ランサムウェアに感染した会社が失敗する対応【9選】

 

関連記事：ランサムウェア 身代金を支払うとデータを取り戻せるのか？【成功率を公開！？】

 

ランサムウェアに感染した企業にとって、早期の業務再開は存続をかけた重要課題です。

しかしながら再開を急ぐあまり、対応に失敗する例も見受けられます。

本記事ではランサムウェアからの早期復帰を目指す企業が陥りやすい落とし穴についてご説明いたします。

 

 

 

ランサムウェアとは？

 

ランサムウェアとは、コンピューターウイルスの一種で、

感染したコンピューターのファイルを暗号化し、

ファイルの復号化に必要な鍵を所有者に要求する悪意のあるソフトウェアのことを指します。

企業にとってランサムウェアは、重大な問題となります。

感染すると、企業の重要なデータやファイルが暗号化され、

復号化に必要な鍵を取得するには金銭の支払いが必要と、犯罪者から要求されます。

このような攻撃によって、企業は大量の機密情報を失い、

ビジネスの継続性が損なわれる可能性があります。

さらに、ランサムウェア攻撃は、企業のITシステムを破壊し、

業務の中断や、復旧にかかる時間やコストを引き起こすことがあります。

そのため、企業側はランサムウェア攻撃に対するセキュリティ対策を強化しておくことが重要です。

 

 

ランサムウェアの侵入経路？

 

ランサムウェアの侵入経路はさまざまで、

以下のような方法でコンピューターシステムに侵入することがあります。

 

フィッシング攻撃：

ランサムウェアは、添付ファイルやリンクを含むフィッシングメールの形で配信されることがあります。

メールを開いたり、リンクをクリックしたり、添付ファイルを開いたりすると、

コンピューターシステムにランサムウェアが侵入する可能性があります。

 

ソフトウェアの脆弱性：

ランサムウェアは、既知のソフトウェアの脆弱性を利用して、

コンピューターシステムに侵入することがあります。

これらの脆弱性は、通常、ソフトウェアの更新やパッチを適用することで修正できます。

 

不正な広告：

ランサムウェアは、不正な広告をクリックするとコンピューターシステムに侵入することがあります。

このような広告は、しばしば不正なウェブサイトや不正な広告ネットワークで見つかります。

 

リモートデスクトップ：

リモートデスクトップサービスは、ランサムウェア攻撃の対象になる可能性があります。

悪意のあるアクターは、リモートデスクトップサービスにアクセスすることで、

システムに侵入し、ランサムウェアを実行することができます。

 

USBドライブ：

USBドライブを介して、ランサムウェアはオフラインのコンピューターシステムに侵入することができます。

攻撃者は、USBドライブにランサムウェアを保存し、

不正な意図を持つ人物に渡すことで、システムに侵入することができます。

 

ランサムウェア攻撃を防ぐために、企業は、セキュリティソフトウェアを導入し、

社員にセキュリティトレーニングを提供することが重要です。

また、ソフトウェアの更新やパッチを適用し、不正なリンクや添付ファイルに注意を払うことも必要です。

 

 

ランサムウェアに感染するとどうなる？

 

ランサムウェアに感染すると、以下のようなことが起こる可能性があります。

 

ファイルの暗号化：

ランサムウェアは、感染したコンピューターのファイルを暗号化し、ファイルのアクセスを拒否します。

ファイルは、ユーザーが復号化に必要な鍵を取得するまで、完全に利用できなくなります。

 

支払いの要求：

ランサムウェア攻撃者は、ファイルの復号化に必要な鍵を所有しており、

この鍵を取得するために、被害者に金銭的な報酬を要求することがあります。

この報酬は、ビットコインや他の暗号通貨で支払われることが多く、

被害者が支払うと、鍵が提供されることがあります。

 

システムの破壊：

ランサムウェアは、コンピューターシステムを破壊することがあります。

システムに損害を与えることで、攻撃者は被害者により高額な報酬を要求することができます。

 

機密情報の漏洩：

ランサムウェアは、企業の機密情報を漏洩することがあります。

攻撃者は、ファイルを暗号化する前に、それらを盗み取ることがあります。

これにより、攻撃者はファイルを復号化する必要がなくなり、企業に報酬を要求することができます。

 

 

 

ランサムウェアに感染した場合の対応方法は？

 

