ランサムウェアに感染してしまった時の対処法｜やってはいけない行動と正しい初動対応

サイバー攻撃による被害が日々深刻化する中、ランサムウェアは企業にとって最も警戒すべき脅威の一つとなっています。かつてのサイバー攻撃は技術力の誇示や愉快犯的な側面が強い傾向にありましたが、現在は組織化・ビジネス化が加速し、洗練された手法で金銭獲得を狙っています。特筆すべき点は、大企業のみならず中小企業も主要な標的となっていることです。

「自社のような規模の会社は狙われない」と考える経営者も存在しますが、これは危険な誤解です。むしろ中小企業はセキュリティ対策が手薄なケースが多く、攻撃者にとって侵入しやすい対象となっているのです。

理想はサイバー攻撃を未然に防ぐことですが、100%の防御は現実的ではありません。だからこそ、万一感染した際の対応手順を事前に整備しておくことが不可欠です。本記事では、ランサムウェアに感染してしまった場合の具体的な対処法を、実践的に解説します。

ランサムウェアとは何か

ランサムウェア（ransomware）は、「身代金（ransom）」と「ソフトウェア（software）」を組み合わせた造語で、システムやデータを人質にして金銭を要求する不正プログラムです。 感染すると、ランサムウェアはコンピュータ内のファイルを暗号化して使用不能な状態にし、その後攻撃者は復号キーと引き換えに身代金（多くは仮想通貨）の支払いを要求してきます。 近年のランサムウェアは手口が巧妙化しており、ファイル暗号化に加えて機密データを窃取し、「支払わなければ公開する」と二重に脅迫するケースが増加しています。バックアップから復元できる場合でも、データ漏洩という二次被害のリスクに晒されることになります。 ランサムウェア攻撃は業務停止や重要データの喪失を引き起こし、企業活動に壊滅的な影響を及ぼす可能性があります。

また近年では、暗号化を行わず窃取した情報の公開のみを脅迫材料とする「ノーウェアランサム」という新たな手口も出現しています。

感染の兆候を見極める

ランサムウェアの感染が疑われる場合、まずランサムノート（脅迫文）の有無を確認しましょう。
ランサムノートはデスクトップの壁紙、目立つ場所に配置されたテキストファイル、あるいはポップアップウィンドウとして表示されます。場合によっては、情報漏洩を検知した外部のセキュリティ企業や監督官庁から連絡が入ることもあります。

絶対にやってはいけない行動

感染が疑われる状況で誤った対応を取ると、被害が拡大する恐れがあります。まずは避けるべき行動を把握しておきましょう。

1. 慌てて焦った行動を取る

ランサムウェア感染は危機的状況ですが、パニック状態での判断は事態を悪化させます。冷静さを欠くと必要な手順を見落としたり、不適切な判断を下したりする危険があります。事前に策定した対応計画（インシデント対応計画）に沿って、関係者と連携しながら段階的に対処することが大切です。

2. 端末やサーバーを再起動する

マルウェア感染時の鉄則として、安易な再起動は厳禁です。
被害状況の分析に必要なメモリ上の証拠が消失するほか、再起動をトリガーとして動作を加速させるマルウェアも存在します。

3. 感染端末を使い続ける

再起動は避けるべきですが、感染端末の継続使用も同様に危険です。使用を続けると、暗号化されるファイルが増加し、ネットワーク経由で他の端末にも感染が拡大する可能性があります。さらに攻撃者がシステムへのアクセスを維持し、追加の機密情報を窃取するリスクもあります。感染を確認したら、即座にネットワークから隔離し、専門家の判断を仰ぐまで操作を控えてください。

4. 身代金を即座に支払う

身代金の即断即決での支払いは推奨できません。焦って支払うと、バックアップからの復旧など他の解決策を検討する時間を失います。また支払い実績が犯罪組織の活動を助長し、将来的な攻撃増加につながる危険性があります。さらに、支払ってもデータが確実に復元される保証は一切ありません。

5. 攻撃者との直接交渉に応じる

専門知識を持たない状態での攻撃者との交渉は、多大なリスクを伴います。不利な条件を受け入れざるを得なくなったり、交渉の過程で新たな弱点や機密情報を露呈したりする可能性があります。
交渉はサイバーセキュリティの専門家や警察など、適切な第三者を介して進めることが重要です。

6. 証拠を削除する

早期復旧を急ぐあまり、証拠となるデータを削除しないよう注意が必要です。システムログ、暗号化されたファイル、攻撃者からのメッセージなどは、後の調査や法的手続きにおいて不可欠な証拠となります。これらの情報は攻撃手法の解明と再発防止策の策定、さらにはサイバー保険の請求や刑事告訴の際にも必要です。証拠は専門家の指示に従い、適切に保全してください。

感染時に取るべき正しい対応

次に、感染確認後に実施すべき具体的な対応手順を説明します。

1. 即座にネットワークから隔離

感染を確認したら、何よりも先に該当端末をネットワークから切り離します。LANケーブルの抜線、Wi-Fi接続の解除を実行してください。この措置により、ランサムウェアの横展開を阻止し、他システムやデータへの被害拡大を防げます。また攻撃者からの追加指令や暗号化処理を遮断できる可能性もあります。初動の速さが被害規模を左右します。

