ランサムウェア感染時の対処法|被害を広げない初動と復旧までの手順
万が一、自社がランサムウェアに感染した、またはその疑いがある場合、パニックに陥らず冷静な対応が求められます。しかし、初動を誤ると証拠を失い、被害をさらに拡大させてしまう危険性があります。この記事では、ランサムウェア感染発覚後の被害を最小化するため、やってはいけないこと、具体的な初動対応、そして復旧までの手順を時系列で詳しく解説します。
感染発覚時にすべきでないこと
感染端末のシャットダウンや再起動
ランサムウェアの感染が疑われる場合、慌てて端末の電源を切ったり再起動したりしてはいけません。システムの停止は、原因究明に必要なデジタルフォレンジック(デジタル鑑識)上の証拠を失うリスクや、被害をさらに悪化させる危険性を伴います。
- 証拠の消失: メモリ上にのみ存在する不正プロセスや通信履歴といった「揮発性データ」が消滅し、攻撃経路の解明が困難になります。
- 被害の再開・拡大: 再起動をトリガーに、暗号化処理を再開したり、より悪質な動作を開始したりするランサムウェアが存在します。
- 復旧機会の損失: 暗号化解除の鍵が一時的にメモリ上に残っている場合があり、シャットダウンすると復旧の最後の望みが絶たれる可能性があります。
感染に気づいた際は電源を入れたままネットワークから隔離し、現状を維持することが証拠保全の観点から極めて重要です。
自己判断による安易な身代金支払い
攻撃者から身代金を要求されても、組織の自己判断で安易に支払いに応じることは原則として避けるべきです。支払いがデータの完全な復旧を保証するものではなく、多くの重大なリスクを伴います。
- 復旧の不確実性: 身代金を支払っても、復号ツールが提供されなかったり、提供されても正常に機能せずデータが戻らなかったりする事例が多数報告されています。
- 再攻撃のリスク: 「支払いに応じる企業」と認識され、同じ攻撃者や別の犯罪集団から再び標的にされる可能性が高まります。
- 情報漏洩の不確実性: 二重脅迫(データの公開をちらつかせる脅迫)の場合でも、支払い後にデータが本当に削除される保証は一切ありません。
- 犯罪への加担: 支払った金銭は犯罪組織の活動資金となり、さらなるサイバー犯罪を助長する結果につながります。
- 法的リスク: 支払先が国際的な制裁対象組織であった場合、外為法(外国為替及び外国貿易法)違反やテロ資金供与と見なされる恐れがあります。
身代金の支払いは問題解決にはならず、かえって事態を複雑化させます。警察や専門機関に相談し、適切な対応をとることが不可欠です。
調査前のバックアップデータ復元
インシデントの全体像が不明な段階で、焦ってバックアップデータからシステムを復元してはいけません。原因を特定せずに復旧を急ぐと、被害の再発や証拠隠滅につながる危険があります。
- バックアップの汚染: 攻撃者は数か月にわたり潜伏することがあり、バックアップデータ自体にマルウェアが混入している可能性があります。
- 再感染の誘発: 安全性が未確認のデータで復元すると、復旧直後に再びランサムウェアが活動を開始する悪循環に陥ります。
- 証拠の上書き: 復元作業によって、感染端末に残されていた攻撃の痕跡(ログなど)が上書きされ、侵入経路の特定が不可能になる恐れがあります。
システムのリストアは、専門家によるフォレンジック調査が完了し、ネットワーク環境の安全性が確保された後、計画的に実行する必要があります。
証拠(ログ)の不用意な削除
感染したシステム上のログや不審なファイルを、自己判断で削除・整理することは厳禁です。これらは攻撃の全容解明、法的対応、再発防止策の策定に不可欠な極めて重要な証拠となります。
業務再開を急ぐあまり、暗号化されたファイルや脅迫文などを削除してしまうと、以下のような不利益が生じます。
- 原因究明の阻害: 攻撃者がどの経路から侵入し、何を盗んだのかを示す手がかりが失われ、被害の正確な範囲を特定できなくなります。
- 報告義務の不履行: 個人情報保護委員会や警察への正確な報告が困難になる可能性があります。
- 保険適用の問題: 証拠が不十分だと、加入しているサイバー保険の適用審査で不利になることがあります。
データを消去せず、専門家の指示に従って現状をそのまま保全し、調査に備えることが重要です。
被害拡大を防ぐ初動対応フロー
Step1:感染端末のネットワーク隔離
ランサムウェア感染が疑われる際の最初の行動は、感染端末を直ちにネットワークから隔離することです。ランサムウェアはネットワークを介して他の端末やサーバーへ自己増殖し、被害を瞬時に拡大させるため、一刻も早い遮断が求められます。
- 有線LANケーブルを抜く: 物理的にネットワークから切り離します。
- 無線LAN(Wi-Fi)を無効にする: 端末の設定から通信機能をオフにします。
- VPN接続を切断する: 他の拠点やクラウド環境への影響を防ぎます。
- 外付けデバイスを取り外す: 接続されているUSBメモリや外付けHDDなどを速やかに取り外します。
