ランサムウェアに感染したら、どのような症状があらわれるのでしょうか。
またランサムウェアは、どの程度デバイスに潜伏するのでしょうか。
ランサムウェアに感染した状況について触れながら、ランサムウェアに感染した場合の個人や企業の対処法をご説明します。
Contents
ランサムウェアとは
ランサムウェアとは、マルウェアの一種です。デバイスに保存されているデータを使用できない状態にし、復元を引き換えに金銭を求める不正プログラムです。
英語の「身代金(ransom)」+「Software(ソフトウェア)」 の造語から生まれました。
企業や団体の端末がランサムウェアに感染すると、業務ができなくなる可能性があります。さらに、ステークホルダーにも多大な迷惑や損害を与える可能性もあります。
ランサムウェアの攻撃と特徴
ランサムウェア感染の攻撃手段は、不特定多数に向けたものが多いといわれています。
メールを介して、不正プログラムを送信しているわけです。
しかし近年は、ランサムウェアの手口が変わっています。
テレワークの普及から、「VPN(Virtual Private Network)」のようなインフラの脆弱性が狙われやすくなっています。そして企業や団体のネットワークを介して、感染するケースが増えているといわれています。
以下が、ランサムウェアの攻撃の特徴です。
従来と近年では、以下のような変化があります。
| 従来のランサムウェア | 近年のランサムウェア | |
|---|---|---|
| 手法 | 不特定多数へのメール送信 | メール送信のほか、VPNの脆弱性を狙う |
| 対象 | クライアントの端末を攻撃 | ・サーバー ・制御系システム ・クライアントのPC |
| 感染 | PCのロック データ暗号化 | 管理者権限を奪取してシステム全体を乗っ取り、ファイルサーバーやクライアントPCのデータの暗号化や窃取 |
| 要求 | 暗号化解除などの見返りに身代金要求 | ・データの復号化の見返りに身代金要求 ・窃取データの公開を止めるための身代金要求 ・窃取データのダークサイトでの販売 |
また総務省の資料によると、2021年のランサムウェアの感染被害経路はVPN機器からの侵入が最も多かったようです。54%と半数以上を占めています。
出典先:総務省『サイバーセキュリティ戦略に基づく 総務省の取組』を加工して作成
ランサムウェアに感染したらどうなる?
ランサムウェアに感染したら、具体的にどのような症状があらわれるのでしょうか。
また、ランサムウェアはいったいどのくらい潜伏するのでしょうか。
これらについて、ご説明します。
どのような症状があらわれる?
ランサムウェアに感染したら、以下のような症状があらわれます。
- 保存データが暗号化される
- パスワードが勝手に変更されている
- データにアクセスすると警告文が出て身代金を要求される
- 画面そのものがロックされる
- 感染した端末に隣接する、他のデバイスやシステムに感染させる
このような症状があらわれた場合は、感染している可能性があります。
直ちにLANケーブルやwi-fiから切り離し、システム/セキュリティ責任者の指示を仰ぎましょう。
平均潜伏期間は?
一般的にランサムウェアは、15日〜25日程度の潜伏期間があるといわれています。
その間、ネットワークやメールなどで用いられるファイルを介して組織内にゆっくりと浸透していきます。
感染を十分に拡大させた上で、攻撃を開始するケースが多く見られます。
十分注意しましょう。
感染した場合の個人の対処法
万が一、個人のデバイスがランサムウェアに感染した場合、どのように対処したら良いのでしょうか。
いくつか対処法をご紹介します。
感染したデバイスを再起動させない
デバイスに不具合が生じると、再起動やシャットダウンといった行動を起こす方も少なくありません。しかしこれを行うと、感染したランサムウェアが再度活動を開始する可能性があります。
また、一時停止していたデータの暗号化が再開され、閲覧可能だったファイルまでも閲覧不可になることもあります。デバイスの再起動を行うことで、ランサムウェアの検出が困難となり、証拠がつかみにくくなります。
感染したデバイスを再起動するのは、厳禁です。
身代金の支払いを行わない
ランサムウェアに感染した場合、身代金を支払ってもデバイスが復旧できる可能性はほとんどありません。
むしろ支払ったことがきっかけで、悪意のある第三者に個人情報を盗まれることがあります。再度身代金を支払う事態に、見舞われる可能性があります。
悪意のある第三者には、身代金の支払いを行わないようにしましょう。
感染後にデータのバックアップを取らない
ランサムウェアに感染したと気づいたとたん、デバイスで作業中のファイルを中心にバックアップを取りたくなるかもしれません。しかしそのバックアップを取ったファイルが、すでにランサムウエア感染している可能性もあります。
ファイルを開いた途端に再度感染する可能性もあるため、データのバックアップは取らないようにしましょう。
データのバックアップを取るのであれば、日頃から別のネットワーク上にある環境でバックアップをとるようにしましょう。
感染した場合の企業の対処法
一方、企業のデバイスがランサムウェアに感染した場合、どのように対処したら良いのでしょうか。
こちらは、大きな被害になりかねません。いくつか対処法をご紹介します。
感染が疑われるデバイスは、即座にネットワークから切断することが大切です。
ただ感染したデバイスに、ランサムウェアの調査や被害に必要な情報が残っていることがあります。端末の電源だけは、切らないようにしましょう。
またランサムウェアは一度侵入すると、ネットワークを介して他のデバイスにも感染を広げる可能性があります。LANで繋がったネットワーク全体が、ランサムウェアの危険に晒される事態を引き起こしかねません。
Wi-Fiの場合は、ルータの電源を落としましょう。
専門部署や担当者に相談する
ランサムウェアは他のデバイスに感染を広げるため、組織全体で状況を把握することが必要です。
