ランサムウェアに感染したら？被害を抑える対策とは？

ランサムウェアによる被害が、国内で増加傾向にあります。また、その手口は巧妙化し、業務に深刻な支障を来たす事例も報告されています。もしランサムウェアに感染したら、どんな被害が生じ、どんな対応が必要になるのでしょうか？感染を防いだり被害を抑えたりするために普段からできる対策には、何があるのでしょうか？

そもそもランサムウェアとは？

ランサムウェアは、マルウェアの一種で、感染した機器のデータを暗号化してアクセスできない状態にした上で、データの復旧と引き換えに金銭（いわば、データの「身代金」）を要求するものです。

マルウェアとは、不正なプログラムの総称で、いわゆる「コンピューターウイルス」とほぼ同義で用いられます（厳密には異なりますが、説明が長くなるので、ここでは割愛します）。

従来、ランサムウェアを使う攻撃者は、ウイルスメールをばらまくといった方法による無差別攻撃を行っていました。しかし近年では、無差別ではなく特定の標的を狙い撃ちする傾向にあります。また、「1つの端末だけでなく複数端末に感染を広げる」「データを暗号化するだけでなく公開すると脅迫する」といった手口も出現しています（情報処理推進機構, 2020 *外部サイトへ移動します）。

感染したらどうなる？

データは暗号化、場合によって流出や感染拡大

まず、ランサムウェアに感染すると、感染した機器にあるデータが暗号化されて使えなくなります。また、暗号化する前に攻撃者がデータを抜き取っている場合もあります。さらに、被害が感染した機器以外にも広がることがあります。最初に感染した機器とネットワークで繋がれた他の機器へ、ひいては組織全体へと感染を広げるランサムウェアも存在します。

身代金以外の脅迫も

感染した機器の画面には、金銭を要求する内容の文書（ランサムノート＝ransom note）が表示されることが一般的です。攻撃者は暗号化されたデータを復旧（復号）する対価として、金銭を要求します。ただ、上に述べたように、近年では「支払わなければ暗号化前に盗んでおいた秘密データを公開する」「攻撃された事実を報道機関や顧客に知らしめる」など、他の恐喝材料と組み合わせる手口（「二重恐喝」「三重恐喝」）も増えてきています。実際、2022年上半期に警察庁が国内の企業・団体に行った調査によると、警察が手口を確認できた被害81件のうち、二重恐喝の手口によるものは53件で、65％を占めたということです。

攻撃者が被害者から盗んだ情報を公開する「リークサイト」の一例。画像はランサムウェアグループ「Lockbit 2.0」のもの（出典：警察庁）

参考資料：警察庁、2022年9月15日、「令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について」*外部サイトへ移動します

業務がストップ、復旧は「1週間以上」

業務で普段から利用するデータが暗号化されれば、データが利用できなくなり業務に支障を来たすことになります。深刻な影響を及ぼす例も多々発生しています。以下具体例として、2022年に日本国内で報じられた事例をいくつかピックアップします。

医療機関：通常診療がストップ

・ランサムウェア攻撃により、電子カルテのシステムに障害が発生。電子カルテが閲覧できない状況に。

・このシステム障害により、緊急以外の手術、通常の外来診療、新規の救急患者受け入れが不能となった。

・手術延期に伴い一旦退院や転院となる患者が発生したほか、会計や薬の処方のためのシステムにも影響が出た。

小売業者：配達や決済に影響

・受発注などに使う電子データが強制的に暗号化されて読み取れなくなった。

・このシステム障害の影響で、一部の配達サービスで注文や配達ができない状態が1か月近く続いた。

・店舗ではプリペイドカードやクレジットカード、スマホ決済でのレジ精算ができなくなった。

小中学校：通知表配布に影響

・通知表の配布が間に合わなくなるなど学校現場に影響が発生した。

自動車部品企業の海外子会社：システム遮断で間接的影響

・ランサムウェア感染による被害拡大を防ぐためにITシステムを遮断した結果、生産や販売などの事業活動に一時支障が出た。

なお、復旧には1週間以上を要する場合が多いことを読み取れる統計もあります。先に引用した警察庁の調査では、ランサムウェア被害の復旧に要した期間が「即時〜1週間未満」とした回答は全体の21%（53件中11件）でした。これに対し、「1週間以上1か月未満」とした回答は30%（同16件）、「1か月以上」「2か月以上」との回答は計23%（同12件）で、「1週間以上」かかったとの回答が過半数でした。

