ランサムウェアに感染したらどうする? ― 中小企業のインシデント対応マニュアル
ランサムウェアの被害は、もはや大企業だけの問題ではありません。警察庁の統計によると、ランサムウェアの被害件数のうち約半数が中小企業です。「うちは狙われない」という考えは通用しなくなっています。
本記事では、ランサムウェアに感染した場合の対応手順を、中小企業のIT担当者が即座に実行できるフローとして整理しました。感染前に読んでおくことで、有事の際に冷静な判断ができるようになります。
感染を疑うべき兆候
以下の症状が1つでも該当する場合、ランサムウェア感染を疑ってください。
- デスクトップに身代金要求のメッセージが表示された
- ファイルの拡張子が見慣れないものに変更されている(例:.docx → .locked)
- ファイルを開こうとするとエラーになる
- PCの動作が急激に重くなった
- 共有フォルダのファイルが次々と暗号化されている
フェーズ1:初動対応(感染発覚から30分以内)
ステップ1:ネットワークからの切断
感染が疑われるPCを直ちにネットワークから切断します。有線LANケーブルを抜き、Wi-Fiをオフにしてください。電源は切らないでください(証拠保全のため、メモリ上のデータが必要になる場合があります)。
ランサムウェアはネットワーク経由で他のPCや共有フォルダに感染を広げます。被害の拡大を防ぐために、ネットワーク切断が最優先です。
ステップ2:被害範囲の初期確認
感染が疑われるPC以外にも被害が及んでいないかを確認します。共有フォルダ(ファイルサーバー、SharePoint、NAS)のファイルが暗号化されていないか、他の社員のPCに同様の症状が出ていないかを迅速に確認してください。
広範囲に感染が拡大している場合は、社内ネットワーク全体を一時的に遮断する判断も必要です。
ステップ3:経営層への第一報
「ランサムウェアに感染した可能性がある」ことを経営層に即座に報告します。この段階では詳細な分析は不要で、「何が起きたか」「現在の対応状況」「今後の見通し」の3点を簡潔に伝えてください。
フェーズ2:被害の特定と封じ込め(30分〜数時間)
ステップ4:ランサムウェアの種類を特定する
身代金要求のメッセージや暗号化されたファイルの拡張子から、ランサムウェアの種類を特定します。ID Ransomware(https://id-ransomware.malwarehunterteam.com)というサービスに、暗号化されたファイルや身代金要求メッセージをアップロードすることで、種類を特定できる場合があります。
種類が特定できれば、No More Ransom(https://www.nomoreransom.org)で無料の復号ツールが提供されていないか確認してください。
ステップ5:感染経路の特定
どこから感染したかを可能な範囲で特定します。一般的な感染経路はフィッシングメールの添付ファイル/リンク、VPN機器の脆弱性(特にFortiGateのSSL VPN)、リモートデスクトップ(RDP)の不正アクセス、Webサイト経由のドライブバイダウンロードです。
感染経路を特定することで、同じ経路からの再感染を防ぐ措置を講じられます。
ステップ6:他のシステムへの影響を確認
メールシステム、業務システム(会計、販売管理等)、バックアップデータが無事かを確認します。特にバックアップデータが暗号化されていないかの確認は極めて重要です。
フェーズ3:報告・届出(24時間以内)
ステップ7:警察への届出
ランサムウェア被害は犯罪です。管轄の都道府県警察のサイバー犯罪相談窓口に届け出てください。届出は義務ではありませんが、捜査への協力により他の企業への被害拡大防止にもつながります。
ステップ8:個人情報保護委員会への報告(個人データの漏えいが疑われる場合)
2022年4月施行の改正個人情報保護法により、個人データの漏えい等が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されています。ランサムウェア感染により個人データが外部に流出した可能性がある場合は、速報を72時間以内、確報を30日以内に報告する必要があります。
ステップ9:取引先・顧客への通知(必要な場合)
取引先の情報や顧客データが漏えいした可能性がある場合は、速やかに通知します。通知のタイミングと内容は、弁護士と相談の上で判断してください。
フェーズ4:復旧(数日〜数週間)
ステップ10:バックアップからの復元
サードパーティのバックアップ(Veeam、AvePoint等)からデータを復元します。復元前に、バックアップデータ自体がランサムウェアに感染していないことを必ず確認してください。
バックアップがない場合は、No More Ransomの復号ツール、またはセキュリティベンダーへの相談を検討します。
ステップ11:クリーンな環境の再構築
感染したPCは、OSの再インストール(クリーンインストール)を行います。ランサムウェアの残存を完全に排除するためです。Windows Autopilotを導入済みであれば、クリーンインストール後の再設定を自動化できます。
ステップ12:段階的な業務復旧
ネットワーク接続の復旧は段階的に行います。すべてのPCを一斉に接続するのではなく、重要業務から順に接続を再開し、異常がないことを確認しながら範囲を広げてください。
身代金は支払うべきか
原則として、身代金の支払いは推奨しません。理由は以下のとおりです。
- 支払っても復号キーが提供されない場合がある
- 支払いが犯罪組織の資金源となり、さらなる攻撃を助長する
- 「支払う企業」として認識され、再度の攻撃対象になるリスクがある
- 米国OFAC規制により、制裁対象国の犯罪者への支払いは法的リスクを伴う
ただし、バックアップがなく、事業継続に不可欠なデータが暗号化された場合など、経営判断として支払いを検討せざるを得ないケースもあります。その場合は、必ず弁護士とセキュリティの専門家に相談した上で判断してください。
サイバー保険の活用
サイバー保険に加入していれば、以下の費用が補償される可能性があります。
- フォレンジック調査費用(100〜500万円程度が相場)
- データ復旧費用
- 事業中断による逸失利益
- 取引先・顧客への損害賠償
- 弁護士費用
- 広報・危機管理対応費用
中小企業向けのサイバー保険の年間保険料は、年間10〜50万円程度です。ランサムウェア被害の平均被害額が2,386万円(JNSA調査)であることを考えると、十分に合理的な投資です。
再発防止策
技術的対策
- EDR(Endpoint Detection and Response)の導入
- MFA(多要素認証)の全社展開
- VPN機器のファームウェア更新と脆弱性管理
- RDPの外部公開を停止
- メールセキュリティの強化(添付ファイルのサンドボックス検査)
- サードパーティバックアップの導入と定期的な復元テスト
組織的対策
- インシデント対応手順書の整備
- 全社員向けフィッシングメール訓練(年2回以上)
- インシデント対応訓練(年1回の机上演習)
まとめ
ランサムウェアへの最善の対策は「感染しないこと」ですが、100%の防御は不可能です。重要なのは、感染した場合に被害を最小化し、速やかに復旧するための準備を事前に行っておくことです。
情シス365のSecurity365(セキュリティ運用)では、EDRの導入・監視からインシデント対応支援、再発防止策の策定までをワンストップでサポートしています。「自社のランサムウェア対策が十分か確認したい」という方は、無料ヒアリングからどうぞ。