ランサムウェア攻撃を受けたとき、身代金を払う前にやるべき10のこと

ランサムウェアに備えるには防御策を固めると同時に、いざ攻撃が受けたときにすべきことを事前に決めておくことが必要だ。

[畑陽一郎，キーマンズネット]

　ランサムウェア攻撃を受けてPCやサーバが使えなくなったとき、PCの電源を切るべきか、犯人と連絡を取るべきか。何から手を付けたらよいのかが分からず、社内は混乱に陥るだろう。

　何らかの防御策を立てていたとしても、ランサムウェア攻撃を受ける可能性は残る。攻撃されたときにまず何をすべきなのかを、あらかじめ整理しておかなくてはならない。

ランサムウェア攻撃から回復するための10段階

　データセキュリティソリューションを提供するLepideは2024年7月3日、ランサムウェア攻撃から回復するための方法を公開した。同社で顧客支援の任に当たるナターシャ・マーフィー氏（カスタマーサクセスアドボケート）は、10個の段階を順に踏むことを勧めた。

　以下では社内のPCやサーバがランサムウェア攻撃に遭った場合、直ちにとるべき策を紹介する。

（1）身代金を支払わない

　身代金を支払うと暗号化されたデータが元に戻り、事業を継続できると思いがちだ。だが支払ったところで、犯人がファイルの暗号化を完全に解除する保証はない。部分的に解除してさらに身代金を求めてくることがある。暗号化する前に重要なファイルを盗み出し、それを他の犯罪者に売り渡すこともある。よいカモだといううわさがサイバー犯罪者の間で広がれば、さらなる攻撃を招く。身代金は犯罪者の装備の強化にも使われるため、社会全体としてランサムウェア問題がより悪化するのはもちろんだ。

身代金を払うと暗号化されたファイルを取り戻せるのか

　Veeam Softwareが2024年6月に発表した「2024 Ransomware Trends Report」によると、サイバー攻撃を受けた企業に所属する専門家1200人のうち、81％が身代金を支払ったと回答した。

　だが、身代金を支払ってデータを復旧できたという回答は全体の54％に過ぎず、全体の27％は身代金を支払ったにもかかわらずデータを復元できなかった。なお、身代金を支払わずにデータを復旧できたという回答は全体の15％だった。

（2）攻撃の入り口を見つける

　次にランサムウェアがこれ以上社内で広がらないための対策を取ろう。IT環境の調査を進めて、そもそもどこから侵入されたのかを調べる。「Microsoft 365」のようなSaaSアプリケーションも感染源に成り得る。全てのユーザーに連絡を取り、誰がいつ攻撃の最初の兆候を目にしたのかを確認しよう。メールのリンクをクリックした後だったのか、それとも、Webブラウザの表示が異常になったのか。このような兆候も次のステップに進む際に役立つ。

（3）ランサムウェアの種類を特定する

　なぜランサムウェアの種類を特定しなければならないのだろうか。それはランサムウェアの種類によっては暗号化を解除するツールが使えるからだ。復号を助ける信頼できるWebサイトもある。「ID Ransomware」や「NO MORE RANSOM」などのWebサイトを利用すると身代金を支払うことなく問題を解決できる場合がある。もちろん、種類を特定すれば当局に報告する際にも役立つ。

（4）攻撃の詳細情報を記録する

　PCをシャットダウンする前に画面に表示された身代金要求の表示画面を写真に撮ろう。身代金の支払い方法の詳細はともかく、復旧チームがランサムウェアを特定する際にも役立つ。この情報は警察や保険会社に報告書を提出する場合にも役立つ。

（5）外部記憶装置との接続を切る

　ファイルのバックアップをとっておくことは予防策として非常に役立つ。クラウドや外付けHDDにバックアップをとることもあるだろう。だが、多くのランサムウェアはこのようなバックアップも攻撃しようとする。ランサムウェア攻撃を受けたら、外付けHDDを取り外したり、クラウド接続を切ったりする必要がある。エアギャップが可能なストレージを選んでおくとより安全だ。なぜならランサムウェアはエアギャップから先のファイルに手を出せないからだ。

