ランサムウェアに感染したらどうなる?企業のスマホやPCへの対策を解説
ランサムウェアは企業に大きな損害を与える悪質なマルウェア(コンピュータウイルス)の一種です。
ほとんどの業種でIT技術が取り入れられている現代では、ランサムウェアの脅威から自社の機密情報や顧客情報・取引先の情報を守る必要があります。
ただし、どれほど対策していても少しのエラーからランサムウェアに感染してしまう場合も。
その際、正しい対応を取ることができなければ、さらに大きな被害を受けてしまう場合もあるのです。
この記事では、ランサムウェアに感染した場合に想定される被害や、感染後に企業がとるべき対応について解説していきます。
ランサムウェアの攻撃対象となるスマホやPCの対策法も解説するので、ぜひ参考にしてください。
目次
ランサムウェアに感染したらどうなる?
はじめに、ランサムウェアに感染した場合、企業にもたらされる被害や損害を解説します。
危機感を持って対策するためにも、ランサムウェアの被害について理解しておきましょう。
社内のデータを抜き取られる
ランサムウェアに感染した場合、社内の機密情報や業務に必要なデータを抜き取られる恐れがあります。ランサムウェアの感染によるデータ流出は過去にも事例があり、従業員の個人情報が大量に抜き取られてしまったことも。ランサムウェアは金銭を要求されることに目が行きがちですが、機密情報や個人情報の流出は、企業に金銭以上の被害をもたらす可能性があるのです。
端末をロックされ動かせなくなる
ランサムウェアに感染した場合、スマホやPCなど端末の画面をロックされてしまい操作が困難になってしまいます。多くの場合、感染した端末の画面には金銭を要求するメッセージの「ランサムノート」が表示されるでしょう。感染後はその画面から切り替えを行えなくなるか、または操作に非常に多くの時間を必要とします。復旧まで作業を停止させられるため、事業の生産性が著しく低下してしまうでしょう。
データを人質に身代金を要求される
ランサムウェアに感染すると、企業のデータを人質に身代金を要求されてしまいます。多くの場合、身代金を振り込んだ後にデータの解放や操作の再開に必要な「解除キー」を提示する旨のメッセージが表示されますが、金銭を支払ったからといってランサムウェアが解除される保証はありません。多額の身代金を要求され、対策法を熟知していない場合は数千万もの金額を支払ってしまう企業も。
顧客や取引先の情報が流出する
ランサムウェアの被害は自社内に留まらない可能性があります。感染した端末や侵入したファイルの場所によっては、顧客の情報や取引先の情報も流出してしまう可能性があるのです。過去には4万件以上の個人情報が流出した事例も。顧客や企業の情報の流出は、金銭的な被害だけでなく企業の信用を損なう恐れもあるため、感染への対策と有事の対応を万全にしておかなければいけません。
バックアップに感染すると復旧困難となる
ランサムウェアが末端のデータに感染した場合は被害が少なく済みますが、バックアップデータにまで感染が拡大してしまった場合は復旧が困難となる恐れもあります。感染したランサムウェアに対し駆除ツールが有効でない場合、バックアップデータを使用して原状回復を行わなければいけません。しかし、バックアップデータにランサムウェアが感染した場合は復旧すること自体が困難となってしまうのです。
ランサムウェアに感染したら企業が取るべき対応
ランサムウェアに感染した場合、企業はランサムウェアに対する迅速な対処と社会に対する対応を取らなければいけません。
- 感染した端末をネットワークから切り離す
- 感染状況を確認する
- ランサムウェアへの感染を報告する
- 感染状況や復旧活動を記録する
- 原状回復に努める
ランサムウェア感染時に取るべき対処を手順に分けて解説していきます。
①感染した端末をネットワークから切り離す
ランサムウェアに感染した場合、またはその疑いがある場合は、感染した端末をネットワークから早急に切断しましょう。感染した端末が社内ネットワークに繋がったままになっていると、ネットワークで繋がっている他の端末やバックアップデータにも感染が拡大してしまうかもしれません。Wi-Fiなどあらゆるネットワーク接続を解除し、なるべく早めに端末を隔離しましょう。
②感染状況を確認する
端末をネットワークから遮断したら、次に感染状況の確認を行います。感染したデータとランサムウェアが侵入した経路を特定し、機密情報や顧客情報、取引先のデータなどが流出していないか確認しましょう。感染経路の特定は、自社のセキュリティに問題のある部分を理解し、更なるランサムウェア被害を防ぐのに必要です。必ず確認し、以降の対策に役立ててください。
