのデータを書き戻すと、システムが再感染してしまいます。復旧作業は、必ず侵入経路の遮断とシステムの初期化を行った上で、安全性が確認されたバックアップデータを用いて実施してください。
バックアップからの安全な復旧手順
- バックアップの健全性を確認する:隔離された安全な環境で、バックアップデータ自体がマルウェアに感染していないかスキャンする。
- 侵入経路を特定・遮断する:攻撃者に利用されたVPNの脆弱性などを修正し、再侵入のリスクを完全に排除する。
- システムを初期化する:感染したサーバーやPCは、OSからクリーンインストールし、完全に初期化する。
- データをリストアする:安全性が確認されたバックアップデータを用いて、初期化したシステムにデータを復旧する。
無料の復号ツールは利用してもよい?
信頼できる公的機関や大手セキュリティ企業が提供しているものであれば、利用を検討する価値があります。警察機関の捜査などによって特定のランサムウェアの暗号が解読され、公式に復号ツールが公開されるケースがあるためです。ただし、利用できるのは感染したランサムウェアの種類がツールに適合する場合に限られます。安易にインターネットで検索したツールは、偽物や新たなマルウェアである危険性もあるため、必ず専門家の助言を得てから慎重に利用してください。
無料復号ツール利用時の確認事項
- 提供元の信頼性:法執行機関や大手セキュリティ企業など、信頼できる組織が公開しているツールか確認する。
- マルウェアとの適合性:感染したランサムウェアの種類と、ツールが対応する種類が完全に一致しているか確認する。
- 専門家の助言:自己判断で実行せず、事前にセキュリティ専門家の意見を求めることが望ましい。
- 偽ツールへの注意:攻撃者が復号ツールに見せかけた、別のマルウェアを配布している可能性があるため注意する。
まとめ:ランサムウェア感染の兆候を見極め、被害を最小限に抑える初動対応を
本記事では、ランサムウェア感染の兆候と、発覚後の具体的な初動対応について解説しました。身代金要求画面の表示やファイルの拡張子変更といった明確な兆候を見逃さず、感染が疑われる場合はまずネットワークから隔離し、電源を切らずに証拠を保全することが被害拡大を防ぐ上で極めて重要です。侵入経路はVPN機器の脆弱性など多岐にわたり、攻撃も巧妙化しているため、自社のみでの完全な調査や復旧は困難です。感染の兆候を発見した際は、本記事で解説した手順を参考に初動対応を進めると同時に、速やかにセキュリティ専門の調査会社へ相談してください。身代金の支払いには法的・財務的リスクが伴うため、原則として応じるべきではありません。この記事で提供する情報は一般的な対策であり、個別の事案については必ず専門家の判断を仰ぐようにしてください。
Baseconnect株式会社
サイト運営会社
本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。
当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。
加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。
