ランサムウェアの対策方法を8つ解説|感染経路・対処法・駆除手順も紹介
ランサムウェアは、感染したPCやサーバーのデータを暗号化し、復旧と引き換えに身代金を要求するマルウェアです。近年は攻撃手法が巧妙化しており、企業規模を問わず被害が拡大しています。
一度感染すると業務停止や情報漏洩、金銭被害など深刻な事態を招く恐れがあり、事前の対策が欠かせません。
この記事では、ランサムウェアの基本的な仕組みや感染経路、具体的な対策方法について解説します。
万が一感染した場合の対処法や駆除手順、企業として構築すべきセキュリティ体制についても紹介しているため、自社の防御力を高めたい方はぜひ参考にしてください。
目次
[ 開く ]
[ 閉じる ]
- ランサムウェアとは
- ランサムウェアの仕組み
- ランサムウェアの主な種類
- ランサムウェアの感染経路・イメージ
- VPN機器
- Webサイト
- リモートデスクトップ
- メール・添付ファイル
- ファイルのダウンロード
- USBメモリ/外付けHDD
- ランサムウェアの対策方法
- 怪しいメールのリンクを開かない
- 不審なWebサイトをクリックしない
- 無闇にファイルをダウンロードしない
- 個人情報・機密情報を安易に公開しない
- OS・ソフトウェアを最新の状態に保つ
- 公衆Wi-Fi接続時はVPNを利用する
- データのバックアップを常に取る
- セキュリティ対策ソフトを導入する
- ランサムウェアに感染したときの対処法
- 感染したデバイスを隔離する
- セキュリティの管理部署に連絡する
- 警察署に通報する
- ランサムウェアの身代金は支払うべきか
- 身代金を支払うリスク
- 専門家・公的機関の見解
- ランサムウェアを駆除する手順
- 感染領域と影響範囲を特定する
- 感染したデバイスをネットワークから遮断する
- ランサムウェアを駆除する
- ランサムウェア用の復号ツールを利用する
- データをバックアップから復元する
- 企業が構築すべきランサムウェア対策体制
- インシデント対応計画を策定する
- 従業員へのセキュリティ教育を実施する
- 定期的な脆弱性診断・ペネトレーションテストを行う
- GMOサイバーセキュリティ byイエラエのランサムウェア対策支援
- ランサムウェア対策に関するよくある質問
- ランサムウェア対策は中小企業でも必要か
- 無料のセキュリティソフトでも対策できるか
- バックアップはどのくらいの頻度で取るべきか
- ランサムウェアに感染したらデータは復旧できるか
- まとめ
ランサムウェアとは
ランサムウェアとは、データを人質に取って金銭を要求するマルウェアの一種です。
「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語であり、世界中の企業や組織に深刻な被害をもたらしています。
感染すると業務システムが使えなくなるだけでなく、顧客情報や機密データが流出するリスクも伴います。ランサムウェアの概要を知りたい方は以下の記事をご覧ください。
【関連記事】ランサムウェアとは?代表的な種類や被害例、効果的な対策方法を紹介
ランサムウェアの仕組み
ランサムウェアに感染すると、PC内のファイルやシステム全体が暗号化されてアクセス不能になります。
画面には脅迫メッセージが表示され、復号キーと引き換えにビットコインなどの仮想通貨で身代金の支払いを要求されるのが一般的な流れです。
攻撃者は追跡を逃れるために匿名性の高い決済手段を指定してきます。支払期限を設けて焦らせる手口も多く、冷静な判断を妨げようとする心理的な圧力も特徴の1つです。
暗号化のアルゴリズムは高度なものが使われており、専門家でも復号が困難なケースが少なくありません。
なお、ランサムウェアの被害事例については以下の記事で解説しています。
ランサムウェアの主な種類
ランサムウェアの代表的なタイプとして、ファイルを暗号化する「暗号化型」と画面をロックする「ロック型」が挙げられます。
暗号化型は文書や画像などのデータを直接暗号化するため、業務への影響が甚大になりやすい特徴を持っています。一方、ロック型はOSの起動画面を乗っ取り、操作そのものを妨害する手法です。
近年は機密情報を事前に窃取し、公開すると脅す「二重脅迫型(リークウェア)」も増加しています。
この手口では身代金を支払わなければデータがダークウェブ上に晒されるリスクがあり、被害企業にとって深刻な脅威となっています。
ランサムウェアの感染経路・イメージ
ランサムウェアはさまざまな経路から侵入してきます。ここでは、代表的な感染経路を6つ紹介します。