ランサムウェアに感染したかもしれないと思ったら、情報システム部や外部のセキュリティベンダーなどの専門家に任せることです。やみくもに動くと、感染を広げる可能性もあります。
自力で解決しようと思わず、まずは専門家に相談しましょう。
身代金の請求には応じない
ランサムウェアに感染した場合、身代金を支払ってもデバイスが復旧できる可能性はほとんどありません。
かえって支払ったことがきっかけで悪意のある第三者に個人情報を盗まれ、再度身代金を支払う可能性もあります。
身代金の請求には、応じないようにしましょう。
ランサムウェアの種類や原因、感染内容などを特定する
ランサムウェアの被害および再発防止のために、感染原因の特定をしましょう。
その場合は、明らかに感染しているデバイス以外のデバイスも含め、デバイスやサーバを調査する必要があります。
なお調査時には、デバイスのログが必要になります。ログはバックアップデータ同様に、別のネットワーク環境で、保存しておきましょう。
ランサムウェアを駆除する
次に、ランサムウェアを駆除します。
まず、ウイルス対策ソフトやツールをインストールします。
ウイルス対策ソフトは、最新状態に更新した上で使用しましょう。デバイスのウイルススキャンを実行すれば、OKです。
初期化や再インストールで、原状回復させる
デバイスと切り離した環境にバックアップデータがあれば、デバイスを原状回復することも可能です。
手順としては、まずクリーンインストールを行います。
クリーンインストールとは、OS内部の設定やソフト、アプリケーションを削除した上で、OSをダウンロードすることです。
ただしこれを行えばシステムはもちろん、ドライバーやアプリなども初期化されます。
クリーンインストールを行えば、ほぼランサムウェアの感染を防げるといわれています。
ただユーザ領域からランサムウェアに感染する可能性があるため、十分注意が必要です。
その上で、バックアップデータを入れてください。
警察庁やIPA、関連企業などに報告する
ランサムウェアの被害にあったら、必ず警察に連絡しましょう。
その際には、保存したログの情報を持参する必要があります。
そのほかにも、IPA(独立行政法人 情報処理推進機構)にも一報を入れておきましょう。
IPAは、ウイルス感染被害の拡大や再発の防止、実態調査などを専門に行っている法人です。
被害の内容については、同法人の届出様式があります。公式ウェブサイトより、ダウンロードしてください。
もちろん、関連企業や取引先などのステークホルダーについても、報告しておきましょう。
MDMを導入すれば、ランサムウェアの対策に
MDM(Mobile Device Management)を導入して、ランサムウェア対策を行うのも良い方法の一つです。
MDMとは、PCやスマートフォンなどの端末を一元管理するためのシステムです。
企業や組織にMDMを導入すれば、以下が可能になります。
- アプリケーションを配布
- アプリのインストール制限/利用制限
- パスワードポリシーとデバイスの暗号化
- 遠隔によるデータの初期化と画面ロック
- デバイスの位置情報の確認
- デバイスの使用状況の把握
- OSを最新状態で運用
- URLフィルタリング
- ランサムウェア対策も可能
これらが簡単な操作で管理できるのが、MDMの魅力です。
MDMにより使用できるアプリを制限することにより、ランサムウェア対策の第一歩に繋がります。
CLOMO MDMで安心・安全なデバイス管理を!
さまざまなMDMが展開されている中で、CLOMO MDMはMDM市場で13年連続シェアNo.1*を誇っています。
CLOMO MDMは、豊富な機能の搭載や幅広いデバイスへの対応はもちろん、上記で解説したサポートや操作性の良さも特長です。
管理画面はわかりやすく使いやすい仕様で、特別な知識やトレーニングなしで、すぐに利用開始できます。また、国産のMDMサービスのため、メーカーからの直接サポートや日本語での電話サポートを受けられます。24時間365日、有人オペレータが緊急対策の代行も行っています。
さらに、CLOMO MDMなら、次世代アンチウイルスソフト「Deep Instinct」と連携可能です。未知のウイルスについても、対策することができます。
あらゆる業界で利用されており、企業はもちろん、学校や病院などの教育機関や医療機関への導入事例も豊富です。市場シェアNo.1*のCLOMO MDMで、安心・安全なデバイス管理を行いましょう。
*出典:デロイト トーマツ ミック経済研究所「コラボレーション/コンテンツ・モバイル管理パッケージソフトの市場展望」2011〜2013年度出荷金額、「MDM自社ブランド市場(ミックITリポート12月号)」2014~2022年度出荷金額・2023年度出荷金額予測
まとめ
MDMは、複数のモバイルデバイスを一元管理するシステムです。MDMを導入することで、デバイスの運用・管理の効率化や利用状況の把握、盗難・紛失対策ができます。スマートデバイスの重要性が高まる企業や学校などの組織において、導入が進んでいます。搭載機能やサービスの形態、サポート体制の充実度などを考慮し、自社に最適なMDMを導入することが重要です。
マルウェアへの予防や対策を的確に行えるよう、そのベースとしてMDMでデバイス管理をしてはいかがでしょうか。
CLOMO MDMは、多機能性や幅広いデバイス対応、24時間365日のサポート体制により、企業のデバイス管理を強力にサポートします。製品の機能・活用事例のダウンロードや製品についてのお問い合わせもできるため、ぜひご活用ください。CLOMO MDMで、デバイス管理の課題を解決し、ビジネスの効率化を図りましょう。
監修者
杉本 裕基
CLOMO事業本部 コンサルティングサービス部
2021年、CLOMO事業本部 コンサルティングサービス部に入社。前職のクラウドセキュリティサービスを提供する企業では、グループウェアやIDaaSなどのSaaS全般にわたる導入支援を担当。その経験を活かし当社でも特にセキュリティ面で不安を抱えるお客様向けの端末設定、運用周りに関するサポートを行っている。
