事業運営

ランサムウェア感染時のデータ復旧|初期対応から費用まで実務対応

経営リスクナビ編集部

ランサムウェアに感染し、事業継続に深刻な影響が出てお困りではありませんか。感染直後の初動対応を誤ると、被害の拡大やデータの完全な損失につながる恐れがあります。安全な事業再開には、正しい手順に沿った対応が不可欠です。この記事では、ランサムウェア感染後のデータ復旧における具体的な手順、復旧の選択肢と費用の目安、そして再発防止策までを網羅的に解説します。

感染直後の初期対応

ネットワークから端末を隔離する

感染が疑われる端末を発見した場合、直ちにネットワークから物理的に隔離することが最優先の対応です。多くのランサムウェアはネットワークを通じて他の端末やサーバーへ自動的に感染を拡大させる機能を持つため、被害の封じ込めが急務となります。具体的な隔離手順は以下の通りです。

端末の隔離手順
  • 有線LAN接続の場合:LANケーブルを物理的に引き抜く
  • 無線LAN(Wi-Fi)接続の場合:Wi-Fi機能をオフにし、すべての無線通信を無効化する

この初動対応により、被害を単一の端末に限定し、社内システム全体やバックアップサーバーへの二次感染を防ぐことが、その後の復旧作業を大きく左右します。

被害範囲と影響を特定する

端末を隔離した後は、電源を切らずに被害の全体像を把握します。電源を落とすと、フォレンジック調査(デジタル鑑識)に不可欠なメモリ上のログデータ(揮発性データ)が消失し、感染経路や原因の究明が困難になるためです。以下の点を確認し、被害状況を客観的に評価します。

被害状況の確認項目
  • 暗号化されたファイルの範囲と種類(拡張子の変化など)
  • 影響が及んでいるシステムやサーバーの特定
  • 個人情報や機密情報の窃取(漏えい)の有無(通信ログの解析)
  • データを公開すると脅す「二重脅迫」の可能性

これらの情報を正確に把握することで、実態に即した適切な復旧計画を策定できます。

関係各所へ報告・連携する

社内の被害状況がある程度判明した時点で、速やかに経営層や関連部門へ報告し、組織横断的なインシデント対応体制を構築することが不可欠です。ランサムウェア被害は、取引先や顧客をも巻き込む重大な事業リスクとなり得るため、迅速な情報共有が求められます。状況に応じて、以下の関係各所と連携して対応を進めます。

主な報告・連携先
  • 社内:経営層、情報システム部門、法務・広報部門
  • 外部:契約しているセキュリティ専門機関、警察のサイバー犯罪相談窓口、顧問弁護士

各所と連携し、専門的な知見を得ることで、二次被害の防止と迅速な事態収拾が可能になります。

サイバー保険の適用条件と報告義務の確認

サイバー保険に加入している場合は、直ちに保険会社へ事故の報告を行います。保険契約には事故発生後の報告期限が定められていることが多く、期限を過ぎると保険金が支払われない可能性があるためです。保険会社への連絡と同時に、以下の点を確認しましょう。

サイバー保険に関する確認事項
  • 補償の対象範囲(インシデント調査費用、システム復旧費用、事業中断損失など)
  • 保険適用のための条件(保険会社指定の専門業者への調査依頼など)
  • 身代金の支払いに関する補償の有無(一般的に補償対象外)

保険を適切に活用することで、インシデント対応にかかる金銭的な負担を軽減できます。

原因究明と法的対応に備えた証拠保全

将来の法的措置や専門家による詳細な解析に備え、感染した端末のデータを現状のまま保全することが極めて重要です。証拠が失われると、感染経路の特定や警察への捜査協力が困難になります。専門家の指示のもと、以下のデータを改ざんされないよう厳重に管理します。

保全すべきデジタル証拠の例
  • ハードディスクやSSDの完全な複製データ(ディスクイメージ)
  • 端末のメモリデータ(揮発性ログ)
  • ネットワーク機器の通信記録(トラフィックログ)
  • 暗号化されたファイルや身代金要求画面(ランサムノート)の保全

