関連記事：ランサムウェア 身代金を支払うとデータを取り戻せるのか？【成功率を公開！？】

 

※この記事は従業員数300名以下の中小企業に向けた内容です。

　インシデント対応マニュアルなどが整備されている企業様はそちらを優先してください。

 

 

当社はデータ復旧の専門家として1000社を超える企業様からランサムウェア感染のご相談を受けてきました。

これまでの経験をもとに、ランサムウェアに感染した企業様がよく悩まれる初期対応のポイントをまとめました。

最短コースで通常業務に戻るための一助になれば幸いです。

 

 

会社のデータの拡張子がすべて書き換わった！まず最初にすること

 

会社のサーバー内のデータが突然すべて.Lockbitや.encryptなど特定の拡張子へ書き換わった場合、

ランサムウェアの感染が疑われます。

まずは被害の拡大を防ぎつつ、感染範囲を確認しましょう。

 

① ネットワークを遮断してください

感染が判明した最初期ではどこが感染源でどこまで感染しているかの把握をすることが難しいです。

まずは各サーバーやPCのネットワークケーブルを抜くのが速いです。

まだ未感染の端末へ感染を拡大させないことが重要です。

VPNなどで複数拠点と繋がっている場合はすべての拠点で対応してください。

 

② 自動でバックアップする仕組みがある場合は停止する

バックアップデータは攻撃者によって削除または暗号化されている可能性が高いかと思いますが、

バックアップの方法によってはデータが正常に残っている可能性があります。

正常なデータを暗号化されたデータで上書きしてしまわないよう、

バックアップのスケジュールタスクを停止してください。

 

③ 各サーバーや端末の感染状況を確認

各サーバーや各PCが感染しているかどうかの調査は、

本来はウイルスの有無なども調査する必要がありますが、一旦は暗号化されたファイルがあるかどうかで調査します。

1) PC全体がほとんど暗号化

2) ユーザー領域のみ暗号化

3) 共有フォルダのみ暗号化

4) 特定の拡張子のみ暗号化（暗号化されなかった）

などを把握しておくと後々調査が楽になります。

 

④ 画面に脅迫画面などが出ている場合はその写真を撮影

画面に脅迫画面などが表示されている場合、その端末が感染源の1台になっていると思われます。

どの端末で脅迫画面が表示されているかを知ることで、

感染ルート把握のための手掛かりになる場合が多いです。

脅迫画面は念のため写真を撮るなどして保存してください。

 

 

リスクと影響の確認をおこなう

感染範囲が明確になると、それによる業務への影響が見えてきます。

どの程度業務への影響があるか、顧客や取引先への影響があるかを確認します。

 

① ランサムウェア種別の特定

脅迫画面の特徴や拡張子名で検索することなどにより、

ある程度ランサムウェアの種別を絞ることができるかと思われます。

今回感染したランサムウェアが暗号化するだけのタイプか、漏洩する可能性もあるタイプかなど

方針を決める際の材料になるかと思われます。

また、専門家に依頼する際もランサムウェアの種別を事前に伝えることでスムーズなやり取りが可能です。

 

② 業務への影響の確認

停止しているシステム、失われているデータの把握により、業務への影響範囲が見えてくるかと思います。

 

1) 時間経過により拡大する損失額

停止しているシステムや業務の一覧を作成し、デッドラインを明確にすると手段が見えてきます。

製造業のラインが停止している場合など、1,000万円/日単位の損失がでかねません。

1週間なら耐えうるが1カ月では会社がもたないといった会社の体力面から見た復旧手段の模索が必要です。

バックアップデータが生きている場合はシステムのリカバリをどう進めるか、

データはどうしても必要なデータかなどを冷静に判断する必要があります。

 

どうやってもこのままでは会社が倒産するという場合は、

身代金の支払いに応じるしかないという判断もあり得るわけです。

2) 手段による復旧までのスピード

システム停止による被害は日々積みあがります。

1日でも速く通常業務を再開するためには、

バックアップから復元するのか？ベンダーに１から再構築してもらうか？

それともリスクを覚悟で身代金を支払うか？などを検討することになります。

例えば、

バックアップから復元なら数日で復旧可能

システムの再構築なら2週間～1カ月必要

身代金の支払いは1週間で復旧

といった情報を取りまとめていく作業になります。

3) 復旧手段によるコストとリスク

とはいえ、それぞれの手法ではそれぞれコストもリスクも違います。

バックアップから復元が可能であれば一番速く、低コストですが、再感染のリスクが残ります。

システムの再構築はクリーンインストールが可能ですが、復旧までの期間がベンダー依存になります。

場合によって身代金の支払いを検討する方もいらっしゃるかと思いますが、

その場合に要する期間やリスクについては自社での判断が難しいかと思います。

 

身代金を支払う支払わないは別として、

復旧方法によるリスクを把握して計画を立てる必要があります。

このタイミングでランサムウェア（インシデント対応）の専門家に依頼する企業が多いです。

 

③ 漏洩によるリスクの確認

ランサムウェアに感染した場合、データが漏洩しているリスクの確認が必要です。

 

