ニコニコ動画の影響でセキュリティに詳しくない人にも知れ渡ることになったランサムウェアですが、皆さんは対処方法をご存知ですか?もし知らない人がいたらこの記事で紹介している対処法を実践してみてください。また、ランサムウェアに感染しないための脆弱性対策も紹介しているので、専門のエンジニアを雇うことができない団体や企業の皆さんはぜひこの記事を参考にしてみてください。
ランサムウェアに感染したときは
ランサムウェアに感染したときは、感染しているデバイスが接続できるネットワークを全て切断することが重要です。ランサムウェアとは悪意ある人がネットワークを使って対象のシステムを乗っ取ろうとするウイルスなので、そのままインターネットに接続していると乗っ取り具合がさらに悪化する可能性が高いです。したがって、Wi-Fiを含めたネットワーク回線を物理的に遮断して、事態が悪化しないようにすることが重要です。また、ランサムウェアを使って再度犯人が接続する可能性も考えられるので、接続機器やログインなどに使うパスワードを全て変更するのもおすすめの対策方法です。
感染したときにやってはいけないこと
ランサムウェアに感染したら絶対にやってはいけないことは、感染した端末の電源を落とすことです。理由はパソコンの状態がランサムウェアに感染した状態で正常化してしまうからです。皆さんも新しいドライバーやアプリをインストールしたら、パソコンの再起動を求められたことがあると思います。あの再起動は、ドライバーやアプリをインストールした状態で、パソコンの状態を正常な状態として認識させる役目を担っています。
したがって、ランサムウェアに感染したら不用意に再起動してしまうと、感染した状態を基本仕様としてOSが認識してしまう可能性があるからです。そのため、怖いからといって端末の電源を強制的に落とすことはやめてください。さらに、感染した端末のバックアップを取ることもやめましょう。ランサムウェアに感染したらそのデータのバックアップを取っても、同じランサムウェア付のデータが増えるだけです。また、バックアップを取るストレージに別のデータが存在すると、そのデータまでもランサムウェアに感染する危険性があります。
身代金を要求された場合は?
ランサムウェアに感染したら、悪意あるユーザーが真っ先に実行してくるのが身代金の要求です。データを読み込めないようにしたから解除してほしかったら身代金を暗号通貨で払えなどと脅してくる可能性がありますが、絶対に応じてはいけません。何か言葉を返すと相手に自分の情報を受け渡してしまう可能性が高く、こちらが動揺していることが分かれば、さらに強気に交渉してくる可能性も考えられます。これは犯罪ネゴシエーションや弁護士でもよく使われている方法で、あえて沈黙の時間を増やすことで交渉や事件解決を有利に進めることができます。
端末の初期化をする判断について
ランサムウェアに感染したら、まずは現状確認を最優先に行ってから端末の初期化を検討してください。一番重要な情報が感染範囲の把握で、感染範囲によっては初期化の規模が小さくなる可能性があります。そして次に重要なのがインフラ設備の確認で、インフラ設備までランサムウェアに乗っ取られている場合は、そのまま復旧しても再び乗っ取られる可能性が高いです。したがって、自社でランサムウェアの感染範囲を把握できるソフトを開発できるエンジニアがいるかを確認し、存在した場合はエンジニアの分析結果を待ちましょう。
エンジニアが存在しないときは、市販のセキュリティソフト、例えばウイルスバスター 必要かどうかを検討し、警察などの専門家への相談の元、セキュリティソフトで対応するかどうかを決めるのがおすすめです。
感染経路とVPNの脆弱性対策
ランサムウェアに感染したらどこから感染したのかを検証しましょう。最も怪しいのがデータを持ち帰った社員の存在で、仮に持ち帰っているならその持ち帰った社員のパソコンから感染した可能性が考えられます。また、持ち帰っていなくてもリモートデスクトップ機能を使った感染経路も考えられるので、各社員の自宅に設置されたパソコンにセキュリティソフトをインストールして、メールや不審なファイルなどからランサムウェアを持ち込んだ形跡が無いかを検査してください。もし無かった場合は、VPN危機からランサムウェアが感染した可能性が高いです。
セキュリティソフトやその他調査会社による検証によると、ランサムウェアが感染した原因の多くは、VPN機器を更新しないことで発生した可能性が高いと言われています。理由はVPNのセキュリティ情報は、常に犯罪者の間で売買されているとも言われているからで、最新の状態に更新しないとVPN経由でランサムウェアに感染する可能性が非常に高くなります。したがってランサムウェアに一番効果的な対策方法は、セキュリティソフトのVPNを常に新しいものに更新することです。
端末が完全に乗っ取られたときは
ランサムウェアに感染したら、最も危険性の高い状態が端末が完全に乗っ取られた状態です。完全に乗っ取られてしまうと、セキュリティソフトを使ってランサムウェアを駆除することが難しくなるので、仮に何も操作を受け付けず対応に困ったときは、感染した端末の電源を落としても大丈夫です。ただし、再度電源を入れるときは、必ず端末をセーフモードで起動してください。セーフモードとは、端末が正常に起動した状態に戻すことができるモードのことで、Windows端末では電源を入れてからF8を連打することで起動する仕組みになっています。一部のパソコンはF8ではなく別のキーになっている場合もあるので、詳しくはお使いのパソコンをご確認ください。セーフモードを起動したら、コンピューターの修復を選びエンターキーを押せば修復作業が開始されます。
まとめ
ランサムウェアに感染したら、ネットワークによるさらなる被害拡大を防ぐためにWi-Fiなどのネットワークを全て切断することが重要です。ただし、感染した端末の電源をいきなり落とすことはおすすめできません。不用意に電源を落とすとさらに被害規模が悪化する可能性が高く、端末の初期化やセキュリティソフトによる解決を含めた方法を警察やエンジニアなどの専門家に相談してから行うのが一番おすすめです。仮にもし再起動する選択を取った場合は、セーフモードで起動して正常に端末を起動できる状態まで戻せるかを試し、できなかったときに初期化を検討する方法がおすすめです。
