ランサムウェア被害防止対策

ランサムウェアに注意！
ランサムウェアの被害に遭われた場合は、最寄りの警察署又は警察本部サイバー犯罪対策課に通報してください。

• ランサムウェアとは
• ランサムウェアの手口
• 対処方法
• 再発防止対策
• 被害防止対策
• 感染に備えた被害軽減対策
• 参考リンク

ランサムウェアとは

ランサムウェアとは、感染すると端末等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価（金銭や暗号資産）を要求する不正プログラムです。

ランサムウェアの手口

従来のランサムウェアは、不特定多数の利用者を狙って電子メールを送信するといった手口が一般的でしたが、最近では、企業等のVPN機器をはじめとするネットワーク機器のインフラのぜい弱性を狙って侵入する手口が多くみられます。 また、データの暗号化のみならず、データを窃取した上、企業等に対し「対価を支払わなければ当該データを公開する」などと要求する二重恐喝（ダブルエクストーション）という手口も確認されています。

対処方法

一部のランサムウェアについては、「No More Ransom」プロジェクトのウェブサイトで復号ツールが公開されており、暗号化されたファイルを復号する手段として利用できる場合がありますが、以下の点に注意してください。

• 一部のランサムウェアにしか復号ツールが対応していないこと
• 復号ツールが利用できるランサムウェアとして紹介されていたとしても、バージョン等の違いにより、復号ツールが使えないことがあること
• 復号ツールの利用により、予期せぬ不具合が生じる可能性があること

【復元ツールについて】
ランサムウェアを駆除するためには、感染したランサムウェアの種別を特定する必要があります。ランサムウェアを特定するために、ランサムノート（身代金を要求するドキュメント等）や暗号化されたファイルの拡張子を確認・記録してください。確認した情報をもとに、ランサムウェアに対応する復号ツールが「No More Ransom」プロジェクトのウェブサイトで公開されているか確認してみてください。
なお、「No More Ransom」プロジェクトのウェブサイトで公開されている復号ツールの使用方法については、JC3のウェブサイトを参考としてください。

• 「No More Ransom」プロジェクトの概要（外部サイトへリンク）
• 「No More Ransom」プロジェクト（外部サイトへリンク）
• 一般財団法人日本サイバー犯罪対策センター（JC3）（外部サイトへリンク）

再発防止対策

• ランサムウェアの感染が確認されていない端末等であっても、他のマルウェアやハッキングツール等の影響を受けている可能性があるため、ランサムウェアの感染が確認されていない端末も含めて調査を実施することを推奨します
• 被害の再発防止のため、ランサムウェアへの感染原因等の調査の結果に応じた対策を講じてください。なお、調査にあたっては、感染端末をはじめとした各種機器のログが必要となります。バックアップデータと同様に適切に保管することを推奨します
• その他の被害防止対策、被害軽減対策などについても見直しを行うとともに、社員に対して適切なセキュリティ教育を行うなど、総合的な対策強化を図ることを推奨します

被害防止対策

電子メール等への警戒

受信者の関心を引くような内容や重要と思わせる内容のメールを用いて添付ファイルを開かせる（実行させる）、又はリンク先のウェブサイトにアクセスさせるように仕向けて、ランサムウェアをはじめとしたマルウェアに感染させる手口が確認されています。
知人や企業等からの電子メールと思えるものであっても、送信元が詐称されていたり、本文からは不正なメールと見抜けなかったりすることもあります。添付ファイル付きのメールやリンク付きのメールについては、送信元への確認を行うなど、その真偽を確かめ、不用意に電子メールの添付ファイルを開いたり、リンク先にアクセスしたりしないようにしましょう。

VPN機器等のぜい弱性対策

利用している機器やOS等の更新ファイル、パッチ等を適用して、ぜい弱性を残さないようにしましょう。
OSやソフトウェアにぜい弱性がある状態のままでは、電子メールの添付ファイルの実行やウェブサイトの閲覧により、マルウェアに感染するリスクがあります。
また、ネットワークへの侵入のためにVPN機器等のネットワーク機器のぜい弱性が悪用される事例も確認されています。

ウイルス対策ソフト等の導入

他のマルウェアやハッキングツール等を使ってネットワークへ侵入し、データを盗み出した後にランサムウェアによりファイルを暗号化する手口も確認されています。
ウイルス対策ソフトを導入し、定義ファイルを更新して最新の状態に保つことで、マルウェアやハッキングツール等を利用されるリスクを低減することができます。
また、ウイルス対策ソフトだけでなく、ネットワークへ侵入を許してしまった場合に、不審な動作を検知し、被害を最小限にくいとめるため、EDR（Endpoint Detection and Response）の導入も検討しましょう。

認証情報の適切な管理

利用しているリモート・デスクトップ・サービスやVPN機器等のネットワーク機器の認証パスワードがぜい弱であったためにネットワークに侵入され、ランサムウェアによる被害が生じる事例が確認されています。
パスワードが初期設定のままであったり、よく使用されているもの（「password」、「qwerty」、「12345678」等）に設定されていないかなどを確認し、そのような設定になっている場合は、速やかに、大文字・小文字・数字・記号の組合せにより文字数が多く、推測されにくい文字列を設定するとともに、他のサービス等で使用していないものを設定し直すなど認証情報を適切に管理しましょう。
また、二要素認証等による強固な認証手段の導入や、IPアドレス等によるアクセス制限と組み合わせるなどといった対策も積極的に実施しましょう。
なお、パスワードが外部へ流出した可能性がある場合には、速やかにパスワードを変更しましょう。

感染に備えた被害軽減対策

データのバックアップ等の取得

ランサムウェアにより、バックアップデータやログも暗号化されてしまうという事例が確認されています。不測の事態に備えて、バックアップやログはなるべくこまめに取得し、ネットワークから切り離して保管しましょう。
また、日頃からバックアップデータによるシステムの復旧手順を確認しておきましょう。

アクセス権等の権限の最小化

いったん侵入されると、ネットワーク内の複数の端末でデータが暗号化されるなどといったように、被害の範囲が拡大することとなります。ユーザアカウントに割り当てる権限やアクセス可能とする範囲などは必要最小限にしましょう。
また、インターネットに公開されている機器が乗っ取られた場合に備えて、その機器からアクセス可能な範囲を限定しましょう。

ネットワークの監視

ランサムウェアを含め、マルウェア等に感染した端末では、外部のサーバとの間で不審な通信が発生する場合があります。EDR等を導入し、ネットワーク内の不審な挙動を早期に発見することで、感染拡大や外部からの侵入の範囲拡大を阻止することに繋がります。異常を検知した際には迅速に対処しましょう。
また、侵入経路の特定のため、ネットワークのログ等をはじめとする各種ログを確実に保存しておきましょう。

参考リンク

• 一般財団法人日本サイバー犯罪対策センター（JC3）「ランサムウェア対策について」（外部サイトへリンク）
• 独立行政法人情報処理推進機構（IPA）「ランサムウェア対策特設ページ」（外部サイトへリンク）
• JPCERTコーディネーションセンター「ランサムウェア特設サイトページ」（外部サイトへリンク）