VPN機器
古いファームウェアのまま運用されているVPN機器や、設定ミスのある機器は攻撃者の格好の標的になります。
脆弱性を突かれると社内ネットワークへの侵入を許してしまい、そこからランサムウェアが拡散されるケースが報告されています。
リモートワークの普及に伴いVPN経由の感染事例は急増しており、定期的なアップデートと設定の見直しが欠かせません。特にサポートが終了した機器を使い続けている場合は、早急な対応が求められます。
Webサイト
改ざんされたWebサイトや不正な広告を閲覧しただけで、マルウェアがダウンロードされる被害も発生しています。普段利用しているサイトでも油断は禁物です。
被害に遭わないためには、URLの確認やブラウザのセキュリティ設定を見直すことが重要です。広告ブロック機能を活用するのも有効な対策の1つといえます。
リモートデスクトップ
パスワードが脆弱なRDP(リモートデスクトッププロトコル)接続を狙った総当たり攻撃は、依然として多くの被害を生んでいます。
インターネット上に公開されたRDPポートは攻撃者に発見されやすく、一度侵入されると管理者権限を奪われる恐れがあります。
多要素認証の導入やアクセス元IPの制限、不要ポートの閉鎖などの対策が有効です。
メール・添付ファイル
請求書や業務連絡を装ったメールに添付されたファイルから感染するケースもあります。
WordやExcelのマクロ機能を悪用した攻撃が典型的であり、本文中のリンクからマルウェアをダウンロードさせる手口も後を絶ちません。
差出人が取引先を名乗っていても、不自然な日本語や急かす文面には警戒が必要です。少しでも違和感を覚えたら、送信元に電話で確認する習慣をつけておきましょう。
ファイルのダウンロード
海賊版ソフトや無料ツールを装ったファイルには、ランサムウェアが仕込まれている危険性があります。
信頼性の低いサイトからダウンロードしたプログラムを実行した途端に感染が始まり、気付いたときには手遅れになっていることも珍しくありません。
ソフトウェアは広告や怪しいWebサイトなどからダウンロードせず、公式サイトや正規の販売チャネルから入手するのが鉄則です。
USBメモリ/外付けHDD
感染したUSBメモリをPCに接続しただけで、ランサムウェアが侵入するケースも報告されています。出所が不明な外部デバイスや、拾得したUSBメモリは絶対に使用しないでください。
攻撃者が意図的にUSBメモリを放置し、拾った方が接続するのを待つ「USBドロップ攻撃」という手口も存在します。
社内ルールとして私物デバイスの接続を禁止するなど、物理的な対策も併せて検討すべきでしょう。
ランサムウェアの対策方法
ランサムウェアの被害を未然に防ぐためには、組織全体で積極的に対策を講じる必要があります。ここでは、企業が行うべき効果的な対策方法を8つ紹介します。
怪しいメールのリンクを開かない
信頼できない送信者からのメールは特に警戒が必要です。添付されているリンクやファイルは、一見無害に見えても心当たりがない場合は開かないことをおすすめします。
業務関連や重要な内容を装ったメールは、ランサムウェアに感染させるための一般的な手口です。見慣れない送信者からのメールや不審な内容のメールには特に注意し、確認を行うことが重要です。
不審なWebサイトをクリックしない
インターネット上の怪しいWebサイトへのアクセスは避けるべきです。これらのサイトにはマルウェアが仕込まれている可能性があり、アクセスするだけで感染するリスクがあります。
▼不審なWebサイトの特徴
- ポップアップウィンドウや警告メッセージが頻発する
- 不自然な日本語や英語で文章が記載されている
- 自動的に別のサイトにジャンプする
公式と称するサイトであっても、リンク先が偽サイトになっている可能性があるため、疑わしいサイトは避けるようにしましょう。
マルウェアとウイルスの違いについては以下の記事で詳しく解説しています。
無闇にファイルをダウンロードしない
Webサイトやメールに添付されているファイルのダウンロードは慎重に行うべきです。ネット上のファイルの中にはランサムウェアが含まれている場合があるため、無闇にダウンロードしてはいけません。
有名なサービスやソフトウェアであっても、なりすましの可能性があるため、ダウンロードを行う際にはソースの信頼性を確認することが不可欠です。特に、違法なソフトウェアやファイルを配布しているサイトからのダウンロードは避けましょう。
個人情報・機密情報を安易に公開しない
個人情報や機密情報をWebサイトやSNSで安易に公開すると、悪意のある第三者によって情報が悪用される可能性があります。ランサムウェア攻撃のターゲットになるリスクを抑えるためにも、重要な情報は安易に公開しないことが大切です。