正確な証拠保全は、原因究明と再発防止策の策定、さらには法的な対応を進める上での基盤となります。

被害を広げないNG行動

身代金を安易に支払わない

攻撃者から身代金を要求されても、安易に支払いに応じてはいけません。身代金を支払うことには、以下のような複数のリスクが伴います。

身代金を支払うリスク
  • 支払ってもデータが復旧される保証はない(復号キーが提供されない、または破損しているケースがある)
  • 攻撃者の活動資金となり、さらなるサイバー犯罪を助長する
  • 窃取された情報が公開される「二重脅迫」のリスクは残る
  • 「支払いに応じる企業」としてリスト化され、将来的に再び標的となる可能性が高まる

身代金の支払いは根本的な解決策にはならず、むしろ新たな脅威を招きかねない危険な行為です。

感染端末を再起動しない

感染したパソコンやサーバーを自己判断で再起動する行為は、絶対に避けるべきです。再起動によって、かえって被害が拡大する恐れがあります。また、調査において極めて重要な証拠が失われてしまいます。

再起動が危険な理由
  • 再起動をトリガーに、暗号化プロセスが再開・進行する場合がある
  • 別のマルウェア(悪意のあるプログラム)が実行される可能性がある
  • 調査に不可欠なメモリ上のログデータ(揮発性情報)がすべて消去されてしまう

現状を維持したまま専門家の診断を待つことが、被害拡大を防ぎ、原因究明の可能性を残すための鉄則です。

自己判断で復旧作業をしない

専門知識がない状態での復旧作業は、状況をさらに悪化させる危険性が非常に高いため、絶対に行ってはいけません。不適切な操作は、データの完全な損失や証拠の隠滅につながる可能性があります。

自己判断による復旧作業の危険性
  • ファイルの拡張子を手動で書き換えるなどすると、データが復旧不可能なほど破損する恐れがある
  • インターネット上で配布されている非公式な復号ツールを使用し、別のウイルスに二次感染するリスクがある
  • 調査に必要なログや痕跡を上書き・消去してしまい、原因究明が困難になる

安全かつ確実な復旧のためには、すべての作業を信頼できる専門家に委ねることが最善の策です。

データ復旧の3つの選択肢

バックアップデータからの復元

最も安全かつ確実な復旧方法は、感染前に取得した正常なバックアップデータを用いてシステムを復元することです。これにより、攻撃者の要求に応じることなく、業務環境を元の状態に戻すことが可能になります。ただし、復元作業には細心の注意が必要です。

バックアップから復元する際の注意点
  • 復元前に、ネットワーク内からランサムウェアが完全に駆除されていることを確認する
  • バックアップデータ自体が暗号化されていないか、安全なオフライン環境で事前に検証する
  • 攻撃の侵入口となった脆弱性を特定し、セキュリティパッチを適用してから復元する

これらの手順を確実に実行することで、安全な事業再開への最短ルートを確保できます。

公開されている復号ツールの利用

一部の既知のランサムウェアに対しては、法執行機関やセキュリティ企業が共同で無償の復号ツールを公開しています。「No More Ransom」プロジェクトのウェブサイトなどがその代表例です。感染したランサムウェアの種類が特定でき、対応するツールが存在すれば、身代金を支払わずに暗号化されたファイルを復号できる可能性があります。しかし、すべてのランサムウェアに対応しているわけではなく、最新の亜種には効果がない場合が多い点に注意が必要です。

専門のデータ復旧業者への依頼

有効なバックアップがなく、公開されている復号ツールも利用できない場合の最終的な選択肢が、高度な技術を持つ専門のデータ復旧業者への依頼です。専門業者は、独自の解析技術や過去の対応事例に基づき、自力では対処不可能な暗号化データでも復旧できる可能性があります。業者選定の際は、攻撃者と裏で交渉するような業者を避け、自社の設備で解析・復旧作業を完結できる、信頼性の高い企業を選ぶことが重要です。費用は高額になる傾向がありますが、重要データを回復するための最後の手段となり得ます。

復旧の費用と期間の目安

【方法別】復旧費用の内訳

ランサムウェアからの復旧にかかる費用は、被害の規模や復旧方法によって大きく変動し、数百万円から数千万円規模に達することも少なくありません。主な費用の内訳は以下の通りです。

