ここ数年で、国内外問わずランサムウェアの被害が増えています。その攻撃対象は大企業だけでなく、広く中小企業にまで及んでいるのが現状です。ところが中小企業は、セキュリティ対策が不十分になりがちなのも事実。
そこで、この記事では
・ランサムウェアについて確認
・感染したらどのような症状が現れるか
・感染したらまずやるべきこと
・感染したらやってはいけないこと
という点について解説します。
この機会に、自社のセキュリティ体制を見直したいという方には、ISMSの取得もサポートしております。
ISMSを取得するメリットや取得までの流れについては、以下の記事をご覧ください。
目次
ランサムウェアについて確認
ランサムウェアのここ数年における被害状況については、耳にしたことがある方も多いことでしょう。
システムの正常な動作を阻害したり、情報や金銭を窃取したりという目的をもつ、悪意ある(malicious)ソフトウェア(software)を「マルウェア(malware)」と呼ぶのは有名ですね。
ランサムウェア(ransomware)とはそのマルウェアの一種で、システムを暗号化するなどして使用不能にし、制限を解除するために身代金(ransom)を要求するソフトウェア(software)のことを指します。
企業や団体など組織の端末がランサムウェアに感染すると、端末がロックされたりファイルが暗号化されたりして使用不能になるため、業務が機能しなくなります。
またランサムウェアの手口の怖いところは、その名のとおり「身代金の要求を主目的としていること」です。
データを人質に身代金を要求するだけでなく、重要な情報を窃取して「身代金を支払わなければ情報を公開する」「取引先に公開する」など、二重三重にも及ぶ脅迫が特徴です。
つまり、企業活動の妨害だけでなく、関連企業や取引先などのステークホルダーにも多大な損害を与える可能性があり、中小企業にこそダメージの大きい攻撃ともいえます。
ランサムウェアについての詳しい解説や感染経路、その対策などについては、以下の記事でご確認ください。
またランサムウェアによる攻撃については、新型コロナウイルス感染症拡大防止対策のためリモートワークが広まった2020年ごろから、特定の企業や公的機関などに絞った「標的型攻撃」が増加しています。
「標的型攻撃」については以下の記事で詳しく解説していますので、合わせてご覧ください。
ランサムウェアに感染したらどのような症状が現れるか
まず、ランサムウェアに感染したらどのような症状が現れるかを理解しておきましょう。
データが暗号化される
感染した端末内の保存データが次々と暗号化されます。
パスワードが変更されたり、画面がロックされたりする
勝手にパスワードが変更されたり、画面がロックされたりして、データそのものにアクセスができなくなります。
警告画面が表示される
データにアクセスしようとすると、身代金を要求する警告画面が現れます。
隣接する他のデバイスやシステムに感染が広がる
同一ネットワーク内の端末にも脆弱性がある場合そこからマルウェアが侵入し、感染が次々に広がってしまいます。
ランサムウェアの代表的な3つの感染経路
近年、ランサムウェアによる被害が深刻化する中、感染経路を正しく理解しておくことが、被害防止の第一歩となります。特に代表的な感染経路として、次の3つが挙げられます。
- VPN機器からの侵入
脆弱性を放置したVPN機器が攻撃者の侵入口となるケース。リモートワークの普及によりVPN利用が増える中、アップデートやパスワード管理の徹底が求められます。 - リモートデスクトップからの侵入
遠隔操作ツール「リモートデスクトップ(RDP)」の設定不備や脆弱性が原因で、社内システムに不正侵入され、ランサムウェアが展開される事例が増加中です。 - メールの添付ファイル・リンク
大企業や公的機関を装った偽メールで、添付ファイルやリンクを開かせ感染させる手口。見慣れた送信者名や文面でも油断は禁物です。
これらの感染経路は、日常業務の中に潜んでいます。一人ひとりがセキュリティリスクを理解し、適切な対策を講じることが重要です。
VPN機器を狙った侵入がランサムウェア感染の主流に
