部分参考FROM insights
ランサムウェアの感染した時の3つの対処法
ランサムウェアの恐ろしさが把握できたところで、気になるのがランサムウェアに感染してしまったときの対処法です。
ここでは、ランサムウェアに感染したと分かったときにすぐに実践したい3つの対処法をご紹介します。どのような行動を取ればいいのか、ぜひ参考にしてみてください。
すぐにインターネットを切断する
ランサムウェアに感染していることが分かったら、すぐにインターネットや外部サーバーを切断しましょう。
インターネットに接続している限りパソコン上の情報が盗まれたり暗号化されたりする危険性があるのはもちろんのこと、インターネットやサーバー経由で他のパソコンにも被害が拡散していきます。
最小限で被害を食い止めるためにも、まずはランサムウェアに感染した端末をオフライン状態にして他のシステムから遠ざけてください。
データのバックアップを利用し復元できないか検討する
定期的にパソコンのバックアップを行っている場合は、ランサムウェアの攻撃によって暗号化されたデータがバックアップデータから復元できないか検討してみましょう。
「一般社団法人JPCERTコーディネーションセンター」の調査では、ランサムウェアの被害に遭った際バックアップデータを利用し復元したという意見が58%となり半数以上を占めています。
バックアップデータがある場合はランサムウェアしっかり駆除し、初期化やセキュリティ対策をしてからデータを取り込めば問題ないので比較的早く復旧できるでしょう。
ランサムウェアの感染経路や特定を試みる
ランサムウェアに感染した場合、
・どうして感染したのか
・どのようなランサムウェアに感染しているのか
が把握できないと、被害が継続したり再感染したりする可能性が考えられます。被害状況を正しく把握するためにも、専門家やベンダーと協力し早い段階から感染経路やランサムウェアの種類の特定を進めるようにしましょう。
ランサムウェアの種類によっては復号ツールを活用し、暗号化されたデータを元に戻せる場合もあります。
ランサムウェアの事例でもご紹介したようにランサムウェアの被害はとても恐ろしいものなので、「何とか自分で解決しよう」としないでできるだけ早く専門家に相談してみるのがおすすめです。
【慌ててしまい身代金を支払わないよう注意!】
日本ではまだまだ少ないですが、海外ではランサムウェアに感染したときに慌てて多額の身代金を支払ってしまうケースが後を絶ちません。
そもそもランサムウェアをばら撒いているのは悪質なハッカー集団などのグループなので、身代金を支払ったところで条件を満たしてくれるとは限りません。
身代金を請求する画面が表示された場合は内容を記録して、警察や専門家の指示を仰ぐようにしてください。
ランサムウェアに感染しないためにするべき対策4つ
ランサムウェアの被害に遭わないためには、日頃からの感染予防対策がとても大切です。
ここでは
・外部サイトへのアクセスを制限する
・ランサムウェアに感染しないために知識を共有する
・セキュリティソフトを導入する
・データのバックアップを行う
という4つのポイントをご紹介します。自社ではどれくらい対策ができているか、振り返ってみましょう。
外部サイトへのアクセス制限をする
ランサムウェアは、改ざんされたウェブサイトやウェブサイトの広告経由で感染する可能性があります。会社用のパソコンやタブレットで自由にウェブサイトを閲覧できる状態にしておくと、それだけでも感染リスクが高まります。
社内システムやパソコンの設定などで外部サイトへのアクセス制限を設けて、業務に必要なサイトのみ閲覧できるようにすることもランサムウェア対策の一つです。
例えば、
・業務用のパソコンやタブレットではイントラネット(組織用のプライベートなネットワーク)にしかアクセスしてはいけないと決める
・業務に関係のないサイトへのアクセスはできないようにする
・ウェブサイトからファイルをダウンロードする場合には、許可が必要
など誰もが自由にウェブサイトを閲覧できる状態にしないよう工夫してみてください。