特に信頼できない相手に対して情報を提供することは避け、情報の公開には常に慎重になることが求められます。また、社内で従業員に対するセキュリティリスクの教育を徹底し、情報漏洩のリスクを減らす工夫も必要です。
OS・ソフトウェアを最新の状態に保つ
OSやソフトウェアを常に最新の状態に保つことは、ランサムウェアの攻撃から身を守る基本的な対策の1つです。常に最新の状態を維持すれば、システムの脆弱性を狙った攻撃の阻止に繋がります。
ランサムウェアはブラウザやOSの脆弱性を狙って攻撃を仕掛けることがあるため、セキュリティ修正プログラムやアップデートが配布された際には、速やかにそれらを導入することがポイントとなります。
公衆Wi-Fi接続時はVPNを利用する
公衆Wi-Fiの使用中は、悪意のある第三者による情報の抜き取りリスクが高まるため、VPNを利用して通信を暗号化することが推奨されます。
特に公衆Wi-Fi環境下での個人情報のやりとりは、VPNを通じて行うことで安全性を高めることができます。
ただし、VPNサービス自体にランサムウェアが仕込まれている場合もあるため、信頼できる開発元から提供されるVPNサービスを選択することが重要です。
- ▼VPNとは
- データを暗号化して通信の漏洩を防ぐ方法のこと。
データのバックアップを常に取る
ランサムウェアの被害に備えて、常にバックアップを取っておきましょう。もしも攻撃者によりデータが暗号化されても、バックアップを使って重要なデータをすぐに復元できます。
ランサムウェアによってデータが暗号化された場合、それらを元の状態に戻すことは非常に困難です。
その点、重要なファイルのバックアップを取っておけば、被害を受けてもデータを復元でき、その後の対応の選択肢が広がります。外付けHDDやUSBなどへのバックアップが有効です。
セキュリティ対策ソフトを導入する
セキュリティ対策ソフトの導入により、ランサムウェアの脅威を常に監視することができます。監視する以外にも、セキュリティ対策ソフトには以下のような機能が備わっています。
▼セキュリティ対策ソフトの主な機能
- ウイルス検知
- 不正アクセスの防止
- データの暗号化
- 脆弱性診断
- セキュリティコンサルティングサービス
ランサムウェアの攻撃は年々高度化しており、従来のアンチウイルスソフトだけでは対策が難しい場合があります。高度なセキュリティ対策ソフトを導入することで、感染リスクを低減させ、被害の拡大を抑えることが可能です。
ランサムウェアに感染したときの対処法
ランサムウェアに感染した場合、迅速かつ正確な対応が求められます。以下、ランサムウェアに感染した際の効果的な対処法を3つ紹介します。
- 感染したデバイスを隔離する
- セキュリティの管理部署に連絡する
- 警察署に通報する
それぞれの対処法について詳しく解説していきます。
感染したデバイスを隔離する
ランサムウェアの感染が疑われたら、まずは対象のデバイスをネットワークから切断し、隔離するようにしましょう。これにより、他のデバイスへの感染拡大を防ぐことが可能になります。
デバイスへの感染が確認できたら、特定の部門やネットワークセグメントのみを切断することも考慮されます。Wi-Fiに繋がっている場合は、Wi-Fiの設定をオフにしましょう。
セキュリティの管理部署に連絡する
デバイスを隔離できたら、セキュリティの管理部署に連絡しましょう。
ランサムウェアの対処は複雑であり、専門的な知識が必要になることも多いため、感染が確認できた場合は直ちにセキュリティの管理部署に連絡することが大切です。
その際は、攻撃の発覚経緯や現状について詳細に報告するようにしましょう。迅速な報告により、適切な対処法の発見や被害の軽減に繋がります。
警察署に通報する
ランサムウェアに感染した場合、身代金の要求には絶対に応じてはいけません。身代金を支払っても、データが戻ってくる保証はないためです。
ランサムウェアの攻撃者から身代金を要求されたときは、すぐに警察署へ通報することが大切です。法的なサポートを受けることができ、同様の犯罪の防止にも繋がります。
ランサムウェアの身代金は支払うべきか
感染時に多くの企業が直面するのが、「身代金を支払うかどうか」という難しい判断です。
業務停止の損害と天秤にかけて支払いを検討するケースもありますが、安易な決断は避けるべきといえます。ここでは、支払いに伴うリスクと専門家の見解について解説します。
身代金を支払うリスク
身代金を支払ったとしても、データが確実に復旧される保証はありません。