近年、ランサムウェアの感染経路として最も多く報告されているのが「VPN機器を通じた侵入」です。
2025年に警察庁が公表した調査によると、企業や団体がランサムウェアに感染したケースの過半数が、VPN機器を経由したものであることが明らかになっています。
VPN(Virtual Private Network)接続は、インターネット上に仮想的な専用回線を構築し、安全な通信を可能にする仕組みです。
テレワークの普及とともに、場所を問わず社内ネットワークへ安全にアクセスできる手段として、VPNの利用は多くの企業に広がっています。
しかしながら、VPN機器に内在するソフトウェアの脆弱性や、ルーターに適用されていないセキュリティパッチなどを放置してしまうと、攻撃者にそこから侵入され、ネットワーク全体にランサムウェアを拡散されるリスクが生じます。
さらに、VPN接続用のパスワードが初期設定のままであったり、推測されやすい簡易なものを使用していると、不正アクセスの危険性はさらに高まります。
ランサムウェア対策としては、VPN機器の適切な管理とセキュリティ強化が欠かせません。
リモートデスクトップ経由での侵入
テレワークの拡大に伴い、社外から社内のパソコンへアクセスする「リモートデスクトップ」を悪用したランサムウェア感染が増えています。
リモートデスクトップとは、離れた場所から社内のPCにアクセスし、あたかも手元にあるかのように遠隔操作できる仕組みです。これには「RDP(Remote Desktop Protocol)」という通信技術が用いられ、操作画面がネットワークを介して転送されます。
このRDPのセキュリティ設定が不十分な場合、攻撃者が脆弱性を突いたり、ID・パスワードを不正に入手することで社内ネットワークへ侵入し、ランサムウェアを展開するリスクが生じます。特に、推測されやすいパスワードの使用やアクセス制限の甘さが被害につながりやすいため、厳格なアクセス管理が求められます。
メール添付ファイル・リンクを悪用した感染
依然として根強い感染経路の一つが、メールを介したランサムウェアの拡散です。攻撃者は大手企業や行政機関を装い、信頼させたうえで添付ファイルを開かせたり、本文中のリンクをクリックさせたりして感染させようとします。
- 添付ファイル型:ファイルに直接ランサムウェアを仕込む、またはランサムウェアをダウンロードするマルウェアが含まれるケース。
- リンク型:本文中のURLをクリックすると、悪意あるWebサイトに誘導され、ランサムウェアが自動的にダウンロードされるケース。
これらの手口は年々巧妙化しており、件名・差出人・本文の文面などが実際の業務メールと酷似していることから、気づかずに開封してしまうリスクが高くなっています。日常的なメールの取扱いにおいても、細心の注意が必要です。
ランサムウェアに感染したらまずやるべきこと
このように、企業の端末がランサムウェアに感染したら、まずはどのように対処するべきでしょうか。
必要なステップを以下に示します。
ネットワークの切断
感染の疑いがある場合、何よりすぐに行うべきは、ランサムウェアに感染した端末をネットワークから切り離すことです。
同じネットワーク内の端末やシステムにも脆弱性がある場合は、接続したままだと次々にランサムウェアの感染が広がり、被害がさらに拡大します。
有線接続の場合はLANケーブルを抜く、無線接続の場合はWi-Fi設定をオフにし、影響範囲を確認の上、必要に応じてルーターの電源も落としておきましょう。
担当部署または担当者、専門機関に報告する
ランサムウェアは他の端末やシステムに被害を広げるため、まずは組織全体で感染状況を把握することが必須です。
至急、システム管理者やセキュリティ担当者へ報告しましょう。
このとき、ランサムウェアに感染した疑いのあるネットワークは決して利用しないようにしましょう。
安全性の高い代替の連絡ツールを、事前に組織で定めて周知しておくことが重要です。
感染の原因やランサムウェアの種類、感染状況を確認する
ランサムウェア被害を把握し、再発を防止するためにも、感染原因を特定することも必要です。
そのためには感染している端末だけでなく、その他デバイスやサーバも含めて調査しなければなりません。