2. 被害範囲を正確に把握

感染の影響範囲を詳細に調査します。どのファイルが暗号化されたか、どのシステムが影響を受けたかを確認してください。暗号化ファイルの種類・量・重要度を評価し、業務への影響度を判定します。データ漏洩の可能性についても検証し、機密情報の含有有無を確認することが必要です。
データ漏洩の有無については、ダークウェブ監視サービスの利用、システムログの解析などの方法がありますが、平時から信頼できる調査会社と連絡体制を構築しておくことを推奨します。

3. 社内外の関係者への通知

速やかに関係各所に状況を報告します。IT部門、経営層、法務、広報など、インシデント対応に関わる部署への連絡を優先してください。各部署の役割分担を明確にし、連携して対応にあたります。必要に応じて取引先や顧客への説明も行い、誠実な情報開示を心がけます。迅速で正確な情報共有が、効果的なインシデント対応の基盤となります。

4. 証拠の適切な保全

法的対応や保険請求に備え、証拠を確実に保全します。システムログ、暗号化ファイル、攻撃者のメッセージなどを保存してください。可能であればメモリダンプも取得し、フォレンジック調査に備えます。証拠の改変を防ぐため、専門家の指導の下で作業を進めてください。保全した証拠は、攻撃手法の分析や再発防止策の立案にも活用可能です。

5. 専門家への早急な相談

サイバーセキュリティの専門家や警察への連絡を速やかに行います。専門家は豊富な経験と高度な技術を有しており、効果的な対応方針を提示可能です。警察は犯罪捜査の視点から助言を提供し、類似事案の情報も共有してくれる可能性があります。JPCERT/CCなどの公的機関への報告も検討し、多角的な支援体制を構築しましょう。

6. バックアップの状態確認

定期バックアップの存在と完全性を検証します。バックアップデータがランサムウェアに感染していないか、慎重な確認が必要です。攻撃前の直近のクリーンなバックアップを特定できれば理想的です。特にオフラインで保管されたバックアップは価値が高くなります。バックアップからの復旧が可能であれば、身代金支払いを回避できる確率が上がります。

7. 身代金支払いの慎重な判断

原則として身代金の支払いは推奨されません。ただし、人命に関わる状況や大規模災害に発展する恐れがある場合など、警察やセキュリティ専門家との協議を経て、やむを得ず対処せざるを得ないケースも想定されます。
海外では、交渉代行者（ネゴシエーター）が攻撃者と癒着し、支払いを誘導したり、攻撃者から報酬を受け取ったりする事例も報告されています。信頼できる相談先を日頃から確保しておくことが重要です。

8. システムの再構築と復旧

クリーンな環境からシステムを再構築します。感染端末は完全に初期化し、最新のセキュリティパッチ適用後に必要なソフトウェアを再導入します。バックアップからのデータ復元時は、ファイルの安全性を入念に確認してください。復旧完了後も、システムの挙動を継続的に監視し、異常の有無をチェックします。

なお、暗号化されたファイルは回復不可能と思われがちですが、一部のランサムウェアには復号ツールが提供されています。
ヨーロッパの警察機関や大手IT企業が運営する「No More Ransom」では、暗号化ファイルやランサムノート、実行犯のメールアドレス、ビットコインアドレスなどからランサムウェアを特定し、対応する復号ツールを無償で提供しています。
2025年1月時点で、180種類のランサムウェアに対応した復号ツールが利用可能です。

NO MORE RANSOM

9. セキュリティ体制の再構築

一度攻撃を受けた組織は、再攻撃のターゲットになるリスクがあります。その理由は以下の通りです。

• 攻撃者は同一の脆弱性を利用して再侵入を試みる可能性が高い
• 初回攻撃で入手した内部情報を基に、より高度な攻撃を展開する危険性
• バックドアが残存している可能性があり、その駆除が必須

攻撃を教訓として、セキュリティ対策を根本から見直します。ファイアウォールやアンチウイルスの強化、多要素認証の実装、定期的なセキュリティ監査の実施などを検討してください。従業員へのセキュリティ教育も欠かせません。さらに、ゼロトラストアーキテクチャの導入など、先進的なセキュリティ戦略の採用も視野に入れましょう。

10. 事後分析と報告書作成

攻撃の全体像を詳細に分析し、報告書として記録します。侵入経路、使用されたマルウェアの種類、被害範囲、対応の効果などを文書化してください。この分析を基に、セキュリティポリシーや対応手順の改善箇所を明確にします。得られた知見を組織全体で共有し、同様の攻撃に備えます。継続的な改善サイクルの確立が重要です。