この際、端末の電源は切らずに通信だけを遮断することで、メモリ上の重要な証拠データを保全しつつ、被害の拡大を防ぐことができます。
Step2:関係各所への報告と連携
端末の隔離後、速やかに組織内外の関係各所へ状況を報告し、連携体制を構築します。インシデント対応は情報システム部門だけでなく、経営層や外部専門機関を含む組織全体での対応が不可欠です。
| 対象 | 報告先 | 役割・目的 |
|---|---|---|
| 社内 | 情報システム部門/CSIRT | 技術的な対応と調査の中心となる。 |
| 社内 | 経営層 | 経営判断や対外的な方針決定を行う。 |
| 社外 | 警察(サイバー犯罪相談窓口) | 捜査機関との連携、法的対応の相談。 |
| 社外 | IPA(情報処理推進機構)など | 公的機関からの技術的な助言を得る。 |
| 社外 | 顧問弁護士/法務部門 | 法的義務(個人情報保護委員会への報告等)への対応。 |
| 社外 | 契約しているセキュリティ専門家 | 高度な技術調査(フォレンジック)や復旧支援を依頼。 |
報告には、侵害された可能性のある社内メールなどを使わず、事前に定めた安全な代替連絡手段を用いることが重要です。
Step3:被害状況の把握と証拠保全
連携体制を構築しつつ、被害の正確な全体像を把握し、デジタル証拠を保全します。客観的な状況評価がなければ、適切な復旧計画は立てられません。
- 被害範囲の特定: どの端末、サーバー、業務システムが影響を受けているかを調査します。
- 情報漏洩の確認: 顧客データや機密情報が保管された領域へのアクセス痕跡を分析します。
- ログの収集: システムログ、通信記録、セキュリティ機器のアラートなどを集め、攻撃の痕跡を追跡します。
- 証拠保全の実施: 専門家の支援のもと、データが改変されないようデジタルフォレンジックの手法で証拠を保全します。
脅迫メッセージの画面キャプチャや暗号化されたファイル一覧の記録も、後の警察への届け出や保険請求時に役立ちます。
経営層への報告におけるポイントと判断材料の整理
経営層への報告では、技術的な専門用語を避け、事業継続への影響という観点から、簡潔かつ客観的に伝えることが重要です。経営層はビジネス視点での迅速な意思決定を求められています。
報告の際は、以下のポイントを整理して提示し、経営判断を支援します。
- 被害状況: システムの停止範囲と業務への影響。
- 情報漏洩: 現時点で判明している情報漏洩の可能性と対象範囲。
- 復旧見通し: 業務再開までの大まかなスケジュールと課題。
- 法的義務: 個人情報保護委員会などへの報告義務の有無と期限。
- 対外公表: 顧客や取引先への公表の要否とタイミング。
- 対応方針案: 身代金要求への対応方針など、複数の選択肢とそれぞれのリスク。
事実と推測を明確に区別して報告することで、経営層による適切な危機管理を後押しします。
データ復旧と事業再開の選択肢
安全なバックアップからのデータ復元
ランサムウェア被害から復旧する最も確実かつ推奨される方法は、安全性が確認されたバックアップデータを用いることです。これにより、身代金を支払うことなく事業を正常な状態に戻すことが可能になります。
復元は、以下の手順で慎重に進める必要があります。
- バックアップの安全性を検証する: 攻撃の潜伏期間を考慮し、感染前の健全な時点のデータであることを厳密に確認します。
- 感染環境を初期化する: 被害を受けた端末やサーバーは完全に初期化し、OSを再インストールしてクリーンな状態にします。
- 段階的にデータを復元する: 優先度の高い基幹システムから順にデータをリストアし、正常に動作するかを都度確認します。
ネットワークから物理的に隔離されたオフラインバックアップや、改変不可能な設定のバックアップは特に安全性が高いと言えます。
復号ツールの利用可能性と注意点
バックアップデータが存在しない、または利用できない場合、公的機関などが提供する無償の復号ツールでデータを復旧できる可能性があります。ただし、すべてのランサムウェアに対応するツールはなく、利用には注意が必要です。
「No More Ransom」プロジェクトなどのウェブサイトでは、一部のランサムウェアに対する復号ツールが公開されています。利用を検討する際は、以下の点に留意してください。
- マルウェアの特定: まず自社が感染したランサムウェアの種類を正確に特定する必要があります。
- テストの実施: 必ず暗号化されたファイルのコピーに対してテストを行い、元データを破壊しないようにします。
- ツールの信頼性: 出所が不明な非公式ツールは新たなマルウェアに感染する危険があるため、絶対に使用してはいけません。
復号ツールは有効な選択肢の一つですが、その限界とリスクを理解し、専門家の助言を得ながら慎重に進めるべきです。
身代金支払いの是非と重大なリスク