ランサムウェアに感染した場合、以下の手順で対応することが推奨されます。

 

感染したコンピューターを隔離する：

感染したコンピューターをすぐにネットワークから隔離し、他のシステムが感染しないようにします。

また、感染したコンピューターに接続されたすべてのデバイスを切断することが重要です。

 

バックアップを復元する：

バックアップを作成しており、感染前の状態を復元することができる場合は、それを行います。

バックアップがない場合は、一度当社へご相談下さい。データ復元へ向けて取りうる手段をお調べいたします。

 

ランサムウェアの種類を特定する：

感染状況の特徴から、感染したランサムウェアの種類を特定し、

そのランサムウェアによって攻撃が予想される範囲を想定し、その範囲の感染状況を調査します。

それらの作業が自身で難しい場合は、セキュリティ企業に連絡し、復旧へ必要な支援を求めます。

 

支払いはしない：

攻撃者が要求する金銭的な報酬を安易に支払わないでください。

支払いをおこなうことにより更なる被害者を生む原因となることは、倫理上好ましくありません。

しかしながら、企業にとって死活問題となると支払うことを検討せざるを得ない場合もあるかと思います。

ただ、支払えば必ずデータが戻るという保証はどこにもありません。

リスクを十分検討頂くことをお勧めいたします。

 

セキュリティ企業に連絡する：

セキュリティ企業に連絡し、復旧に必要な支援を受けます。

セキュリティ上の脆弱性を特定し、同様の攻撃が再発するのを防止するために、

ネットワークやシステムを改善するアドバイスの提供を受ける事ができるかと思います。

 

セキュリティ対策の見直し：

ランサムウェアに感染した場合は、セキュリティ対策を見直すことが重要です。

これには、セキュリティソフトウェアの更新、パッチの適用、強力なパスワードの設定、

バックアップの定期的な実施などが含まれます。

しかしながらランサムウェアによってバックアップごと破壊されるケースも多く、

ランサムウェアに対応可能なバックアップ体制が必要です。

 

ランサムウェアに感染後、対応に失敗した例

 

それでは本題の、ランサムウェア感染後の対策に失敗した例をご説明いたします。

①ネットワークを切断しなかったため、感染が拡がった

感染後、早い段階で気づいていたにも関わらず、ネットワークの切断を徹底しなかったため、

接続状態だった未感染端末まで感染し、被害が拡大した事例があります。

感染が判明した際はできるだけ早く、かつ、広範囲に電源の切断とネットワークからの隔離が重要です。

 

②侵入経路の防止対策が不十分だったため、1か月後に再感染した

感染後、侵入経路の特定は大きな課題のひとつとなりますが、明確な答えを得ることは難しいのが実情です。

安易な思い込み（例えば『メールの添付ファイルが原因だろう』と決めつける）で

侵入経路の対策が不十分だったために、後日再感染した例がございます。

侵入経路については、原因を100%特定することよりも、ある程度以上の脅威になりえる経路については、

すべて事前に対応しておくことが重要です。

 

③パスワードの変更が不十分だったため、メールやWebサイトが乗っ取られた

感染後、PCの初期化と再設定はおこなったが、使用していたメールアカウントが漏れていたため、

なりすましメールの被害に遭った例や、Webサイトのログインパスワードが漏れていたため、

会社のWebサイトが改ざんされてしまった例があります。

どちらも取引先やサイト来訪者へ攻撃をするための踏み台にされたことにより、

会社の信用を堕とす結果となりました。

 

④バックアップHDDを再接続時にバックアップも暗号化されてしまう

起動していたサーバーやPCはすべて感染し、ファイルを暗号化されたのですが、

数か月前にバックアップしたデータが取り外していた外付けHDDに残っている可能性がありました。

外付けHDDからデータを戻そうとPCに接続したとたん、

外付けHDD無いのデータがすべて暗号化されてしまいました。

 

⑤システムを構築したベンダーの保守が切れていたため再構築ができない

感染したシステムを初期化して再構築をおこないたいが、

保守契約が切れているため、システム構築時の設定情報などがわからず、

システムの再構築を依頼することができなかった。

 

⑥ウイルスの駆除が不十分だったため、業務再開後に再び感染した

市販のソフトでウイルスの駆除をおこなってから業務を再開したが、

なんらかのウイルスが残っていたのか、業務再開後に再びランサムウェアに感染した。

 