セキュリティソフトによってはwebサイトの閲覧設定ができ、限定したサイトのみしか見られないようアクセスを限定することもできます。
外部サイトはランサムウェアの感染経路になりやすいため、パソコンやタブレットの利用状況に合わせて対策を取り入れましょう。
ランサムウェアに感染しないための知識共有をする
情報システム部や情報管理部のみが「ランサムウェアは恐ろしいものだ」と認識していても、社員一人一人のリテラシーが低いままではいつランサムウェアに感染してもおかしくありません。
2018年にランサムウェアに感染し大きな被害を受けた宇陀市立病院は、普段はインターネット接続をしていない環境だったのみかかわらず職員か嘱託職員がルールを守らないでインターネット接続してしまったことが感染原因だと述べています。
今や社員一人一人がパソコンや電子機器などの端末を所持し利用する時代なので、共通認識ができていないとそのすき間をくぐり抜けランサムウェアなどのウイルスが侵入してしまうのです。
誰もがランサムウェアに対して同じ認識を持つためにも
・パソコンなどインターネット経由で利用する端末にルールを設ける
・ランサムウェアを始めとするウイルス対策についての知識を共有する
・適切なウイルス対策ができているか定期的にチェックをする
・万が一ランサムウェアに感染した場合の対処法を共有する
などを実施し、同じルールや環境下でできるだけ安全にパソコンを利用できるようにしましょう。
セキュリティソフトを導入する
ランサムウェア対策には、セキュリティソフトの導入が欠かせません。社内で使用するパソコンや社内のデータを共有するパソコンには、すべて同じようにセキュリティ対策をするようにしましょう。
セキュリティソフトの導入で重要なのは、定期的に更新して常に新しい状態を維持することです。ランサムウェアの手口は年々複雑化し新たな手法が出てくるため、それに対応できるようにしなければなりません。
古いセキュリティソフトを過信し使用し続けると脆弱性をくぐり抜けて、ランサムウェアが侵入することは充分考えられます。専門家と相談したり最新のセキュリティ対策ソフトを比較検討したりして、常に新しいウイルスに対応できるような状態を維持するようにしましょう。
定期的なバックアップを実践する
定期的にデータのバックアップをしていれば、ランサムウェアの被害に遭ったとしても一部データを取り戻せる可能性があります。
先ほどもご紹介したように、ランサムウェアに感染した企業の58%がバックアップデータを使い暗号化されたデータを復元することに成功しています。
しかし、バックアップデータならどのようなものでもいいというわけでではありません。下記の3つのポイントからバックアップ方法を見直してみましょう。
- バックアップデータの保存先
バックアップデータを同じネットワーク上に保存していると、ランサムウェアに感染したときに拡散し同じように被害に遭う可能性があります。
ランサムウェアに感染したときに同じネットワークから隔離できるようなサーバーやクラウドに、保存先を設けることが好ましいです。
②バックアップデータの対象
サーバー内のデータの一部のみをバックアップしていても、いざというときに情報資産としてすべてのデータを守ることができません。
ランサムウェアに感染するとサーバー内のデータがすべて暗号化されてしまう、もしくはパソコン自体が開けなくなる可能性があるのでできるだけすべてのデータをバックアップすることをおすすめします。
③バックアップの頻度
バックアップの頻度が少ないと、ランサムウェアに感染したときに復旧できない部分が出てきてしまいます。
例えば、半年に1回しかバックアップしていない場合には、最悪5ヶ月分のデータが復旧できないかもしれません。できるだけ高頻度でバックアップをして、いざというときに備えるようにしましょう。
このように、ただ単にバックアップをするのではなく「保存先」や「バックアップの対象」「バックアップの頻度」に着目しながら運用してみてください。
まとめ
いかがでしたか?
