ランサムウェア被害対応 らんさむうぇあひがいたいおう
ランサムウェア被害対応とは
ランサムウェア(Ransomware)とは、感染したコンピューターのファイルを暗号化し、復号キーと引き換えに身代金(Ransom)を要求する悪意あるソフトウェア(マルウェア)の一種だ。近年は企業・自治体・病院を問わず被害が急増しており、事業が完全停止に追い込まれるケースも珍しくない。
ランサムウェア被害対応とは、感染を検知した瞬間から、事業を安全に復旧させ、再発を防止するまでの一連のプロセスを指す。初動の速さが被害の拡大を左右するため、事前に手順を決めておくことが非常に重要。「感染してから考える」では手遅れになることが多い。
ポイントは「身代金を払っても復号できるとは限らない」という現実だ。支払いは犯罪組織を資金援助することになるうえ、支払い後もデータが戻らないケースや、再度狙われるケースが報告されている。対応の基本は「払わずに復旧する」ための準備と実行にある。
被害対応の全体フロー
ランサムウェア対応は大きく5つのフェーズに分かれる。
| フェーズ | 名称 | 主なアクション |
|---|---|---|
| 1 | 検知・初動 | 感染端末の特定、ネットワーク遮断 |
| 2 | 封じ込め | 感染範囲の調査、被害拡大の阻止 |
| 3 | 証拠保全 | ログ・メモリの保全、法的対応の準備 |
| 4 | 復旧 | バックアップからのデータ復元、システム再構築 |
| 5 | 再発防止 | 脆弱性修正、教育、監視強化 |
フェーズ1:検知から最初の30分が勝負
感染に気づいたらまずネットワークから切り離す。LAN ケーブルを抜く、Wi-Fi をオフにするなど物理的な遮断が最速。「再起動すれば直るかも」は厳禁で、ランサムウェアは再起動後にさらに広がる設計のものが多い。
フェーズ3:証拠保全は後回しにしない
警察への届け出や保険適用のために、感染時のログやメモリイメージを保全しておく必要がある。感染端末を勝手にクリーンインストールすると証拠が消えてしまい、後の調査・補償に支障が出る。
歴史と背景
- 2013年 — 「CryptoLocker」が登場し、現代型ランサムウェアの原型となる。Bitcoin での身代金要求が始まる
- 2017年 — 「WannaCry」が世界150か国以上に拡大。日本の製造業・病院も被害を受け、社会問題として認知される
- 2019年頃〜 — 二重脅迫型(データを暗号化+外部に流出させると脅す)が登場。バックアップがあっても身代金を要求される構造に進化
- 2021年 — 米国のパイプライン会社 Colonial Pipeline が被害を受け、ガソリン供給が停止。インフラへの攻撃として国際的に注目される
- 2022年〜 — 日本でも大阪の病院・名古屋港のシステムが攻撃され、業務が数日〜数週間停止する事例が相次ぐ
- 現在 — RaaS(Ransomware as a Service)により、技術力の低い犯罪者でも攻撃できる環境が整い、被害件数が急増中
対応における重要な判断ポイント
被害対応で迷いやすい「やるべきこと/やってはいけないこと」を整理する。
| 判断項目 | 推奨行動 | 理由 |
|---|---|---|
| 感染端末の電源 | 即座にネットワーク遮断(電源は落とさない) | メモリ上の証拠保全のため |
| 身代金の支払い | 原則として支払わない | 復号の保証なし・再攻撃リスク |
| バックアップからの復旧 | オフライン/クラウドバックアップを優先 | 感染が広がっていない領域から復元 |
| 警察への届け出 | 早期に届け出る | 保険適用・捜査協力のため |
| 社内への情報共有 | 最小限の関係者に限定 | 情報漏えい・パニック防止 |
| メディアへの対応 | 広報担当窓口に一本化 | 憶測報道を防ぐ |
身代金を支払ってはいけない理由
支払う → 復号キーが届く(届かないこともある)
↓
データが戻る(戻らないこともある)
↓
「払う会社」としてリストに登録される
↓
再攻撃・他グループへの情報売却
↓
また被害を受ける ← ループバックアップ戦略との関係(3-2-1 ルール)
ランサムウェア対応の根幹は「被害前の準備」にある。業界標準として広く知られる 3-2-1 バックアップルールを押さえておこう。
特に重要なのがエアギャップ(Air Gap)バックアップだ。ネットワークに常時接続していないバックアップ媒体を持つことで、ランサムウェアがバックアップ先まで感染するのを防げる。「バックアップを取っていたのにバックアップも暗号化された」という事例が増えているため、オフライン保管は必須の対策と言える。
報告・通知の義務と関係機関
被害を受けた際は社内の対応だけでなく、外部への通知が法的に必要な場合がある。
| 通知先 | タイミング | 根拠・目的 |
|---|---|---|
| 警察(サイバー犯罪相談窓口) | 発覚後できるだけ早く | 捜査協力・被害届 |
| IPA(情報処理推進機構) | 発覚後速やかに | 情報共有・注意喚起 |
| 個人情報保護委員会 | 個人情報漏えいの恐れがある場合は72時間以内 | 個人情報保護法の報告義務 |
| 取引先・顧客 | 影響範囲が確認でき次第 | 信頼維持・二次被害防止 |
| サイバー保険会社 | 発覚後速やかに | 保険適用の手続き |
個人情報が漏えいした可能性がある場合、個人情報保護法の改正(2022年施行)により72時間以内の報告が義務付けられている。対応が遅れると法的リスクにもなるため、発覚後は情報漏えいの有無を最優先で確認する必要がある。
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| NIST SP 800-61 | コンピューターセキュリティインシデント対応ガイド(米国国立標準技術研究所) |
| NIST SP 800-184 | サイバーセキュリティイベントからの復旧ガイド |
| ISO/IEC 27035 | 情報セキュリティインシデント管理の国際標準 |
関連用語
- ランサムウェア — ファイルを暗号化して身代金を要求するマルウェアの総称
- インシデントレスポンス — セキュリティ事故発生時の対応手順・プロセス全般
- バックアップ — データの消失・破損に備えてコピーを保存しておく仕組み
- マルウェア — ウイルス・ランサムウェアなど悪意ある目的で作られたソフトウェアの総称
- エンドポイントセキュリティ — PCやスマートフォンなど端末レベルでの攻撃防御策
- ゼロトラスト — 「何も信頼しない」前提でアクセス制御を行うセキュリティモデル
- 個人情報保護法 — 個人情報の取り扱いと漏えい時の報告義務を定めた日本の法律
- BCP(事業継続計画) — 災害・サイバー攻撃などの緊急時でも事業を継続するための計画