調査・復旧費用に「1,000万円以上」

ランサムウェア攻撃を受けた場合、データの復旧のほか、情報漏洩の有無や原因究明のための調査のための費用がかかります。先に引用した警察庁の調査では、ランサムウェア被害の調査・復旧費用の総額について、「1,000万円以上5,000万円未満」とする回答が37％（49件中18件）、「5,000万円以上」とする回答が18%（同9件）で、「1,000万円以上」が過半数を占めています。

個人情報の流出、事実確認・問い合わせ対応

このほか、個人情報が漏洩する、または漏洩した可能性が判明することによる対応が必要になるケースもあります。

小中学校：攻撃されたサーバーに生徒の個人情報

・ランサムウェアによって暗号化されたデータには、児童・生徒の個人情報、教職員の人事などの情報が含まれていた。これらの情報の流出や公開は確認されていない。

企業：顧客、取引先の個人情報流出を確認

・流出が確認された個人への連絡や、問い合わせ窓口の設置といった対応を行った。

このように、ランサムウェアへの感染は、事業に甚大かつ広範な影響を及ぼしかねません。以下、万が一ランサムウェアに感染した場合の対応の流れと、感染による被害を抑えるために普段からできる対策を、解説します。

感染したらどうする？

ランサムウェアに感染した場合の対処の主なポイントは、以下の通りです。

・まずは感染機器を隔離

・損害の範囲・程度を把握

・関係各所と連絡、証拠を保全

・完全に駆除してからデータを復元

・検証（原因究明と再発防止策の検討）

まずは感染機器を隔離

まず、感染した機器をネットワークから切り離します。理由は、ランサムウェアが別の端末に感染を広げるのを防ぐためです。バックアップを用意している場合は、バックアップもネットワークから切り離します。

損害の範囲・程度を把握

「どのファイルやデータが暗号化されたか」、「影響を受けたシステムに格納されているデータの種類は何か」、「使用されたランサムウェアの種類はどれか」などを調べ、損害の範囲や程度を把握します。

ランサムウェアの中には、セキュリティ研究者に暗号化アルゴリズムを破られ、復号ツールが出回っているものも存在します。ランサムウェアの種類を特定できれば、このようなツールを使ってデータを復元できるようになります。特定する方法としては、感染した機器の画面を保存して同じような画面をインターネット検索する方法のほか、世界の捜査機関などで作る「No More Ransom」プロジェクトのWebサイトを利用するという方法があります。

「No More Ransom」プロジェクトのWebサイト（画像出典：No More Ransom *外部サイトへ移動します）

身代金は支払わない

基本的に、身代金を支払うべきではありません。日本のJPCERT/CC、米国のCISA、英国のNCSCをはじめとする各国のサイバーセキュリティ機関は、身代金を払わないことを推奨しています。理由の1つは、身代金を払ってもファイルが復元される保証がないためです。実際に、身代金要求をしておきながら、実はデータを完全に破壊し復元不能にする「ワイパー」というマルウェアだった例があります（2022年のマルウェアCryWiperの例）。

また、身代金を支払ってデータを復号できたとしても、攻撃者は今後の攻撃で用いるマルウェアを、被害者のシステム内に残しておく可能性があります。さらに、身代金を支払えば「やっぱりランサムウェアは儲かる」と攻撃者は思うでしょう。要求に応じないことが、次の被害者を出さないことにつながります。

関係各所と連絡、証拠を保全

経営陣やインシデント対応に力を貸してくれる外部の機関（JPCERT/CC、警察、セキュリティベンダーなど）などに報告し、協力してインシデント対応にあたります。

また、外部の機関から支援を受けるなどして、攻撃に関する証拠を収集・保存しておきます。例えば、ランサムウェア感染のきっかけになった別のマルウェアのサンプルなどです。特に、システムメモリ、Windowsセキュリティログ、ファイアウォールログバッファ内のデータなど、変動しやすい証拠や保持に限界がある証拠が喪失・改ざんされないようにします。これらの証拠は、攻撃の原因究明のために行う「フォレンジック調査」に活かされます。

