ランサムウェアに感染したときの対処法と復旧手順【企業・個人向け】

万が一、ランサムウェアに感染してしまったら…。

冷静に、そして迅速に対応することが、被害を最小限に抑える鍵となります。

本記事では、ランサムウェア感染が発覚した際の初動対応から、復旧に向けた具体的な手順までを、企業と個人の両方のケースに分けて解説します。この記事は、いざという時のための「行動マニュアル」です。事前に対応フローを把握しておくことで、被害を最小限に抑え、事業の早期復旧を目指しましょう。

関連記事：【完全予防ガイド】ランサムウェアの基礎知識と感染しないための対策

ランサムウェアに感染すると何が起きるのか

ランサムウェアに感染すると、PCやサーバー内のファイルが暗号化され、使用できなくなります。業務の継続が困難になるだけでなく、機密情報が流出し、企業の信用を失う可能性もあります。

ランサムウェアに感染したら、以下のような症状があらわれます。

• 保存データが暗号化される
• パスワードが勝手に変更されている
• データにアクセスすると警告文が出て身代金を要求される
• 画面そのものがロックされる
• 感染した端末に隣接する、他のデバイスやシステムに感染させる

このような症状があらわれた場合は、感染している可能性があります。直ちにLANケーブルやWi-Fiから切り離し、システム/セキュリティ責任者の指示を仰ぎましょう。

身代金を要求するメッセージや、暗号化されたファイルの詳細を記したテキストファイルが表示されます。攻撃者は脅迫メッセージを通じて、被害者が身代金を支払うよう心理的に追い込みます。

ランサムウェアに感染した際の初動対応【企業編】

ランサムウェア感染が疑われる、または確認された場合、企業は迅速かつ冷静な初動対応が求められます。

被害の拡大を防ぐ！ネットワークからの隔離

感染が疑われるデバイスは、直ちにネットワークから隔離・切断することが大切です。

LANケーブルを抜く、Wi-Fiを切断するなどして、通信を遮断することが重要です。ランサムウェアは一度侵入すると、ネットワークを介して他のデバイスにも感染を広げる可能性があります。LANで繋がったネットワーク全体が、ランサムウェアの危険に晒される事態を引き起こしかねません。

ネットワークから隔離することで、他の端末への感染拡大を食い止め、被害範囲を限定し、今後の復旧作業を円滑に進めることができます。Wi-Fiの場合は、ルータの電源を落としましょう。

ただし、感染したデバイスにはランサムウェアの調査や被害に必要な情報が残っていることがあります。電源は切らないようにしましょう。

関係各所への報告・連絡

ランサムウェアは他のデバイスに感染を広げるため、組織全体で状況を把握することが重要です。

被害の状況を正確に把握するため、部門を超えて関係各所への迅速な連絡が必要です。経営層や情報システム部門はもちろん、被害の状況によっては法務部門や広報部門にも報告します。

もし顧客情報が漏洩している可能性がある場合は、速やかに監督官庁への報告や顧客への連絡が必要です。関連企業や取引先などのステークホルダーにも報告します。

ランサムウェアの被害にあったら、必ず警察に連絡しましょう。その際には、保存したログの情報を持参する必要があります。

そのほかにも、IPA（独立行政法人　情報処理推進機構）にも一報を入れておきましょう。IPAは、ウイルス感染被害の拡大や再発の防止、実態調査などを専門に行っている法人です。被害の内容については、同法人の届出様式があります。公式ウェブサイトより、ダウンロードしてください。

事前に連絡体制を構築しておき、誰に、何を、いつ報告すべきか明確にしておきましょう。

専門家への相談と復旧計画の策定

ランサムウェアの感染が疑われる際には、自社だけで対応しようとせず、速やかに専門家（セキュリティベンダーなど）に相談しましょう。

彼らは被害状況の調査（フォレンジック調査）や、復旧に向けた具体的な計画策定をサポートしてくれます。身代金の支払い、データ復旧、再発防止策など、専門家のアドバイスを受けながら、最適な解決策を模索することが重要です。

ランサムウェアに感染した際の初動対応【個人編】 

企業だけでなく、個人もランサムウェアの標的となります。いざという時に備え、正しい対処法を知っておくことが大切です。

被害の拡大を防ぐ！PCの隔離とインターネット遮断

企業の場合と同様に、感染が疑われるデバイスはすぐにネットワークから隔離してください。Wi-Fiを切る、LANケーブルを抜くなどして、他のデバイスへの感染を防ぎましょう。

感染したデバイスをそのままインターネットに接続した状態にしていると、さらなる被害が拡大する可能性があります。

感染したデバイスを再起動させない

デバイスに不具合が生じると、再起動やシャットダウンといった行動を起こす方も少なくありません。しかしこれを行うと、感染したランサムウェアが再度活動を開始する可能性があります。

また、一時停止していたデータの暗号化が再開され、閲覧可能だったファイルまでも閲覧不可になることもあります。デバイスの再起動を行うことで、ランサムウェアの検出が困難となり、証拠がつかみにくくなります。