復旧費用の主な内訳
  • 初期調査・被害範囲特定費用(フォレンジック調査費用)
  • 暗号化されたデータの復旧作業費用
  • 駆除後のクリーンなシステム環境の再構築費用
  • インシデント対応に関するコンサルティング費用
  • 事業停止期間中の逸失利益や機会損失

健全なバックアップから自社で復旧できる場合は費用を抑えられますが、専門家の支援が必要な場合は高額になることを想定しておく必要があります。

【方法別】復旧期間の目安

業務が完全に正常化するまでの期間も、被害状況に大きく左右されます。警察庁の調査では、復旧までに1ヶ月以上を要するケースが約半数を占めており、長期化する傾向にあります。

復旧方法 期間の目安
健全なバックアップから復元 数日~1週間程度
専門業者によるデータ復旧やシステム再構築 1ヶ月~数ヶ月以上
復旧方法別の期間目安

感染範囲が広いほど原因究明と安全性確認に時間を要し、復旧期間の長期化は事業への影響を深刻化させるため、迅速な初期対応と的確な判断が求められます。

信頼できる専門業者の選定ポイント

データ復旧を外部業者に依頼する際は、その技術力と信頼性を慎重に見極める必要があります。業者の中には、依頼主に隠れて攻撃者に身代金を支払い、復号鍵を入手する悪質なケースも存在するためです。信頼できる業者を選ぶためには、以下のポイントを確認しましょう。

専門業者選定のチェックポイント
  • 高度な解析が可能な自社設備(クリーンルームなど)を保有しているか
  • 「ハッカーや攻撃者との交渉は一切行わない」と明言しているか
  • 初期診断を無償または明確な料金体系で行っているか
  • 過去の実績や技術的な知見が豊富であるか
  • 秘密保持契約を締結できるか

適切な業者選定が、安全かつ確実なデータ復旧の前提条件となります。

復旧後の再発防止策

OS・ソフトウェアの脆弱性管理

システムの復旧後は、侵入の原因となった脆弱性(セキュリティ上の欠陥)を特定し、完全に対策することが不可欠です。ランサムウェアは、OSやソフトウェア、特にVPN機器などの脆弱性を悪用して侵入することが多いためです。修正プログラム(セキュリティパッチ)が公開されたら速やかに適用する体制を整備し、システムを常に最新の状態に保つことで、再感染のリスクを大幅に低減できます。

認証強化とアクセス権の最小化

不正アクセスを防ぐため、システムへの認証を強化し、各ユーザーのアクセス権限を厳格に管理します。推測されやすいパスワードや漏えいした認証情報が悪用されるケースが後を絶ちません。

認証とアクセス権に関する対策
  • 多要素認証(MFA)を導入し、パスワードのみでのログインを禁止する
  • 従業員の役職や業務内容に応じて、必要なデータにのみアクセスできるよう権限を最小化する(最小権限の原則)
  • 特権ID(管理者アカウント)の管理を徹底する

これにより、万が一アカウント情報が窃取された場合でも、被害の拡大を抑制できます。

バックアップ体制の再構築と検証

近年の攻撃者は、業務データと同時にバックアップデータも破壊し、復旧手段を断つことを狙います。このため、バックアップ体制を根本から見直し、攻撃に耐えうる堅牢な仕組みを構築することが重要です。

堅牢なバックアップ体制のポイント
  • バックアップデータを複数世代、複数の異なる媒体に保存する
  • バックアップの一つはオフライン環境で保管する(ネットワークから物理的に隔離)
  • 一度書き込むと変更・削除ができないWORMストレージなどを活用する
  • 定期的に復元テストを実施し、有事の際に確実に機能することを確認する

「バックアップがあるから安心」ではなく、「確実に復元できること」が事業継続の鍵となります。

従業員へのセキュリティ教育

巧妙に偽装されたフィッシングメールの開封など、従業員の人的なミスがランサムウェアの主要な侵入経路となっています。システム的な対策と並行して、全従業員のセキュリティ意識を向上させる教育が不可欠です。

セキュリティ教育の具体例
  • 不審なメールやSMSを見分けるための実践的な訓練(標的型メール攻撃訓練)
  • 怪しいファイルやリンクを発見した際の、即時報告ルールの徹底
  • パスワードの適切な管理方法や多要素認証の重要性に関する啓発