（6）全てデバイスの電源を切り、ネットワークから切り離す

　感染しているデバイスを特定したら、直ちにネットワークケーブルを外し、Wi-Fiをオフにし、デバイスをシャットダウンする。ネットワーク接続が残っていると感染がさらに広がってしまう。犯罪者がリモートからアクセスを試みる場合がある。接続を切断するタイミングが早ければ早いほど、さらなる侵入を食い止められる可能性が高くなる。

　感染したシステムが全て特定できたと判断するまで、全ての共有ドライブを一時的にオフラインにしなければならない。もちろん、新たなファイルが暗号化されたり、消去されたりしていないか、オフラインのままシステムの監視を続けるべきだ。

（7）メンテナンスタスクを無効にする

　PCなどにメンテナンスタスクを設定することは珍しくない。メンテナンスタスクはランサムウェア攻撃とは無関係に、スケジュール通りに実行されるので問題を悪化させてしまうことがある。ごみ箱を自動的に空にする、古いメッセージをアーカイブする、古いファイルを削除するといったタスクは、ランサムウェアの問題が解決するまで保留しておくべきだ。マルウェアを駆除したり、当局が感染源を突き止めたりするために必要な情報が削除されてしまう可能性があるからだ。

（8）全ユーザーに警告を発する

　全てのユーザーにランサムウェア攻撃があったことを警告しなければならない。電子メールでアナウンスを送ったり、会社の掲示板に警告を書き込んだりするのも良いだろう。だがランサムウェア攻撃の場合は不十分だ。何が起きているのか、何に気をつける必要があるのかを全員が理解しなければならない。直接足を運んで全員と会話する必要がある。

（9）感染したエンドポイントやサーバ、仮想マシンを一から作り直す

　（8）を終えた後は業務が続行できるように社内のIT環境を復旧する。このとき、やり方を間違えると再びランサムウェアが社内に広がってしまう。

　ランサムウェアが完全に除去されたことを保証する唯一の方法は、仮想マシンを含む全てのデバイスの内容を完全に消去し、再インストールすることだ。幾つかのファイルを消去しただけでそのままPCやサーバを起動して何もなかったかのように使おうとしてはいけない。

　事前に、クラウドディザスタリカバリ契約を結んでおき、仮想マシン内の重要なアプリケーションやデータを仮想プライベートクラウドでリカバリできるようにしておけば、業務を再開しやすい。

（10）バックアップからクリーンなデバイスにリストアする

　被害を食い止めた後は、これ以上感染を拡大させないよう、全ユーザーに現在の脅威を再認識させる。「Amazon Web Services」（AWS）や「Microsoft Azure」のようなクラウドサービスに保存されたバックアップから復元することで、身代金を支払うことなく回復できる。エンタープライズグレードの自動バックアップソリューションを導入しており、攻撃がいつどこで始まったのかが分かっていれば、各システムのデータについてランサムウェアに感染していないインデックス付きのスナップショットを即座に入手できる。

ランサムウェアにやられる前に何ができるか

　ここまでランサムウェア攻撃に遭った後の対応を示した。だが、そもそもランサムウェア攻撃が起きないようにする予防策も必要だ。

　攻撃が及ぶアタックサーフェスを調べ、脆弱（ぜいじゃく）性を常に管理しなければならない。不必要にアクセス権限が多いユーザーを特定し、共有設定を見直すことでランサムウェア攻撃に至るリスクを大幅に下げ、システムを安全に保つことができる。

　データのバックアップは欠かせない。先ほど示した手順10を実行するにはバックアップが必要だ。バックアップがない状態でランサムウェア攻撃を受けると復旧できない可能性が高まる。

　余裕があれば、攻撃の瀬戸際にあるかどうかを見分ける能力も必要だろう。ランサムウェアの前兆を可視化できれば、検出能力が高まり、対応をある程度自動化できる。