ここ数年で、国内外問わずランサムウェアの被害が増えています。その攻撃対象は大企業だけでなく、広く中小企業にまで及んでいるのが現状です。ところが中小企業は、セキュリティ対策が不十分になりがちなのも事実。
そこで、この記事では
・ランサムウェアについて確認
・感染したらどのような症状が現れるか
・感染したらまずやるべきこと
・感染したらやってはいけないこと
という点について解説します。
この機会に、自社のセキュリティ体制を見直したいという方には、ISMSの取得もサポートしております。
ISMSを取得するメリットや取得までの流れについては、以下の記事をご覧ください。
目次
ランサムウェアについて確認
ランサムウェアのここ数年における被害状況については、耳にしたことがある方も多いことでしょう。
システムの正常な動作を阻害したり、情報や金銭を窃取したりという目的をもつ、悪意ある(malicious)ソフトウェア(software)を「マルウェア(malware)」と呼ぶのは有名ですね。
ランサムウェア(ransomware)とはそのマルウェアの一種で、システムを暗号化するなどして使用不能にし、制限を解除するために身代金(ransom)を要求するソフトウェア(software)のことを指します。
企業や団体など組織の端末がランサムウェアに感染すると、端末がロックされたりファイルが暗号化されたりして使用不能になるため、業務が機能しなくなります。
またランサムウェアの手口の怖いところは、その名のとおり「身代金の要求を主目的としていること」です。
データを人質に身代金を要求するだけでなく、重要な情報を窃取して「身代金を支払わなければ情報を公開する」「取引先に公開する」など、二重三重にも及ぶ脅迫が特徴です。
つまり、企業活動の妨害だけでなく、関連企業や取引先などのステークホルダーにも多大な損害を与える可能性があり、中小企業にこそダメージの大きい攻撃ともいえます。
ランサムウェアについての詳しい解説や感染経路、その対策などについては、以下の記事でご確認ください。
またランサムウェアによる攻撃については、新型コロナウイルス感染症拡大防止対策のためリモートワークが広まった2020年ごろから、特定の企業や公的機関などに絞った「標的型攻撃」が増加しています。
「標的型攻撃」については以下の記事で詳しく解説していますので、合わせてご覧ください。
ランサムウェアに感染したらどのような症状が現れるか
まず、ランサムウェアに感染したらどのような症状が現れるかを理解しておきましょう。
データが暗号化される
感染した端末内の保存データが次々と暗号化されます。
パスワードが変更されたり、画面がロックされたりする
勝手にパスワードが変更されたり、画面がロックされたりして、データそのものにアクセスができなくなります。
警告画面が表示される
データにアクセスしようとすると、身代金を要求する警告画面が現れます。
隣接する他のデバイスやシステムに感染が広がる
同一ネットワーク内の端末にも脆弱性がある場合そこからマルウェアが侵入し、感染が次々に広がってしまいます。
ランサムウェアに感染したらまずやるべきこと
このように、企業の端末がランサムウェアに感染したら、まずはどのように対処するべきでしょうか。
必要なステップを以下に示します。
ネットワークの切断
感染の疑いがある場合、何よりすぐに行うべきは、ランサムウェアに感染した端末をネットワークから切り離すことです。
同じネットワーク内の端末やシステムにも脆弱性がある場合は、接続したままだと次々にランサムウェアの感染が広がり、被害がさらに拡大します。
有線接続の場合はLANケーブルを抜く、無線接続の場合はWi-Fi設置をオフにし、ルータの電源も落としておきましょう。
担当部署または担当者、専門機関に報告する
ランサムウェアは他の端末やシステムに被害を広げるため、まずは組織全体で感染状況を把握することが必須です。
至急、システム管理者やセキュリティ担当者へ報告しましょう。
このとき、ランサムウェアに感染した疑いのあるネットワークは決して利用しないようにしましょう。
安全性の高い代替の連絡ツールを、事前に組織で定めて周知しておくことが重要です。
感染の原因やランサムウェアの種類、感染状況を確認する
ランサムウェア被害を把握し、再発を防止するためにも、感染原因を特定することも必要です。
そのためには感染している端末だけでなく、その他デバイスやサーバも含めて調査しなければなりません。