関連ページ：マキナレコード　インシデント対応（フォレンジック）

完全に駆除してからデータを復元

ランサムウェアが駆除され、環境が完全にクリーンになって再構築されてから、パスワードのリセットや脆弱性への対処、データの復元を行います。冒頭で述べたように、最近のランサムウェアは組織内の多くの端末に感染を広げていることがあり、完全に駆除できていないと再び感染する可能性があります。

事前にデータのバックアップを用意している場合は、バックアップを使ってデータを復元します。ただし後述するように、バックアップを適切な方法で取っておくことが大前提です。バックアップを行ってない場合は、先述の「No More Ransom」から復号ツールを入手してデータを復元する方法もあります。

検証（原因究明と再発防止策の検討）

同じ組織が複数回にわたってランサムウェア攻撃を受けることは珍しくありません。その理由は大抵の場合、脆弱性が生まれる根本的な原因を修正していないからです。再び被害を受けないためにも、原因究明と再発防止策を検討しましょう。

被害を抑えるための対策

ここまでが、万が一感染してしまった場合の対処法です。次に、感染への備えとして普段から行える対策をいくつかご紹介します。

バックアップを用意・点検する

万が一感染しても、攻撃者と交渉することなく事業を継続できるよう、データのバックアップを用意しておきます。この時、バックアップを保存する機器（外部ストレージなど）をネットワークに接続しないようにします。攻撃者らはバックアップを盛んに狙っています。なので、バックアップをオフラインで保管することが重要です。

ストレージに保管する方法以外に、クラウドサービスにバックアップを保存する方法もあります。クラウドにバックアップを取る場合は、過去のバックアップが即刻削除されないことや、過去のバックアップの復元が可能であることを確認しましょう。クラウドサービスでは、ファイルが暗号化された後、すぐに自動同期されてしまう場合があるためです。これではせっかく用意したバックアップが、暗号化されたバージョンに置き換わり、役に立たなくなってしまいます。

また、単にバックアップを用意するだけでなく、復元の方法や期待通りに機能しているかを定期的に点検することも重要です。

対応計画の準備、従業員教育

普段からインシデント対応計画を作成し、必要であれば見直し、計画に沿った「演習」をしておくことは重要です。対応計画に盛り込むべき主な内容としては、「チームや個人の役割や責任の明確な定義」「顧客やユーザーへの影響を最小化する事業継続計画」「コミュニケーションに関する計画」「ベンダーとの協力関係」などが挙げられます。また、攻撃者がよく使う手口について全社で教育することも有効です。

ここからはセキュリティの担当者向けに、感染経路別の感染予防や、感染時の被害を最小限に抑えるための対策について記載します。

感染経路別の対策①　脆弱性や不適切な設定

最近の日本のランサムウェア攻撃で多いのが、VPNやRDPなどの脆弱性や認証情報（パスワードなど）が悪用されたケースです。先に引用した警察庁の調査では、ランサムウェアの感染経路として、VPN機器からの侵入と回答したのが68％（47件中32件）、リモートデスクトップ（RDP）からの侵入と回答したのが15％（同7件）で、両者合わせて8割程度となっています。

また、VPNやRDP以外で使用しているソフトウェア・サービスの脆弱性や不適切な設定も、攻撃者の標的となり得ます。使用されていないサービスも同様です。これらの感染経路については、以下のような対策が有効です。

攻撃対象領域の最小化

・業務上不要なサービスを利用停止にする。

・事業目的で使われていないポートやプロトコルは無効化する。

・不要なアカウントを削除する（デフォルトで作成されているアカウントを含む）。

関連記事：アタックサーフェスとは？　具体例や管理のポイント

アクセス制御と認証

・最小権限の原則を全てのシステムやサービスに適用する（業務遂行に必要なアクセス権だけをユーザーに与える）。

・できる限り全てのサービスで多要素認証を利用する（特に、Webメール、VPN、重要システムにアクセスするアカウント）。

・強力なパスワードを使用する。パスワードの使い回し、デフォルトパスワードの利用はしない。

・悪用されている可能性がある認証情報は変更する。

脆弱性対策

・ソフトウェア、OS、ファームウェアなどの脆弱性に関する情報を収集し、深刻なものについては迅速に対応する。

・特に、インターネットから接続可能なシステム・機器に関する深刻な脆弱性が公開された場合は、迅速に対策や回避策（ワークアラウンド）を適用する。

感染経路別の対策②　フィッシング

フィッシングメールやフィッシングサイトも、ランサムウェアの感染経路として利用されます。フィッシングは、実在する組織や取引先を装ったメールやWebサイトなどにマルウェアを仕込んで、利用者を感染させる手口です。フィッシング対策としては、以下のような対策が有効です。

