2025.07.31
【令和7年度版】セキュリティインシデント対応(2/2)
目次
中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。
前回お届けした「セキュリティインシデント対応(1/2)」では、セキュリティインシデントの定義と、実際に発生してしまった時の対応について解説しました。
今回はシリーズ第2回として、被害が絶えないランサムウェア攻撃について、インシデントが発生した場合の具体的な対応手順をお伝えいたします。
1.ランサムウェアとは
あらためて、ランサムウェアについて確認しましょう。
ランサムウェアとは、感染したパソコンをロックしたり、ファイルを暗号化して使用できなくする不正プログラムです。ファイルの復元と引き換えに金銭を要求されることから、「ランサムウェア」(ransom(身代金)とsoftware(ソフトウェア)の造語)と言われています。
最近では、サイバー攻撃の一環として「人手によるランサムウェア攻撃」や、情報を窃取しそれを公開すると脅す「二重の脅迫」の被害も報告されています。
また、警察庁が毎年公表している「サイバー空間をめぐる脅威の情勢等について」では、令和6年に「ランサムウェアの開発・運営を行う者が、攻撃の実行者にランサムウェア等を提供し、その見返りとして身代金の一部を受け取るもの(RaaS:Ransomware as a Service)による攻撃実行者の裾野の広がりが、対策が比較的手薄な中小企業の被害増加につながっていると考えられる。」とあるように、被害件数は中小企業において年々増加しています。※1
2.ランサムウェアに感染したら
ランサムウェアに感染すると、以下のような事象が発生します。
(1)ファイルの拡張子が突然変わったり、開けなくなる。
(2)身代金を要求するメッセージが表示される。
(3)コンピュータの動作が急激に遅くなる。
(4)ウイルス対策ソフトが警告を出す。
ランサムウェアは被害が表面化しやすく、業務に大きな影響を与えます。あらかじめ感染時の兆候を理解し、対応を決めておくことが重要です。そうしないと、実際に感染した際に対応に戸惑い、パニックに陥る可能性があります。
また、確実に復旧するためには、バックアップからの復元が唯一の手段です。「今まで何も起きていないから感染したらそのとき考えよう」とか「専門家に任せれば何とかなるだろう」という考えは通用しません。
ランサムウェアの被害は10年以上被害が増加しており、いかなる組織も例外なく被害に遭う可能性があります。感染後の対応も主体的に検討しておきましょう。
3.ランサムウェアに感染した後の対応
| 検知と連絡受付 | パソコンの画面に身代金を要求するようなメッセージが表示された等、前述の事象を発見したときにはランサムウェア感染の可能性があります。 システム管理者、情報セキュリティ管理者等に報告します。 |
| 初動対応 | 感染したパソコンやサーバーの利用を停止し、ネットワークから切り離します。 【切り離し方】 <有線接続の場合> (1)ネットワークケーブルを抜く ・パソコンやサーバーの背面や側面にあるLANポート(ケーブルの差し込み口)を見つけます。 ・ネットワークケーブルをこのポートから抜きます。 (2)ネットワーク設定を無効にする Windows等OSの設定でネットワーク接続を無効にします。 <無線接続(Windows)の場合> (1)Wi-Fiを切断する ・タスクバーのネットワークアイコンをクリックして接続済みのSSIDの切断をクリックします。 |
| 第二報以降 | (1)影響を及ぼした取引先や顧客に対して、インシデントに関して報告します。 (2)ウイルス感染による影響によって、業法等で報告が求められる場合は所管の省庁へ報告します。 (3)IPAの届出窓口へ届け出ます。※2 <IPAコンピュータウイルス・不正アクセスに関する届出について> ■ランサムウェア被害の届出 ランサムウェア攻撃による被害は、ウイルス届出として取り扱われますが、複雑な攻撃の場合があるため専用の届出様式が用意されています。 下記のコンピュータウイルス届出(ランサムウェア被害)様式に則り、判明している範囲で構いませんので、被害の状況や対応した内容等を記入のうえ、届出先にメールでご送付ください。 (様式) コンピュータウイルス・不正アクセス届出様式(Excel様式) https://www.ipa.go.jp/security/todokede/crack-virus/ug65p9000000nnpa-att/virus_crack_format.xlsx (届出先) 独立行政法人情報処理推進機構 セキュリティセンター コンピュータウイルス届出窓口 E-mail:virus@ipa.go.jp |
| 調査・対応 | (1)No More Ransom等から復号化ツールを入手し、復旧を試みます。 (ウェブサイト「No More Ransom」は、オランダ警察の全国ハイテク犯罪ユニット、ユーロポールの欧州サイバー犯罪センター、Kaspersky、McAfeeが主導しています。 ランサムウェアの被害者が犯罪者に不当な支払いをすることなく、暗号化されたデータを取り戻すための支援を目的としています。) ただし、全てのランサムウェアに対応しているわけではありません。※3 (2)データ等のバックアップを行っている場合は、復元(リストア)します。 ただし、バックアップ装置・媒体をパソコンに常時接続している場合、バックアップファイルも暗号化されている場合もあります。 <参考>適切なバックアップ方法 ■原則的にバックアップに使用する装置・媒体は複数用意し、バックアップ時のみパソコンと接続する、またはバックアップしたファイルのうち1つはオフサイトに保存する。 また、バックアップの対象がクラウドサービスの場合は、サービスの仕様を確認し、バックアップがサービスに付帯する場合は頻度、保存先、リストア手順について把握しておく。 ■バックアップしたファイルは、定期的に復元(リストア)できるか確認する。 復元のテストが難しい場合は、いざというときにバックアップ手順を迷わず実施できるようマニュアル等を整備しておく。 (3)復号化ツールでも復旧しない場合、バックアップが復元(リストア) できない場合は、感染した機器やデータの復旧を断念し、再構築します。 |
| 復旧 | データの復元(リストア)が正しいことを確認できたら、システムを復旧します。 |
なお、本稿はIPAが発行している「中小企業の情報セキュリティ対策ガイドライン第3.1版」を参考に解説しています。
※本記事は令和6年度中小企業サイバーセキュリティ対策事業で制作された記事を最新情報等で更新したものです。
※1出典:警察庁(8P)
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6/R06_cyber_jousei.pdf
※2出典:独立行政法人情報処理推進機構(IPA)
https://www.ipa.go.jp/security/todokede/index.html
※3出典:NO MORE RANSOM
https://www.nomoreransom.org/ja/
おすすめ記事
2024.08.23
2024.09.16
2024.08.20
2024.10.16
2024.09.02
2025.02.06