③ランサムウェア感染の報告
感染状況を把握した後、ランサムウェアへ感染したこと、対応を取っていることを報告します。報告の際は感染経路となったネットワークを使用せず、安全性の高い別のネットワークを経由して行いましょう。ランサムウェア発生時の対応フローを事前に作成し、感染時に使用するネットワーク経路を定めておくとスムーズです。
また、サイバー攻撃を受けたことを警察にも報告し、自社内の対応と平行して調査を行いましょう。犯罪組織による攻撃は第2・第3の被害を招く恐れがあります。「サイバー犯罪相談窓口」に通報し、被害の拡大を防ぐとともに問題解決へ取り組んでください。
④感染状況や復旧活動の記録と報告
ランサムウェアの感染範囲や発覚後の対応状況は記録しましょう。感染状況から復旧までの経過を記録し、詳細が判明次第、報告内容を確認します。アクセスログを確認し、データが流出したか、どこから侵入されたかを追跡してください。
復旧に対する活動や状況も報告する必要があります。企業の信用を極力落とさないようにするためには、感染状況と復旧に対する対応、感染による被害を正確に発表しなければなりません。可能な限り詳細に状況を調査・記録し、復旧へ取り組みましょう。
⑤原状回復に努める
感染状況や被害状況が確認できた場合、情報をもとに原状回復を図ります。原状回復の際に重要となるのは優先順位をつけることです。基幹インフラや基幹システムなど、社内のデータ管理の中枢となる部分から回復を図り、その後末端の端末の復旧に取り組みましょう。
解除の手順としては、まずはランサムウェアの解除ツールが使用できないか調査し、該当するツールがあれば削除を試みます。解除ツールは導入しているソフトウェアを使用するか、欧州の刑事機構が運営している「The No More Ransom プロジェクト」内で提供しているものを使用してみてください。
ランサムウェアに感染したらどうするべき?
ランサムウェアに感染した場合、適切に対処しなければ感染を拡大させてしまう恐れがあります。感染時にとっては行けない行動や、迅速に対処するための手段などを理解していなければいけません。
具体的には以下のような注意点や対処法が挙げられます。
- 身代金は絶対に支払わない
- No More Ransomプロジェクトを活用する
- 端末の電源は落とさない
- 感染後にバックアップを取らない
- 駆除ソフトを使用する
- バックアップを使用して復旧する
- 専門家に相談する
それぞれについて見ていきましょう。
①身代金は絶対に支払わない
ランサムウェアに感染した場合、絶対にしてはいけない対応が「身代金を支払うこと」です。ランサムウェアを使用する犯罪者や犯罪組織は、企業相手に多額の身代金を要求します。額はケースによってさまざまですが、数千万あるいは億単位の身代金を要求される場合も。ランサムウェアへの対応フローが充実していない場合、パニックになり支払いを行ってしまう企業もあるのです。
身代金を支払ったからといって、データが悪用されない保証も、端末のロックを解除される保証もありません。実際、過去にランサムウェアへの身代金を支払った後に解除キーが送信されず、復旧するのに膨大な費用と時間を費やした企業も多く存在しています。
身代金を支払うことはランサムウェア解決に結びつくことはないため、要求を素直に受け入れ金銭を支払うことはないようにしましょう。
②No More Ransomプロジェクトを活用する
No More Ransomプロジェクトは、欧州の刑事機構とセキュリティ企業が立ち上げたプロジェクトです。ランサムウェアの最新情報を掲載しているだけでなく、過去に使用されたランサムウェアへの復号ツ―ルが公開されています。提供されている復号ツールが、端末に感染したランサムウェアに対応していれば、すみやかにランサムウェアを駆除し解決することも可能です。
No More Ransomプロジェクトのページ内には、ランサムウェアへ感染した場合の対処法やアドバイスなども掲載されています。こまめにチェックすることで、最新のランサムウェアの種類や感染経路、対策法などをいち早く入手できるので、ITを取り入れている企業や事業主は訪問してみると良いでしょう。
③端末の電源は落とさない