二次被害を防ぐための対策

ランサムウェア攻撃の影響は自社内に留まりません。窃取された情報が公開されれば、第三者にも被害が波及します。以下の二次被害防止策は特に重要です。

迅速で透明性のある情報開示

個人情報漏洩が判明したら、速やかで誠実な情報開示が必須です。被害者に対して、漏洩の事実、範囲、想定されるリスクを明瞭に伝えます。通知には漏洩した情報の種類（氏名、住所、クレジットカード番号など）、悪用の可能性、被害者が取るべき具体的な防御策を記載します。迅速な開示は被害者の自衛措置を可能にし、組織の信頼維持にも貢献します。

また、個人情報保護委員会や監督官庁への報告も必要です。特にGDPR対象国の個人情報が含まれる場合、72時間以内の報告義務があるため注意してください。

パスワードリスト攻撃への警告

漏洩情報に平文のアカウント情報が含まれる場合、パスワードリスト攻撃のリスクについて注意喚起が必要です。同一パスワードを他のサービスでも使用している場合、すべてのパスワード変更を促します。新パスワードは十分な複雑性を持ち、従来とはまったく異なるものを選択するよう呼びかけてください。

身代金支払いの是非について

ランサムウェア攻撃を受けた際、一般的に身代金の支払いは推奨されません。その理由は以下の通りです。

犯罪組織への資金提供

身代金支払いは、サイバー犯罪組織の活動資金に直結します。資金を得た組織は技術力や組織力を強化し、さらに多くの被害者を生み出します。また、ランサムウェア攻撃が「収益性の高いビジネス」として認識されることで、新規参入者が増加し、攻撃の頻度や規模が拡大する悪循環を招きます。結果として、サイバー犯罪エコシステム全体を増強してしまう危険性があります。

データ復元の保証がない

犯罪者との取引には信頼性が皆無です。身代金を支払っても、復号キーが提供されない、または提供されても正常に機能しないケースが頻発しています。一部データのみが復元され残りが失われる事態や、復元後も秘密裏にバックドアが仕掛けられている可能性もあります。

再攻撃の標的化

身代金を支払った組織は「支払い実績がある」標的として記録され、同一の攻撃者や別の犯罪グループから再度狙われるリスクが高まります。セキュリティの脆弱性が未修正の場合、同一手法での反復攻撃を受ける可能性もあります。長期的には、より甚大な損害につながる恐れがあります。

追加脅迫の材料になる

攻撃を隠蔽しようとした場合、犯罪組織は身代金支払いの事実を公表すると脅迫し、追加の金銭を要求してくることがあります。

法的問題の可能性

一部の国では、特定のサイバー犯罪組織への支払いが法律で禁止されており、支払い自体が違法行為と見なされる場合があります。

支払いを検討せざるを得ない例外的状況

原則として身代金支払いは避けるべきですが、極めて例外的に検討を余儀なくされる状況も存在します。

・人命に直接関わる場合（医療機関など）
・大規模災害に発展する危険性がある場合
・国家安全保障に関わる極めて重要な情報が関与する場合

このような状況でも、警察や専門家との綿密な協議を経て判断することが不可欠です。

よくある質問（Q&A）

Q1. ランサムウェアに感染したかどうかはどうやって確認できますか?

A1. 以下のような兆候が見られた場合、感染の可能性があります。
・デスクトップに身代金要求のメッセージが表示される
・ファイルの拡張子が不明なものに変更されている
・ファイルを開こうとすると「暗号化されています」というメッセージが出る
・システムの動作が異常に遅くなる
これらの症状が確認されたら、すぐにネットワークから隔離し、専門家に相談してください。

Q2. バックアップがあれば身代金を支払わなくても大丈夫ですか?

A2. バックアップから復旧できる場合、身代金支払いを回避できる可能性は高まりますが、注意点があります。
・バックアップ自体が感染していないか確認が必要
・データ窃取による二重脅迫の場合、復旧しても情報漏洩のリスクは残る
・オフラインで保管されたバックアップが最も安全
定期的なバックアップと、その安全性の検証が重要です。

Q3. 感染後、どのくらいの時間で対応すべきですか?

A3. できるだけ迅速な対応が求められます。
・ネットワーク隔離：即座（数分以内）
・専門家への連絡：1時間以内が理想
・関係者への通知：数時間以内
・個人情報漏洩の報告：GDPR対象の場合は72時間以内
初動の遅れは被害拡大に直結するため、事前に対応計画を策定しておくことが重要です。

Q4. 中小企業でもランサムウェア対策は必要ですか?

A4. むしろ中小企業こそ対策が必要です。
・セキュリティ対策が手薄なため攻撃者の標的になりやすい
・一度の攻撃で事業継続が困難になるリスクが高い
・サプライチェーン攻撃の足がかりとして狙われるケースもある
予算に制約がある場合でも、基本的な対策（バックアップ、従業員教育、OSの更新など）は実施しましょう。

Q5. ランサムウェア保険に入っていれば安心ですか?

A5. 保険は有用ですが、それだけで十分ではありません。
・保険適用には条件があり、すべてのケースがカバーされるわけではない
・業務停止による機会損失や信用失墜は金銭では補償できない
・保険加入の前提として、基本的なセキュリティ対策が求められる
保険は「最後の砦」として考え、予防と早期発見の体制整備が最優先です。

まとめ