ランサムウェアとは、マルウェアの一種で、身代金を意味する「Ransom」と「Software」を組み合わせた造語です。
ファイルを暗号化して利用不可な状態にして、元に戻すことと引き換えに金銭を要求する悪質なマルウェアのことを指します。
身代金を支払わなければ盗んだデータを公開すると脅迫する脅迫型のランサムウェアも流行しています。
数年前には「WannaCry」というランサムウェアが世界中に膨大な被害をもたらしました。
多くの企業が操業停止に追い込まれて業務に支障が出たり、イギリス国営の医療サービス事業は診療や手術ができなくなるといった事態にまで発展しました。
ランサムウェアによって暗号化されたファイルを元に戻すことは困難であり、身代金を支払ったところで元に戻る保証もありません。
適切なセキュリティ対策を行うことでランサムウェアの感染を防ぐことが重要ですが、もしランサムウェアに感染したらどう対応すべきかを解説します。
ランサムウェアに感染したらネットワークから切り離す!
ランサムウェアの感染が発覚した時点ですぐにネットワークから切り離しましょう。
ひとつの端末が感染することで、同じネットワークに接続している他の端末までランサムウェア感染が広がってしまう危険性があるためです。
迅速にネットワークから切り離すことができれば、被害拡大を抑えることができます。
また、まだ暗号化の最中だった場合には、暗号化の進行を防ぐことができる可能性もあります。
有線LAN接続の場合はLANケーブルを抜き、Wi-Fi接続の場合はWi-Fi機能をオフにするなど、迅速にネットワークの切断を行ってください。
ランサムウェア対応の基本的な流れ
ランサムウェアの感染が発覚した場合に自力でのランサムウェア対応の基本的な流れをご説明いたします。
- 感染した端末をネットワークから切り離す
- セキュリティソフトでランサムウェアを除去する
- バックアップやオンラインストレージからファイルの復元を試みる
- ボリュームシャドウコピーで復元を試みる
- ランサムウェアの種類を特定する
- 復号ツールでファイルの復元を試みる
以上の対応を実施しても改善しない場合は専門家に相談してみることをおすすめします。
ランサムウェアに感染したらしてはいけない行為
ランサムウェアに感染したら、絶対にしてはいけない行為を紹介します。
もしこれらをやってしまうと、改善どころか事態が悪化しかねないため、十分に注意するようにしてください。
PCの再起動
「PCの調子が悪くなった場合にはとりあえず再起動」という方はたくさんいらっしゃると思います。
しかし、ランサムウェアの感染後の再起動は厳禁です。
仮にパソコンを強制終了させた場合、暗号化は止まりますが、電源オンした瞬間に止まっていた暗号化が再開されてすべてのファイルが見られなくなるケースがあるため、注意してください。
要求された金銭を支払わない
ランサムウェアは、勝手にファイルを暗号化して「元に戻してほしかったらお金を支払いなさい。」という要求をしてきます。
感染したことに慌てて言われるがままに要求された金銭を支払うことは絶対にやめてください。
身代金を支払うことで本当にデータが復旧する保証はどこにもありません。
業務に支障が生じる場合などに、早期解決を求めて身代金を支払う企業も少なからず存在し、実際に支払うことで解除されるケースもありますが、一部しか解除されなかったり、全く解除されないというケースもあるため、安易に支払うことはやめましょう。
また、支払う人がいることで「やっぱりランサムウェアは儲かる」と犯人がランサムウェア犯罪を継続するきっかけすら与えてしまいかねません。
感染後にバックアップを取らない
ランサムウェア感染後にファイルのバックアップを取ることで、バックアップ先にある別のファイルも暗号化されてしまうケースがあるため、感染後のバックアップは厳禁です。
いざというときに慌てないためにも、オンラインストレージなど、PC以外へのバックアップを普段から定期的にとることが重要です。
ランサムウェアに感染したらしておきたいこと
ランサムウェアに感染すると、ファイルを復号できるカギは犯人がもっているため、犯人以外が復旧することは困難です。