復号キーが送られてこなかったり、一部のファイルしか復元できなかったりするケースも報告されています。さらに「支払う企業」として認識されると、再び標的にされるリスクが高まります。
支払った資金は犯罪組織の活動資金となり、新たな攻撃を助長することにも繋がりかねません。
短期的な解決策に見えても、長期的には被害を拡大させる要因になり得る点を理解しておく必要があります。
専門家・公的機関の見解
警察庁や経済産業省などの公的機関は、身代金の支払いを推奨しない立場を明確にしています。支払いが犯罪を助長し、被害企業自身のリスクも軽減されないというのがその理由です。
セキュリティ専門家も同様の見解を示しており、身代金の支払いよりも専門機関への相談、また事前のバックアップ体制構築やインシデント対応計画の整備を重視するよう呼びかけています。
万が一の事態に備えて、日頃から復旧手段を確保しておくことが最善の防御策といえるでしょう。
ランサムウェアを駆除する手順
ランサムウェアの駆除は、対策として非常に重要なプロセスです。自ら駆除を試みる場合、以下の手順を踏むことが推奨されます。
▼ランサムウェアを駆除する手順
- 感染領域と影響範囲を特定する
- 感染したデバイスをネットワークから遮断する
- ランサムウェアを駆除する
- ランサムウェア用の復号ツールを利用する
- データをバックアップから復元する
感染領域と影響範囲を特定する
まずは、ランサムウェアの感染領域と影響範囲を特定することから始めましょう。これは、問題の全貌を理解し、適切な対処を行うために不可欠な行為です。
セキュリティ対策ソフトのスキャン機能を利用すれば、感染領域の特定を迅速に行えます。
ファイルの暗号化状況やシステムのパフォーマンス低下などを確認し、感染の影響が及んでいる範囲を把握することが重要です。
感染したデバイスをネットワークから遮断する
次に、感染したデバイスを速やかにネットワークから遮断しましょう。これにより、ランサムウェアのさらなる感染拡大を防ぐことができます。
▼遮断の対象となる主なデバイス
- パソコン
- スマートフォン
- タブレット
- 外部HDD
- スマートウォッチ
通信ログやネットワーク監視ログを確認し、不審な通信を行っている可能性のあるデバイスを特定します。特定したデバイスをすぐにネットワークから切り離し、ランサムウェアの影響を抑制することがポイントです。
ランサムウェアを駆除する
ランサムウェアの感染源を特定し、該当デバイスをネットワークから遮断した後は、ランサムウェアの駆除作業に移ります。この段階では、インストールされているセキュリティ対策ソフトを用いてシステム全体をスキャンします。
スキャンを通じて、ランサムウェアに感染したファイルやシステムの異常を発見し、それらを安全に削除しましょう。このプロセスは感染拡大の防止と、システムの安全性を確保するために不可欠です。
ランサムウェア用の復号ツールを利用する
暗号化型のランサムウェアに感染した際は、専用の復号ツールを利用することでファイルの復号が可能になることがあります。ただし、完全な復号が難しい場合もあり、ファイルごとに復号の成功率は異なります。
ここで重要な点は、ランサムウェアを完全に駆除してから復号作業に取り掛かることです。
システム内に問題が残っていると、再度感染するリスクがあるため、復号作業は駆除作業が完了してから行う必要があります。
データをバックアップから復元する
ランサムウェアの駆除が確認できたら、データをバックアップから復元しましょう。外付けのストレージやクラウドサービスに保存されたバックアップデータを利用し、重要なファイルを復元します。
最新のバックアップがない場合は適切に復元できない可能性があるため、定期的にデータのバックアップを作成することが大切です。
企業が構築すべきランサムウェア対策体制
ランサムウェアの脅威に備えるには、技術的な対策だけでなく組織としての体制づくりが欠かせません。ここでは、企業が構築すべきランサムウェアの対策体制を解説します。
インシデント対応計画を策定する
感染発覚時の初動対応や社内外への報告フローを事前に文書化しておくことが重要です。誰が何を担当し、どの順序で対応を進めるのかを明確にしておけば、混乱を最小限に抑えられます。
計画は策定して終わりではなく、定期的な訓練やシミュレーションを通じて実効性を確認してください。実際に手を動かすことで、計画の不備や改善点が見えてきます。
従業員へのセキュリティ教育を実施する
どれだけ高度なセキュリティツールを導入しても、人的ミスによる感染は防ぎきれません。