1) 漏洩してはいけないデータがあるか？

2) 漏洩の可能性がある場合報告が必要なデータが存在するか？

3) 漏洩してはいけないデータのある端末が感染、暗号化されているか？

といった情報をまとめます。

 

データの内容によっては

1) サイトにてプレスリリースで報告

2) 取引先へ状況の報告

3) 個人情報保護委員会への報告

といった対応が発生します。

 

報告をおこなうためには感染範囲や感染ルート、漏洩データの有無などの調査が必要になりますが、

自社でおこなえる会社はほとんどありません。

実際に調査をおこなうためにはフォレンジック調査が可能な会社に依頼する必要があります。

 

フォレンジック調査は専門性が高く、正直安くはありません。

初めてでフォレンジック会社の選定は判断基準に悩まれるかと思います。

お困りの際はご相談頂ければ業者選定のご助言も可能です。

 

 

 

対応すべき項目と優先順位

 

上記対応をおこなうことにより、ある程度状況が見えてくるかと思いますが、

ここからが重要です。

重要度、緊急度、費用などに落とし込み、専門家の助言を求めながら進める必要があるかと思います。

 

① 業務再開に必須なデータの確保

本番のデータを失ったとしても、各クライアントや過去のバックアップなど、

継ぎはぎでもデータが残っているケースは良くあります。

それらを集めることによって再開可能なレベルなのかどうかは、

データの確認作業が入りますのでそう簡単には確定しないケースが多いです。

必要データの棚卸とそのデータが存在するかどうかの管理表を作成するのが望ましいです。

 

必要データがどうしても存在しない場合、そのデータ無しに運用する方法が無いかを検討しますが、

それも難しい場合は最後の手段として身代金の支払いに応じるかどうかという選択を迫られることになります。

 

② 環境とシステムの再構築

ランサムウェアに感染した社内システムを復旧する場合、

環境面は脆弱性の対策をおこないつつ0から再構築するのが望ましいですが、

調査を待ってからでは再構築が先になってしまいますので、

ある程度の見切りが必要です。

③ 感染ルートと漏洩データの調査

感染ルートの確定には調査結果を待つ必要がありますが、ある程度の推測であれば可能です。

システム再稼働のためには再感染を防ぐことが重要ですので、

感染源と思われる脆弱性を塞いでおくことにより、システムの再構築が可能となります。

 

一方で漏洩の有無についてはすぐには答えは出ないです。

ランサムウェアの種類のよって、漏洩のあるタイプ、無いタイプ、ダークサイトに公開されるタイプなどは

専門家であればこれまでの経験則からすぐにお答えできますが、

恐らくお取引先からは『漏洩があったか？なかったか？』の報告が欲しいと求められます。

報告となると根拠が必要となりますので、フォレンジック調査が可能な業者へ依頼せざるを得ないとなります。

 

④ 脆弱性の対策

システムの再構築のためには最低限脆弱性を塞いでおく必要があります。

VPNやリモートデスクトップなど原因と思われるサービスの停止や各種パスワード変更は最低限必要です。

ランサムウェアに感染した企業には共通点があり、その共通点が脆弱性を持っており感染源となっていました。

もちろんそれ以外の感染ルートの可能性もありますが、

主要な脆弱性を対策するだけでも再感染のリスクはほとんどなくなります。

ただ、将来的な対策は必須ですので、調査と対策は課題のひとつになるかと思われます。

フォレンジック調査後に脆弱性を網羅した対策案のコンサルティングという流れが最善ですが、

コスト面での負担は大きいです。

 

⑤ 顧客、取引先、個人情報保護委員会への報告

お取り扱いのデータによっては各関係先への報告やサイト上でのプレスリリースが必要となります。

また、個人情報保護委員会への報告が必要なケースもあります。

どの企業様も一番悩まれる部分ですが、

場合によってはこの方面に強い法律事務所に相談するのが良い場合もあります。

 

⑥ 警察への被害報告

ランサムウェア感染は犯罪被害になりますので、

もちろん被害届を出していただいて問題ありません。

最近ではサイバー専門のチームも各都道府県に配置されており、

助言ももらえるケースもあるかと思います。

⑦ 保険会社への報告（サイバー保険）

サイバー保険に加入している場合はこれらの対応費用が保険で賄える可能性があります。

（もちろん身代金の支払いはダメです。）

保険会社によっては幅広く保障して頂ける会社もあるようですので、

もし加入している場合は是非とも利用するのがいいかと思います。

感染を機会に加入される会社も多いです。

 

 

ランサムウェア感染によるインシデント対応は会社の存続を左右しかねないかと思います。

当社ではこれまでの1000件を超えるご相談実績から中小企業に特化したコンサルティングをおこなっております。

ランサムウェアのご対応にお困りの場合は一度ご相談ください。

 

 

 

 

データ復旧クイックマンでは、ランサムウェアのデータ復旧、コンサルティングなどおこなっております。

緊急でのご対応も可能です。

お困りの際は下記フリーダイヤルまでご相談ください。

 

クイックマン（S&Eシステムズ株式会社） フリーダイヤル：0120-775-200