感染したデバイスを再起動するのは厳禁です。

身代金は支払うべきか

身代金は支払うべきではありません。警察やセキュリティ専門機関は、身代金の支払いに強く反対しています。その理由は、以下の通りです。

• データが復旧する保証がない
  支払っても、攻撃者がデータを復元してくれるとは限りません。
  
• サイバー犯罪を助長する
  支払いが、攻撃者にとってさらなる犯行を続けるための資金源となります。
  
• 繰り返し狙われる可能性がある
  一度身代金を支払った組織は、「支払いに応じる可能性がある」と見なされ、再び狙われるリスクが高まります。

身代金の請求には、応じないようにしましょう。

ランサムウェアからの復旧と再発防止策

感染から復旧し、二度と同じ被害に遭わないようにするためには、以下のステップが不可欠です。

バックアップからのデータ復旧

最も確実な復旧方法は、感染前のバックアップデータからシステムを復元することです。デバイスと切り離した環境にバックアップデータが残っていないかを確認しましょう。バックアップが残っていれば、デバイスを原状回復することも可能です。

手順としては、まずデバイスのクリーンインストールを行います。クリーンインストールとは、OS内部の設定やソフト、アプリケーションを削除した上で、OSをダウンロードすることです。これを行うと、システムはもちろん、ドライバーやアプリなども初期化されます。

クリーンインストールを行えば、ほぼランサムウェアの感染を防げるといわれています。ただし、ユーザー領域からランサムウェアに感染する可能性があるため、十分注意が必要です。その上で、バックアップデータを入れるようにします。

ランサムウェアの種類や原因、感染内容などの特定

ランサムウェアの被害および再発防止のために、感染原因の特定をしましょう。

復旧後、なぜ感染したのかを徹底的に分析し、再発防止策を講じることが重要です。明らかに感染しているデバイス以外のデバイスも含め、デバイスやサーバを調査する必要があります。調査時には、デバイスのログが必要になります。ログはバックアップデータ同様に、別のネットワーク環境で、保存しておきましょう。

そして、システムの脆弱性診断を行い、OSやソフトウェアのアップデートを徹底します。多要素認証（MFA）の導入や、セキュリティ監視システムの強化も有効です。

MDM導入でランサムウェアの対策を

ランサムウェアの脅威は、もはや他人事ではありません。特にテレワークが普及した現代では、社員が使用するデバイスがランサムウェアの入り口となるリスクが高まっています。MDM（モバイルデバイス管理）の導入は、ランサムウェア対策の有効な手段の一つになります。

MDMは、スマートフォンやタブレットといったモバイルデバイスを一元的に管理・運用するためのシステムです。MDMの導入により、次のことが可能になります。

• アプリケーションを配布
• アプリのインストール制限/利用制限
• パスワードポリシーとデバイスの暗号化
• 遠隔によるデータの初期化と画面ロック
• デバイスの位置情報の確認
• デバイスの使用状況の把握
• OSを最新状態で運用
• URLフィルタリング
• ランサムウェア対策も可能

これらすべてを簡単な操作で管理できるのが、MDMの魅力です。

CLOMO MDMで安心・安全なデバイス管理を！

さまざまなMDMが展開されている中で、CLOMO MDMはMDM市場で14年連続シェアNo.1*を誇っています。

CLOMO MDMは、豊富な機能の搭載や幅広いデバイスへの対応はもちろん、上記で解説したサポートや操作性の良さも特長です。

管理画面はわかりやすく使いやすい仕様で、特別な知識やトレーニングなしで、すぐに利用開始できます。また、国産のMDMサービスのため、メーカーからの直接サポートや日本語での電話サポートを受けられます。24時間365日、有人オペレータが緊急対策の代行も行っています。

さらに、CLOMO MDMなら、次世代アンチウイルスソフト「Deep Instinct」と連携可能です。未知のウイルスについても、対策することができます。

あらゆる業界で利用されており、企業はもちろん、学校や病院などの教育機関や医療機関への導入事例も豊富です。CLOMO MDMで、安心・安全なデバイス管理を行いましょう。

*出典：デロイト トーマツ ミック経済研究所「コラボレーション/コンテンツ・モバイル管理パッケージソフトの市場展望」2011〜2013年度出荷金額、「MDM自社ブランド市場(ミックITリポート12月号)」2014～2023年度出荷金額・2024年度出荷金額予測

まとめ：予防策で感染を防ぐことが重要

ランサムウェアに感染してしまった場合、最も重要なのは「迅速な初動対応」と「日頃からの備え」です。感染が発覚した際は、被害拡大を防ぐためのネットワークからの隔離、そして関係者への迅速な報告を徹底してください。また、自社だけで抱え込まず、すぐにセキュリティ専門家へ相談することも非常に重要です。

しかし、最も効果的な対策は、感染する前に講じる予防策にほかなりません。強固なセキュリティ基盤の構築と、従業員へのセキュリティ教育の徹底が不可欠です。具体的には、日々のバックアップ、セキュリティソフトの導入、そしてMDMのようなデバイス管理システムの活用などが挙げられます。これらの包括的な対策こそが、私たちの資産を守る唯一の方法です。