不審なメールの見分け方や安全なファイルの取り扱いについての教育や、実際の攻撃メールを模したテスト訓練を実施しましょう。
新入社員だけでなく、全従業員を対象に継続的な研修を行うことで、組織全体のセキュリティリテラシーを底上げできます。「自分は大丈夫」という油断が最大のリスクであると認識してもらうことが大切です。
定期的な脆弱性診断・ペネトレーションテストを行う
ランサムウェアの対策強化には、定期的な脆弱性診断・ペネトレーションテストが有効です。
診断結果をもとに優先順位をつけて改善を進めることで、限られたリソースでも効果的な対策が可能になります。また、内部のIT担当者だけでは気付きにくいセキュリティホールの発見にも期待できます。
年に一度ではなく、システム変更や新サービス導入のタイミングでも実施を検討してください。脆弱性診断の概要や方法については以下の記事で解説しています。
GMOサイバーセキュリティ byイエラエのランサムウェア対策支援
画像引用元:GMOサイバーセキュリティ byイエラエ
ランサムウェアの脅威から企業を守るには、専門家の知見を活用した対策が効果的です。
「GMOサイバーセキュリティ byイエラエ」では、世界トップレベルのホワイトハッカーが脆弱性診断やペネトレーションテストを実施し、攻撃者の視点からセキュリティリスクを可視化します。
自社の弱点や適切な対処法が明確になるため、優先度の高い課題から効率的に改善することが可能です。
万が一インシデントが発生した場合も、デジタルフォレンジックやインシデントレスポンス支援を通じて原因特定から再発防止までをサポートいたします。
ランサムウェア対策を強化したい方は、ぜひ相談を検討してみてください。
ランサムウェア対策に関するよくある質問
ランサムウェア対策を検討する際、多くの方が疑問に感じるポイントをまとめました。以下、ランサムウェア対策に関するよくある疑問を4つ紹介します。
ランサムウェア対策は中小企業でも必要か
企業規模に関係なく攻撃者に狙われるリスクは存在するため、中小企業でもランサムウェア対策は必要といえます。
むしろ中小企業はセキュリティ体制が手薄なケースが多く、攻撃者に狙われやすい傾向にあるため十分な対策が求められます。
コストを抑えた対策から始められるため、まずは現状の把握と基本的な防御策の導入を検討してください。
無料のセキュリティソフトでも対策できるか
無料のセキュリティソフトでも基本的な保護機能は備えていますが、最新の脅威への対応速度や検知精度は有料版より劣る場合が多いです。
企業利用の場合は、一元管理機能やサポート体制が充実した有料製品を推奨します。無料版は個人の軽い用途には向いていますが、業務データを扱う環境では心もとないといえるでしょう。
導入コストと被害発生時の損害を比較し、適切な投資判断を行うことが大切です。
バックアップはどのくらいの頻度で取るべきか
重要なデータは毎日、システム全体のバックアップは週に1回程度が目安になります。業務の性質やデータ更新頻度に応じて調整してください。
バックアップデータはネットワークから隔離した場所に保管することが重要であり、同じネットワーク上にあると一緒に暗号化されてしまう恐れがあります。
クラウドストレージとオフライン媒体を併用するなど、複数の保管先を確保しておくと安心です。
ランサムウェアに感染したらデータは復旧できるか
バックアップが適切に取れていれば、復旧できる可能性は高くなります。
ただし、暗号化されたデータを元に戻すのは非常に難しく、バックアップがなければ復旧を諦めざるを得ないケースも少なくありません。
一部のランサムウェアについては、セキュリティ企業や公的機関が復号ツールを公開していることがあります。感染した場合は慌てて身代金を支払う前に、該当するツールが存在しないか確認してください。
まとめ
この記事では、ランサムウェアの仕組みや感染経路、具体的な対策方法と企業が構築すべきセキュリティ体制について解説しました。
ランサムウェアはVPN機器やメール、Webサイトなどさまざまな経路から侵入し、データを暗号化して身代金を要求してきます。
身代金を支払っても復旧の保証はなく、公的機関も支払いを推奨していません。被害を防ぐには、日頃からのバックアップ体制の整備や従業員教育、定期的な脆弱性診断が重要です。
自社だけで対策を進めるのが難しい場合は、「GMOサイバーセキュリティ byイエラエ」の脆弱性診断やペネトレーションテストの活用もご検討ください。
専門家の知見を取り入れることで、より強固なセキュリティ環境を構築できます。
文責:GMOインターネットグループ株式会社