・基本的なフィッシング対策について組織内に周知する（「不審なメールの添付ファイルを開かない」「不審なリンクに触れない」など）。

・メールゲートウェイによるフィルタリングを行う。

・ファイアウォールで疑わしいIPアドレスをブロックする。

・メールで送られるMicrosoft Officeファイルのマクロスクリプトを無効化する。

感染経路別の対策③　他のマルウェアへの感染

ランサムウェア攻撃では、ランサムウェアに感染する前に別のマルウェアに感染しているケースが多く存在します。日本でも最近よく聞くようになったマルウェアの「Emotet」は、その一例です。このため、ランサムウェア以外のマルウェアへの対策は欠かせません。具体的には以下のような対策が挙げられます。

・ウイルス対策ソフトが使うシグネチャファイルを常に最新のものに更新する。また、ウイルス対策ソフトの自動アップデートを有効にする。

・許可されたソフトウェアだけが実行されるようにする（正規のアプリケーションを装ったマルウェアへの対策）。

・侵入検知システム（IDS）の導入（ランサムウェアの展開に先立って起こる有害なネットワークアクティビティを検知するため）。

・マルウェアと疑われるプログラムの振る舞いをEDRなどで検知して、アクセス不能となる前にファイルの暗号化を止める。

関連記事：EDRとは？EPPとの違いなど、導入前に知っておきたい基礎知識

プロアクティブなランサムウェア防衛のために

ここまで、ランサムウェアとは何か、感染した場合の対処のポイント、被害を抑えるための対策について述べてきました。ひとつ付け加えておきたいのは、ここまでの解説が、「全て過去の事例に基づいた内容である」ということです。防御側が対策を取れば、攻撃側もそれを破ろうと次の手を打ってくるでしょう。未知の侵害に備えるには、リアクティブからプロアクティブへ、セキュリティを変えていくことが大切です。弊社では、そんなセキュリティの変革に役立つ脅威インテリジェンスツールやサービスを多数提供しております。

脆弱性・認証情報のモニタリングでランサムウェアの先へ

上に述べた対策の1つに、脆弱性情報の収集がありました。ゼロデイ脆弱性の情報などの脅威情報は、インターネットを使えば容易に手に入ります。しかし、情報の流通量が膨大すぎるため、自社にとって本当に重要な情報を見極めることがなかなか難しいのではないでしょうか？

弊社が提供するSilobreakerは、Web上の脅威情報を自動収集し、その傾向を可視化するツールです。情報を1つの画面上に可視化し、分析に役立てることで、対応の優先順位付けに役立てることができます。また、情報をアラートとして自動で共有したり、分析結果をチーム内に配布することも可能です。

またSilobreakerはサーフェスウェブを対象としていますが、ダークウェブなどのアンダーグラウンドにおける脆弱性情報や漏洩認証情報をモニタリング可能なツールFlashpointも、弊社で提供しております。

Flashpointで利用できる「Ransomware Dashboard」のスクリーンショット（情報源：Flashpoint）

脆弱性が「ランサムウェアに悪用される可能性」をスコア化

また、Flashpoint上で利用できる脆弱性データベースVulnDBでは、ある脆弱性が今後ランサムウェア攻撃で利用される可能性 （Ransomware Likelihood）をスコア化しています。さまざまな理由からパッチ適用すべきか迷う場面で、対応の優先順位を決める際にご活用いただけます。

TIP、マネージドサービス、トレーニング&コンサルティング

この他、SilobreakerやFlashpointなどの脅威フィードから受け取った情報を一箇所にまとめ、SIEMやファイアウォールとの連携により脅威への自動対応を可能にするTIP（Threat Intelligence Platform）のAnomaliも提供しております。

また、これらのツールの運用をお客様に代わって行うマネージドサービス、収集した情報を意思決定に役立つ「インテリジェンス」に変えるスキルを養成するインテリジェンストレーニングや、ツール導入に関するコンサルティングも提供しています。ご興味のある方はお気軽にご相談ください。

関連記事：

脅威インテリジェンスとは何か？　その種類と重要性

脅威インテリジェンスとは？活用方法、製品・ツールを比較する際のポイント