ランサムウェアに感染した場合、端末の電源を落とさずに復旧を試みなければいけません。画面上にランサムノートが表示されたり、端末をロックされてしまうと焦ってしまい、端末を強制終了してしまう方もいます。しかし、ランサムウェアは端末を再起動した後に再度起動してしまうため、電源を落とすことは得策ではありません。むしろ感染経路の特定や被害データの確認を取ることが困難となり、対応が遅れてしまう原因になってしまうでしょう。感染を確認した場合は電源を落とすのではなく、すみやかにネットワーク回線の切断のみ行いましょう。
④感染後にバックアップを取らない
ランサムウェア感染後はバックアップを行ってはいけません。ランサムウェア感染後にバックアップを取ってしまうと、ランサムウェア自体を社内のバックアップ用ストレージにコピーしてしまい、感染以前の状態に修復できなくなります。バックアップストレージには他の端末も接続するため、最悪の場合は社内データの大部分を失ってしまうことになりかねません。感染前にはバックアップをまめに取るべきですが、ランサムウェアを確認した後は手動はもちろん、自動バックアップも即時停止し、感染したデータを保存しないよう対処しましょう。
⑤駆除ツールを使用する
ランサムウェア被害範囲と種類を特定した後は、駆除ツールを使用しランサムウェアを端末から取り除きましょう。駆除には前述の「復号化ツール」のほか、ウイルス対策ソフトなどを使用します。ウイルス対策ソフトにはフリーソフトもあり手軽に運用可能ですが、複雑なプログラムで作成されたランサムウェアは解除できない場合も。より広範囲かつ複雑な種類のランサムウェアを駆除する場合は、専門性の高いソフトを使用する必要があります。
自社のIT環境に合わせたセキュリティソフトを開発・運用していれば、ランサムウェアへの対策と感染時の対処も充実するでしょう。自社に合わせたソフトを用意するには、セキュリティエンジニアへ依頼しソフト開発と運用を依頼するのが効率的です。市販のソフトよりも高精度にランサムウェア対策が可能であり、かつ最新のランサムウェアの動向に合わせてセキュリティの更新なども依頼できます。
⑥バックアップを使用して復旧する
駆除ツ―ルでの対処が難しい場合、バックアップデータを使用し感染以前の状態に戻すことで、問題が解決します。バックアップ時の状態に戻すことで、ランサムウェア感染時に作成していたデータやファイルは失われてしまう可能性が高いです。
バックアップを使用して問題を解決するためには、定期的に端末またはストレージにバックアップを取る必要があります。企業で扱うデータは膨大になる場合が多く、規模の大きい企業であればなおさらです。大容量のデータのバックアップには業務用のNASを使用することがおすすめです。
⑦専門家に依頼する
駆除ツールで対処不可能であり、かつバックアップデータも使用できないこともあるでしょう。その場合、専門的な知識を持つセキュリティエンジニアへ依頼すると解決に繋がるでしょう。自社にセキュリティエンジニアが所属している場合はすぐに対応できますが、そうでない場合は外部のセキュリティエンジニアに依頼することになるでしょう。
セキュリティエンジニアへの依頼は、単価で数十~数百万円が相場となります。費用はかかりますが、ランサムウェアの身代金とは比較にならないほど安価であり、確実に解決できるうえ再発予防のための対策も相談可能です。
ランサムウェアがスマホに感染したら?
ランサムウェアはPCだけでなくスマホにも感染します。感染時はPC同様、画面の操作が困難になったり、データを抜き取られたりするでしょう。現代では事業にスマホを活用する企業も多く、PCと同様にセキュリティ対策をしなければいけません。
この章では、ランサムウェアがスマホに感染した場合に取るべき対応や確認するべき点を見ていきましょう。
①ネット回線から切断する
スマホへのランサムウェア感染を確認した場合、PC同様にネット回線から切断しなければいけません。Wi-Fiを切断し、ネットワークから遮断することで社内外へのデータ流出やランサムウェア感染拡大を防止しましょう。
ネットワークからの切断はWi-Fiの設定画面からも行えますが、スマホの場合は機内モードに切り替える操作を行うことで瞬時に実施可能です。業務用のスマホを運用する場合は、ランサムウェアや各種マルウェアへの感染時に迅速に対処できるよう、機内モードへの切替をホーム画面に追加しておくのも良いでしょう。
②ウイルス対策アプリを実行する
ネットワークから切断したら、スマホ内のウイルス対策アプリを使用しランサムウェアの検索と駆除を試みてください。対応している種類であれば、ランサムウェアを検知可能です。アプリによってはそのまま削除を実施できる場合も。ウイルス対策アプリは常駐させ、定期的にスキャンを実行することでも、マルウェアやランサムウェアの脅威からスマホを守ります。業務用のスマホには必ずインストールしておき、大切な社内データを保護しましょう。