そのためには各デバイスのログが必要となるため、バックアップデータと同様に、ログは外部のネットワーク環境に保存しておくことが望ましいでしょう。
合わせて警察署や各都道府県に設置されている「サイバー犯罪相談窓口」に相談し、独立行政法人 情報処理推進機構(IPA)にも一報を入れるようにしましょう。
IPAは、ウイルス感染被害の拡大や再発の防止、実態調査などを専門に行っている法人で、公式サイトからは届出のフォーマットがダウンロードできます。
警察署への報告時には、保存したログの情報を持参する必要があります。
初期化や再インストールなどにより原状回復する
感染した端末と切り離した環境にバックアップデータがあれば、端末を原状回復することできます。
まず感染した端末をクリーンインストール、つまり初期化した上で、バックアップデータを入れましょう。
被害が広範囲に及ぶ場合は、まず基幹システムや基幹インフラの原状回復から着手し、その次にクライアント端末に対処するといった優先順位で対応することが重要です。
原状回復が完了したら、データ流出の可能性がある全端末のアカウント情報やパスワード設定を変更し、さらなるセキュリティ強化に努めましょう。
感染したらやってはいけないこと
「ランサムウェアに感染したかも」と思うと、冷静な判断ができなくなりがちです。
以下に、感染を疑う場合に絶対にやってはいけないことを挙げておきますので、念頭に置いてください。
感染の疑いのある端末を再起動する
端末に不具合を感じると、まずは再起動を行うという方も多いことでしょう。
ですが、ランサムウェア感染の疑いがある場合、この行為は禁物です。
シャットダウンによって一時停止したデータの暗号化が、再起動により再開する恐れがあるためです。
暗号化の再開により、閲覧可能だったファイルまで閲覧できなくなる可能性もあるため、注意しましょう。
また、シャットダウンするならその前に端末のメモリ内容を保存しておかないと、ランサムウェアの検出が困難となります。
端末の再起動は行わずに、ネットワークからの切り離しに留めましょう。
感染後にデータのバックアップを取る
感染したと感じたら、作業中のファイルなどすぐにバックアップを取りたくなるかもしれません。
けれども、感染後にバックアップを取ると、感染した状態のデータを保存することになり、復旧後に再びランサムウェアに感染するリスクを高めてしまいます。
また、バックアップデータを他の端末に接続したり読み込ませたりすることにより、さらに感染を拡大させられる可能性もあります。
データのバックアップは感染してからではなく普段から、外部のネットワーク上にある環境で、定期的に行うようにしましょう。
専門機関に相談せず身代金を支払う
ランサムウェアに感染したら、身代金を支払っても、デバイスが復旧できる見込みはほぼないといってよいでしょう。
データの暗号化解除と引き換えに要求された身代金要求に応じたことで、窃取したデータを公開するといった「二重の脅迫」に遭うケースも多く報告されています。
こうした多重脅迫を防ぐためにも、まずはセキュリティの専門家や警察などに相談することが先決です。
まとめ
ランサムウェアの巧妙さは進化する一方であり、最新情報のキャッチアップは必須ですが、いまだにメールによるランサムウェア感染事例も多数報告されています。
担当部署による対策方法の検討に加え、従業員全員のセキュリティ対策意識を常に高く維持することも重要です。
当社の「標的型攻撃メール演習」というサービスは、社員のみなさまへの意識づけにおすすめです。
ご興味のある方はぜひお問い合わせからご検討ください。
また、日頃から自社のセキュリティ体制を見直し、社員へのセキュリティ意識を高める体制づくりも重要です。
具体的には、定期的なセキュリティ講習の実施、セキュリティ対策のマニュアル策定、社内での適切な情報共有などにより、社員の意識を高めるよう心がけましょう。
ISMS取得後の自社セキュリティ教育導入やその活用例については、以下の記事も合わせてご覧ください。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