ランサムウェアとはどのようなウイルスなのか把握でき、具体的な対策を検討できるようになったかと思います。
最後にこの記事の内容をまとめてみると
◎ランサムウェア(Ransomware)とは、近年世界中で被害が多発している身代金を要求するコンピュータウイルスの一種
◎ランサムウェアに感染することで起こる主な被害は次の5つ
1)ファイルの暗号化や拡張子の書き換えが行われて開けなくなる
2)パソコンやスマートフォンがロックされて使えなくなる
3)暗号化の開放やロック解除を条件に身代金を要求される
4)業務が一時的に停止する
5)サーバーパソコン内の個人情報や機密情報が流出する危険性がある
◎有名なランサムウェアの種類は次のとおり
|
名称 |
特徴 |
|
WannaCry(ワナクライ) |
windowsの脆弱性を利用して侵入しデータやファイルを暗号化して、身代金を要求。windows10以降を利用し脆弱性に対するセキュリティ対策を行うことで、被害が減ってきた。 |
|
TeslaCrypt(テトラクリプト) |
フィッシングメールやウェブサイト経由で侵入しァイル拡張子を「vvv」に変更身代金を要求するので、vvvウイルスとも呼ばれている。現在は暗号復号ツールやマスターキーが登場し、リスクが低下した。 |
|
CryptoWall(クリプトウォール) |
フィッシングメールやウェブサイト経由で侵入しファイル拡張子を「aaa」「abc」「zzz」などに変更、身代金を要求する。バージョンアップを続けており、注意が必要。 |
|
Bad Rabbit(バッドラビット) |
改ざんされたウェブサイトにアクセスすることで、不正なドライブがダウンロードされてしまう。ファイルが暗号化されるだけでなく、パソコン起動時の画面に「Bad Rabbit」と表示されて身代金を要求。 |
|
Oni(オニ) |
フィッシングメールやウェブサイト経由で侵入し、パソコンに遠隔操作ツールを仕込む。しばらくの間てデータやシステムを探索した後にファイル拡張子を「oni」に変更、身代金を要求する。日本を標的として作られたランサムウェアだという見解もある。 |
|
Locky(ロッキー) |
主にメールの添付ファイル経由で感染し、不正ファイルを開くことで感染。ファイル拡張子を「locky」や「zepto」などに変更、身代金を要求する。バージョンアップを続けており、注意が必要。 |
|
SNAKE(スネーク) |
2019年12月頃に登場した新しいランサムウェア。暗号化されたファイルの拡張子にSNAKEを逆さにした「EKANS」が表示されるので、EKANSウイルスとも呼ばれる。感染事例が少なく、標的を絞り計画的に感染させているという見解もある。 |
|
Maze(メイズ) |
2019年に登場した新しいランサムウェア。フィッシングメールやウェブサイト経由で侵入し、ファイルを暗号化する前に重要な情報を盗むところが特徴。身代金を要求したときに応じない場合は、情報を流出させるなどの恐ろしい手段に出る。 |
|
Ryuk(リューク) |
2018年頃登場したランサムウェアで、標的を絞って攻撃をしたいときに使われることが多い。主にメールの添付ファイル経由で感染し、不正ファイルを開くことで感染。それだけでなく、Wake-On-Lanを利用し電源が入っていないパソコンにも被害を及ぼし感染規模を拡大していく。 |
◎ランサムウェアの主な感染経路は次の4つ
1)メールお添付ファイルやメールに記載されているURLから感染
2)改ざんされたウェブサイトやウェブサイトの広告経由での感染
3)リモートデスクトッププロトコル経由での感染
4)USBやSDカードなどの記憶媒体経由での感染
◎国内でのランサムウェア感染被害は次の3つ
|
企業名 |
特徴 |
|
ホンダ自動車 |
ランサムウェア「SNAKE」による大規模な被害で、国内外の工場の約3割が一時的に停止 |
|
アイカ工業 |
自社サイトが改ざんされて「Bad Rabbit」を拡散するための踏み台として悪用され、自社サイトが約1ヶ月停止 |
|
株式会社日立製作所 |
ランサムウェア「WannaCry」が侵入し、メールの送受信ができないなどのシステム障害が発生 |
◎ランサムウェアに感染した場合の対処法は次の3つ
1)ランサムウェアに感染したパソコンをオフラインにして隔離する
2)データのバックアップを利用し復元できないか検討する
3)ランサムウェアの感染経路や特定を試みる
※間違っても身代金の要求に応じないよう、冷静に行動する
◎ランサムウェアに感染しないための対策は次の4つ
1)自由にインターネットアクセスができないよう、外部サイトへのアクセスを制限する
2)ランサムウェアに感染しないために知識を共有する
3)最新のセキュリティソフトをすべてのサーバーやパソコンに導入する
4)定期的にデータのバックアップを行う
この記事をもとにランサムウェアに感染しないよう、適切な対策を取りながら業務ができるようになることを願っています。
以前の記事もチェック
【中編】ランサムウェアとは?分かりやすく解説|感染経路や具体的な予防策