③疑わしいアプリを削除する
ランサムウェアへの感染が疑われた場合、スマホ内にインストールされているアプリを確認することも重要です。身に覚えのないアプリや、Web上でインストールしたアプリはランサムウェアの感染経路となっている可能性があります。ネットワークから隔離した後、疑わしいアプリがあれば削除しましょう。日頃から怪しいサイトからのアプリインストールを避けたり、定期的にスマホ内のアプリを確認し、覚えのないアプリが入ってないか確認することも大切です。
④専門家へ相談する
PCのランサムウェア感染と同様に、スマホのランサムウェアについても専門家の知識やスキルが解決の糸口となります。スマホのランサムウェアはPCと比べて件数がまだ多くありません。個人や企業で行える対策も限られているため、最新の知識とスキルを備えているセキュリティエンジニアに依頼するのが確実でしょう。
Androidではセーフモードを活用可能
Androidスマホに限りますが、PCのようにセーフモードを活用してランサムウェアへの対処が可能です。セーフモードとは、スマホを初期状態のまま起動して操作できる機能のこと。セーフモードを使用することで、感染拡大を防ぎつつ安全に原因と考えられるアプリを削除可能です。業務用のスマホにAndroidを選択している企業は、セーフモードの起動方法やアプリの削除フローを共有し、すみやかに対処できるようにしましょう。
個人事業主がランサムウェアに感染したらどうなる?
個人事業主がランサムウェアに感染した場合も、企業と同様に大きな損失を受ける可能性が高いです。個人事業主もまた、PCやスマホで多くの取引先・顧客とやり取りをする方が多いため、感染によって委託されているデータや情報が流出してしまう場合もあるでしょう。
企業と同様に、個人事業主も信用が無ければ仕事を続けられません。ランサムウェアをはじめとするマルウェア対策やセキュリティ対策を万全にする必要があります。
ランサムウェアの感染対策
ランサムウェアの被害を防ぐためには、セキュリティ対策を万全にし、社内データを徹底的に管理する必要があります。
企業でできるランサムウェア対策について見ていきましょう。
セキュリティ対策を万全にする
ランサムウェアの被害を防ぐには、なんといってもセキュリティ対策を万全にすることが重要です。
利用しているネットワーク機器や端末のファームウェアアップデート、セキュリティソフトの運用やデータの監視など、さまざまなセキュリティ対策を施すことでランサムウェアへの感染を予防できます。
これらは社内にセキュリティエンジニアが所属していれば自己完結できますが、そうでない場合は外部のセキュリティソリューションを利用することがおすすめです。
定期的にバックアップを取っておく
バックアップを定期的に実行することで、ランサムウェアに感染した場合の保険になります。自動バックアップの設定や、定期的に手動でバックアップを行うことにより、社内のデータを安全に運用することが重要です。
バックアップを取っておらず、駆除ツールや復号化ツールも使用できない場合は、データを大量に喪失する恐れがあります。最終のバックアップ日などを常にチェックし、もしもの場合に備えましょう。
社員の教育を徹底する
ランサムウェアへの感染を予防するためには、社員のITリテラシーを強化することも重要です。疑わしいURLやメールの扱い方、USBメモリといった記録媒体の使用方法など、ランサムウェアが端末に侵入する経路を教育し、業務用端末の扱い方を周知しましょう。
また、感染時の対応についても社員一人ひとりが理解していなければいけません。パニックになり電源を落としてしまったり、感染後にバックアップを行ってしまうなど、一人のミスで非常に大きな損失を受ける場合があります。社内でランサムウェア感染対策フローを確立し、社員一人ひとりの危機感を高めるよう促しましょう。
ランサムウェアに感染したら専門家へ相談を
ランサムウェアに感染した場合、正しい手順ですみやかに対処しなければ、時間的・金銭的に多大な損失を受ける恐れがあります。
感染対策と、感染後の対処法を確立し、適切に対処できるように準備しておきましょう。
ケイティケイではセキュリティソリューションを提供しており、企業に対しランサムウェア感染の対策・対処法を提供できます。
「自社の大切なデータを守りたい」「ランサムウェアによる金銭的被害を避けたい」「顧客や取引先からの信用を失いたくない…」
そんな企業様は、ぜひお気軽にケイティケイへご相談ください。
お気軽にご相談ください