しかし、場合によっては元に戻せる可能性もあるため、諦めずにトライしてみましょう。
ランサムウェアに感染したらしておきたいことをいくつかご紹介いたします。
感染した端末をネットワークから切り離した上で試してみてください。
セキュリティソフトでランサムウェアを除去する
セキュリティソフトでハードディスクのチェックをかけることでランサムウェアを検知するかどうか試してみましょう。
セキュリティソフトが対応していれば、そのままランサムウェアを駆除できるケースもあります。
バックアップやオンラインストレージからファイルの復元を試みる
一度暗号化されてしまったファイルを復号化することは難しいため、いっそ諦めてしまうことも選択肢のひとつです。
別媒体やオンラインストレージにバックアップを取っている場合に限りますが、バックアップからファイルを戻すだけで解決することができます。
ボリュームシャドウコピーで復元を試みる
Windowsの場合、標準でボリュームシャドウコピーが可能な機能である「システムの復元」機能が有効になっています。
ボリュームシャドウコピーとは、システム復元ポイント時点でのファイルの復元を行うことができる機能です。
この「システムの復元」を使ってボリュームシャドウコピーを実施してみましょう。
復元ポイントが作成されていなければ使えませんが、WindowsPCの場合は復元ポイントを確認し、実際にシステムの復元を実施して元に戻るか試してみましょう。
ランサムウェアの種類を特定する
ランサムウェアの種類によっては、解除ツールが配布されている場合があります。
適切な解除ツールを探すためにも、まずはランサムウェアの種類を特定することが重要です。
ランサムウェアの情報収集や情報提供を行っているサイトを活用しましょう。
「ID Ransomware」や「No More Ransom」というサイトでは、身代金要求ファイルや暗号化されたファイルをアップロードするとランサムウェアの種類を特定して教えてくれるサービスが提供されています。
また、解除可能なツールが存在する場合にはツールの場所の提供もしてくれます。
復号ツールでファイルの復元を試みる
復号ツールを使用することにより、ランサムウェアで暗号化されてしまったファイルの復号を行うことができます。
復号ツールは「ID Ransomware」や「No More Ransom」で探すことができるほか、トレンドマイクロやマカフィーなどのセキュリティベンダーでもランサムウェアに対応した復号ツールを配布しているため、利用してみてください。
使用方法は画面にしたがって暗号化されたファイルを選択するだけのシンプルなものであることが多いため、気軽に試してみることが可能です。
ランサムウェアの種類を選択する必要がある場合があるため、事前にランサムウェアの種類を特定しておく必要があります。
専門家への相談
あらゆる方法を試したものの解決しない場合には専門家に相談してみましょう。
セキュリティベンダーやデータ復旧業者、原因の特定から暗号化されたデータの復旧まで行ってくれる「フォレンジック調査」など、外部の専門家に依頼することで被害を最小限に抑えつつ復旧できる可能性があります。
なお、専門家にPCを持ち込む際には、自分で電源をONにしないように気を付けてください。
ランサムウェアの感染に備えてバックアップを用意しよう
ランサムウェアは個人にとっても、企業にとっても大変脅威なマルウェアです。
感染してファイルが暗号化されてしまうと、復旧コストがかかってしまったり、大事なファイルを失ってしまう可能性があります。
「バックアップからファイルを戻す」ことは、万が一、暗号化された時に一番簡単に復旧できる方法のひとつです。
オンラインストレージなどに定期的にバックアップを取ることで、ランサムウェアのリスク対策となります。
オンラインストレージ「セキュアSAMBA」はアクセス経路とファイルが全て暗号化されるため、セキュリティも強固で安心して利用することができます。
安全なデータ共有やバックアップ手段として無料から使えるセキュアSAMBAをお試しください。