バックアップからの復旧も、復号ツールの利用も不可能な場合でも、身代金の支払いは極めて高いリスクを伴うため、原則として応じるべきではありません。支払いは問題の解決を保証せず、かえって深刻な二次被害を招く可能性があります。
- データが復旧できない: 支払っても復号ツールが提供されなかったり、正常に機能しなかったりするケースが多発しています。
- 情報が公開される: 盗まれた情報が約束通り削除される保証はなく、後日、再び脅迫に利用される恐れがあります。
- さらなる攻撃の標的になる: 支払いに応じた企業としてリスト化され、別の攻撃グループからも狙われやすくなります。
- 法規制に抵触する: 意図せずテロ組織などへの資金供与となり、国内外の法律に違反する可能性があります。
身代金の支払いは、サイバー犯罪を助長する行為でもあります。いかなる状況でも安易な支払いは避け、警察や専門家と連携して対応することが求められます。
システム復旧までの暫定的な事業継続(BCP)の進め方
システムの完全復旧には長期間を要するため、その間は事業継続計画(BCP)に基づき、代替手段で業務を維持する必要があります。事業の完全停止は、顧客離れや財務的損失を招き、企業の存続を危うくします。
事前に定めた計画に従い、情報システムが使えない状況を想定した代替プロセスを起動します。例えば、手作業や紙媒体による業務フローへの切り替え、安全が確認されたクラウドサービスの活用、顧客対応窓口の設置などを行い、事業への影響を最小限に抑えます。
再発防止のために講じるべき恒久対策
セキュリティ体制の見直しと強化
インシデント収束後、同様の被害を繰り返さないために、組織全体のセキュリティ体制を抜本的に見直し、多層的な防御を再構築します。一度侵入を許した環境には、未知の脆弱性が残っている可能性があるためです。
- 脆弱性管理の徹底: VPN機器やサーバーOS、ソフトウェアに修正プログラムを速やかに適用する体制を確立します。
- エンドポイント対策の強化: EDR(Endpoint Detection and Response)などを導入し、端末での不審な挙動をリアルタイムで検知・遮断します。
- 定期的な診断の実施: ネットワーク診断やペネトレーションテスト(侵入テスト)を行い、新たな脆弱性を継続的に発見・修正します。
単一の対策に依存せず、複数の防御壁を組み合わせることで、組織のセキュリティ耐性を高めます。
バックアップ計画の再構築
データ保護の最後の砦であるバックアップは、攻撃者が破壊を狙う主要な標的です。従来の方式を見直し、ランサムウェアに耐えうる堅牢なバックアップ計画を再構築する必要があります。
- 3-2-1ルールの遵守: データを3つ作成し、2種類の異なる媒体に保存し、そのうち1つは遠隔地(オフライン)に保管します。
- オフライン・イミュータブル化: バックアップデータをネットワークから物理的に隔離するか、一度書き込んだら変更・削除が不可能な「イミュータブル(不変)」設定のストレージを利用します。
- 定期的な復旧訓練: バックアップが正常に取得できているか、また、有事の際に想定通りの時間で復旧できるかを検証する訓練を定期的に実施します。
これにより、いかなる事態でも事業を再開できる確実なデータ保護基盤を確立します。
アクセス権限の最小化と管理徹底
内部での被害拡大を防ぐため、「最小権限の原則」を徹底し、ユーザーやシステムに付与するアクセス権限を業務上必要最小限に絞ります。過剰な権限を持つアカウントが乗っ取られると、被害が全社に拡大するからです。
- 権限の最小化: 全ての従業員に対し、担当業務の遂行に不可欠なデータやシステムへのアクセス権のみを付与します。
- 管理者権限の厳格化: システム全体に影響する管理者権限の使用は厳しく制限し、特権ID管理ツールなどで厳密に監視します。
- 多要素認証(MFA)の必須化: 特に社外からの接続や重要システムへのログインには、パスワード以外の認証要素を組み合わせる多要素認証を義務付けます。
- 棚卸しの定例化: 人事異動や退職に伴い、不要になったアカウントや権限を速やかに削除・見直すプロセスを定着させます。
インシデント対応計画の策定
将来のサイバー攻撃に備え、発見から復旧までの手順を定めたインシデント対応計画を策定し、全社で共有することが不可欠です。事前の計画がなければ、有事の際に初動が遅れ、被害が致命的に拡大する恐れがあります。
- 緊急連絡網と報告ルート: 異常発見者が誰に、どのように報告するかの明確な手順(エスカレーションルール)。
- 対応体制: 対策本部の設置手順や、各部門(経営、法務、広報、情報システム等)の役割と責任分担。
- 外部連携: 警察、弁護士、セキュリティ専門家など、外部機関への連絡手順。
- 定期的な訓練: 策定した計画が実効性を持つかを確認するため、経営層も参加する机上演習や実践的な訓練を定期的に実施し、計画を更新します。
ランサムウェア対応のよくある質問
警察にはどの段階で相談すべきか?