従業員一人ひとりが「最初の防御線」であるという意識を持つことが、組織全体の防御力を高めます。

ランサムウェア復旧のFAQ

Q. 身代金を支払えばデータは戻りますか?

いいえ、身代金を支払ってもデータが復旧される保証は一切ありません。攻撃者は金銭の搾取が目的であり、約束を守るとは限りません。実際に支払ったにもかかわらず復号キーが送られてこなかったり、送られてきたツールが正常に機能せずデータが破損したままだったりする事例が多数報告されています。さらに、一度支払いに応じると「要求に応じる企業」と見なされ、再び攻撃の標的になるリスクが高まります。

Q. 自力での復旧が不可能なケースとは?

現代のランサムウェアは非常に強力な暗号化技術を使用しているため、以下のようなケースでは自力での復旧は極めて困難です。

自力復旧が困難なケース
  • 有効なバックアップデータが存在しない、またはバックアップごと暗号化された場合
  • 復旧作業に必要な高度な専門知識や設備(フォレンジックツールなど)がない場合
  • 攻撃者によってシステムの深部にバックドア(不正な侵入口)が仕掛けられている場合

このような状況で無理に作業を試みると、かえって被害を悪化させる恐れがあるため、速やかに専門家へ相談すべきです。

Q. 警察への相談は必要ですか?

はい、警察のサイバー犯罪対策窓口へ速やかに相談・通報することを強く推奨します。ランサムウェア攻撃は恐喝や電子計算機損壊等業務妨害にあたる明確な犯罪行為です。警察に通報することで、捜査や情報共有が進み、場合によっては警察が保有する情報から復号ツールの提供を受けられる可能性もあります。自社の被害回復だけでなく、社会全体のサイバー犯罪抑止のためにも、公的機関への情報提供は重要です。

Q. 復旧完了までの事業継続計画(BCP)は?

システムが完全に復旧するまでの間、事業を継続するためには、サイバー攻撃を想定した事業継続計画(BCP:Business Continuity Plan)を事前に策定しておくことが不可欠です。システム停止が長期化すると、収益や顧客の信頼に深刻な影響が及びます。BCPには、以下のような具体的な対応策を盛り込んでおきましょう。

BCPに含めるべき項目例
  • 主要業務を継続するための代替手段(手作業での処理フローなど)
  • 緊急時の連絡体制と意思決定プロセス
  • 顧客や取引先への告知手順
  • 復旧の優先順位付け

BCPを策定し、定期的に訓練を行うことで、有事の際の混乱を最小限に抑えることができます。

Q. 個人情報保護委員会への報告は必要ですか?

はい、ランサムウェア感染により個人データの漏えい、またはそのおそれが発生した場合、個人情報保護委員会への報告が法的に義務付けられています。ランサムウェア攻撃は、個人情報保護法が定める「不正の目的をもって行われたおそれがある漏えい等」に該当するためです。被害を認識してから速やかに速報を、その後、詳細が判明次第、期限内に確報を提出する必要があります。報告を怠った場合は罰則の対象となる可能性があるため、法令に基づき慎重に対応してください。

まとめ:ランサムウェアからの復旧は初動対応と専門家への相談が鍵

ランサムウェア感染からの事業復旧には、感染直後のネットワーク隔離といった初動対応が被害拡大を防ぐ上で極めて重要です。自己判断での復旧作業や安易な身代金の支払いは、状況を悪化させるリスクが高いため絶対に避けるべきです。復旧の主な選択肢は、安全なバックアップからの復元、公開されている復号ツールの利用、専門業者への依頼の3つであり、特にオフラインで保管されたバックアップの有無が復旧の成否を大きく左右します。まずは被害状況を正確に把握し、自社での対応が困難な場合は、速やかに警察や信頼できるセキュリティ専門家へ相談しましょう。本記事で解説した内容は一般的な対策であり、個別の状況に応じた最適な判断には専門家の診断が不可欠です。また、個人情報漏えいの可能性がある場合は、法に基づき関係各所への報告義務も忘れずに行ってください。


Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

記事URLをコピーしました