⑦関係取引先への報告が不十分だったため取引関係が悪化した

取引先には感染時に報告をおこなったが、以降の報告が不十分だったため、

業務再開の目途が取引先側から見えず、取引先との関係が不安定になった。

 

⑧事前に対応手順の検討がなされていないため方針の決定に多くの時間を要した

感染時のシミュレーションがなされていないため、

優先順位や取りうる選択し、発生するリスクなどの検討に時間を要し、

業務停止による損害が長期化した。

 

⑨再度感染しないための対策を徹底したいが、どうすればいいかわからない

感染後に再度感染しないための対策を検討するが、

どういった対策が自社に最適かがわからず、勧められるままUTMを購入したが、

今度はそのUTMが原因でランサムウェアに感染した。

 

以上9パターンの失敗例をまとめてみました。

 

ランサムウェアには多種多様な種類がありますが、

業務復旧までの道のりはどの場合も大きく変わりません。

ただ、なかなか被害企業単体ではその対応は難しく、

どうすればいいのかわからない事柄も多く出てくるかと思います。

そういった際にはセキュリティの専門家にご相談いただき、

方針決定のアドバイスを貰うといいでしょう。

 

ご参考

以下に、一般的なランサムウェアの種類をいくつか挙げてみます。

 

Cryptoランサムウェア：

ファイルを暗号化し、復号化するための鍵を支払わないと復元できないようにするものです。

代表的なものに、WannaCry、Petya、Lockyがあります。

 

スクリーンロックランサムウェア：

コンピューター画面をロックし、支払いを行わないとアクセスできないようにするものです。

代表的なものに、FBI Moneypak、Reveton、Urausyがあります。

 

マルウェア攻撃を行うランサムウェア：

システム内にマルウェアをインストールし、支払わないとマルウェアの攻撃を継続すると脅迫するものです。

代表的なものに、TeslaCrypt、Jigsawがあります。

 

モバイルランサムウェア：

モバイルデバイス上で動作し、SMSの送信やモバイルアカウントのブロックなどを行い、

支払わないと元に戻さないようにするものです。

代表的なものに、Android.Lockscreen、Kolerがあります。

 

ストレージランサムウェア：

ストレージ装置を暗号化し、支払いを行わないとデータにアクセスできないようにするものです。

代表的なものに、SynoLockerがあります。

 

RaaS（ランサムウェア・アズ・ア・サービス）：

攻撃者が簡単にランサムウェアを作成できるように、ツールやサポートを提供するサービスです。

代表的なものに、Tox、Radamantがあります。

 

最近被害の多いランサムウェアの一覧

 

Ryuk:

2018年に初めて出現し、金融機関やヘルスケア機関を中心に被害が報告されています。

 

REvil/Sodinokibi:

2019年に出現し、昨年の夏には米国のIT企業Kaseyaを含む多数の企業に攻撃を仕掛け、

多大な被害をもたらしました。

 

DoppelPaymer:

ランサムウェア攻撃グループ「TA505」が使用することで知られており、

2020年から2021年にかけて、多数の企業や政府機関を標的に攻撃を行いました。

 

Maze:

2019年に登場し、暗号化されたファイルを公開する「ダブルエクスタクション」と

呼ばれる手法を使って被害を広げていました。

 

Conti:

2020年から出現し、旅行会社や大学など、様々な業種に被害をもたらしています。

 

LockBit:

2021年に大幅なアップグレードを行い、Ransomware-as-a-Service（RaaS）として

提供されるようになったことで、攻撃が拡大しています。

 

Egregor:

2020年後半から出現し、攻撃を行う前に被害者企業の情報を公開する

「ダブルエクスポージャー」を行うことで、攻撃者に対する交渉力を高める手法を使っています。

 

これらのランサムウェアは、特定の業界や地域に限定されず、

世界中の多くの企業や機関に被害をもたらしています。

 

 

 

 

 

データ復旧クイックマンでは、ランサムウェアのデータ復旧、コンサルティングなどおこなっております。

LockBitについては、対応件数に自信があります。

緊急でのご対応も可能です。

お困りの際は下記フリーダイヤルまでご相談ください。

 

クイックマン（S&Eシステムズ株式会社） フリーダイヤル：0120-775-200