被害を認知し、ネットワーク隔離などの初動対応を終えた直後、可能な限り早い段階で相談すべきです。
早期に相談することで、警察が持つ最新の攻撃手口や類似事例に関する情報を得られ、その後の対応方針を立てる上で有益な助言を受けられます。各都道府県警察本部のサイバー犯罪相談窓口へ連絡してください。捜査に必要な証拠の保全方法についても指導が受けられます。被害の大小にかかわらず通報することが、犯罪組織の特定や社会全体の被害防止につながります。
バックアップごと暗号化されたら?
バックアップデータまで暗号化された場合、自力での復旧は極めて困難です。直ちに外部のセキュリティ専門機関へ調査を依頼してください。
高度な暗号化を独力で解除することはほぼ不可能です。不用意な操作は、わずかに残された復元の可能性を完全に断ってしまう危険があります。まずは専門家の支援を求めると同時に、公的機関が提供する無償の復号ツールに該当するものがないかを確認します。それと並行して、事業を継続するための代替策を速やかに検討・実行する必要があります。
システムの完全復旧までの期間は?
被害規模やバックアップの状況によりますが、数週間から数か月単位の長期間に及ぶのが一般的です。警察庁の調査では、約半数の企業が復旧に1か月以上を要しています。
復旧作業は、単にデータを戻すだけではありません。「フォレンジック調査」「ネットワークの安全確保」「システムの再構築」「段階的なデータリストア」「再発防止策の導入」といった多くの工程を慎重に進める必要があり、相応の時間がかかります。復旧には長期間を要することを前提に、事業継続計画(BCP)を準備しておくことが重要です。
加入しているサイバー保険は使えるか?
ランサムウェア被害に対してサイバー保険を利用できる可能性は高いですが、保険金が支払われるには一定の条件があります。
一般的に、フォレンジック調査費用、システム復旧費用、事業中断による損失、損害賠償などが補償対象となります。しかし、基本的なセキュリティ対策を怠っていたなど、企業側に重大な過失があった場合は保険金が支払われないことがあります。また、身代金そのものは補償対象外となる契約がほとんどです。保険が適用されるか否か、平時から契約内容と適用条件を確認しておくことが重要です。
顧客・取引先への公表はどう行うか?
被害の全容がある程度判明した段階で、迅速かつ透明性をもって公表すべきです。情報の隠蔽や対応の遅れは、企業の社会的信用を大きく損ないます。
公表時には、発生日時、判明している事実、情報漏洩の可能性、講じている対策などを正確に伝えます。情報が不確定な段階でも、まずは第一報として事実を公表し、調査の進展に応じて継続的に情報を提供していく姿勢が求められます。専用の問い合わせ窓口を設置し、顧客や取引先の不安解消に努めることが、信頼回復への第一歩となります。
調査・復旧を依頼する外部専門家はどう選ぶべきか?
ランサムウェア対応の実績が豊富で、高度な技術力を持つ専門家を選定することが極めて重要です。業者選定を誤ると、原因究明が不十分なまま復旧を進めてしまい、被害が再発するリスクがあります。
- 実績と専門性: ランサムウェア対応の経験や、デジタルフォレンジックの専門資格を持つ技術者が在籍しているか。
- サポート範囲: インシデントの初動対応から調査、復旧、恒久対策まで一貫して支援できる体制があるか。
- 信頼性: 官公庁や同業他社での対応実績があるか。
有事になってから探すのでは遅いため、平時から信頼できるセキュリティベンダーと契約関係を結んでおくことが理想的です。
まとめ:ランサムウェア感染時の被害を最小化する対応フロー
ランサムウェア感染が発覚した際は、まず端末のネットワーク隔離と関係各所への報告という初動対応が不可欠です。その後の対応は経営判断そのものであり、特に身代金の支払いは、データが復旧される保証がなく再攻撃を誘発するリスクも高いため、原則として応じるべきではありません。最も確実な復旧方法は安全なバックアップからの復元ですが、それ自体が攻撃対象となるため、オフラインでの保管など堅牢な計画が求められます。被害の全容把握と適切な復旧を進めるには、デジタルフォレンジックなど高度な知見が必要となるため、速やかに外部の専門家へ相談し、連携して対応を進めることが重要です。本記事で解説した手順は一般的な対応フローですが、実際の状況に応じた最善の判断を下すためにも、必ず専門家の助言を仰いでください。