そのためには各デバイスのログが必要となるため、バックアップデータと同様に、ログは外部のネットワーク環境に保存しておくことが望ましいでしょう。
合わせて警察署や各都道府県に設置されている「サイバー犯罪相談窓口」に相談し、独立行政法人 情報処理推進機構(IPA)にも一報を入れるようにしましょう。
IPAは、ウイルス感染被害の拡大や再発の防止、実態調査などを専門に行っている法人で、公式サイトからは届出のフォーマットがダウンロードできます。
警察署への報告時には、保存したログの情報を持参する必要があります。
初期化や再インストールなどにより原状回復する
感染した端末と切り離した環境にバックアップデータがあれば、端末を原状回復することできます。
まず感染した端末をクリーンインストール、つまり初期化した上で、バックアップデータを入れましょう。
被害が広範囲に及ぶ場合は、まず基幹システムや基幹インフラの原状回復から着手し、その次にクライアント端末に対処するといった優先順位で対応することが重要です。
原状回復が完了したら、データ流出の可能性がある全端末のアカウント情報やパスワード設定を変更し、さらなるセキュリティ強化に努めましょう。
感染したらやってはいけないこと
「ランサムウェアに感染したかも」と思うと、冷静な判断ができなくなりがちです。
以下に、感染を疑う場合に絶対にやってはいけないことを挙げておきますので、念頭に置いてください。
感染の疑いのある端末を再起動する
端末に不具合を感じると、まずは再起動を行うという方も多いことでしょう。
ですが、ランサムウェア感染の疑いがある場合、この行為は禁物です。
シャットダウンによって一時停止したデータの暗号化が、再起動により再開する恐れがあるためです。
暗号化の再開により、閲覧可能だったファイルまで閲覧できなくなる可能性もあるため、注意しましょう。
また、シャットダウンするならその前に端末のメモリ内容を保存しておかないと、ランサムウェアの検出が困難となります。
端末の再起動は行わずに、ネットワークからの切り離しに留めましょう。
感染後にデータのバックアップを取る
感染したと感じたら、作業中のファイルなどすぐにバックアップを取りたくなるかもしれません。
けれども、感染後にバックアップを取ると、感染した状態のデータを保存することになり、復旧後に再びランサムウェアに感染するリスクを高めてしまいます。
また、バックアップデータを他の端末に接続したり読み込ませたりすることにより、さらに感染を拡大させられる可能性もあります。
データのバックアップは感染してからではなく普段から、外部のネットワーク上にある環境で、定期的に行うようにしましょう。
専門機関に相談せず身代金を支払う
ランサムウェアに感染したら、身代金を支払っても、デバイスが復旧できる見込みはほぼないといってよいでしょう。
データの暗号化解除と引き換えに要求された身代金要求に応じたことで、窃取したデータを公開するといった「二重の脅迫」に遭うケースも多く報告されています。
こうした多重脅迫を防ぐためにも、まずはセキュリティの専門家や警察などに相談することが先決です。
まとめ
ランサムウェアの巧妙さは進化する一方であり、最新情報のキャッチアップは必須ですが、いまだにメールによるランサムウェア感染事例も多数報告されています。
担当部署による対策方法の検討に加え、従業員全員のセキュリティ対策意識を常に高く維持することも重要です。
当社の「標的型攻撃メール演習」というサービスは、社員のみなさまへの意識づけにおすすめです。
ご興味のある方はぜひお問い合わせからご検討ください。
また、日頃から自社のセキュリティ体制を見直し、社員へのセキュリティ意識を高める体制づくりも重要です。
具体的には、定期的なセキュリティ講習の実施、セキュリティ対策のマニュアル策定、社内での適切な情報共有などにより、社員の意識を高めるよう心がけましょう。
ISMS取得後の自社セキュリティ教育導入やその活用例については、以下の記事も合わせてご覧ください。
ISMS取得・更新のご相談ならオプティマ・ソリューションズへ!
弊社は創業後の20年間で3,500件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではISMS認証の取得・更新をする以上に、御社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからISMS認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談ください。
