ページの先頭です。 メニューを飛ばして本文へ
トップページ > ランサムウェア対策

本文

ランサムウェア対策

掲載日:2024年6月12日 印刷ページ表示

ランサムウェアとは

 感染するとパソコン等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価(金銭や暗号資産)を要求する不正プログラムです。

ランサムウェアの手口

 【従来】
・ 電子メールを送信するといった手口が一般的
 【最近】
・ 企業等のVPN機器等のネットワーク機器のぜい弱性を狙って侵入する
・ データを暗号化する
・  データを窃取した上で、「対価を支払わなければデータを公開する」などと要求する(二重恐喝(ダブルエクストーション))
 手口が多数確認されています。
※ データを窃取し対価を要求する手口(「ノーウェアランサム」)による被害も確認されています。

感染が疑われたら・感染が確認されたら

感染したパソコン等をネットワークから隔離する

・ 感染したパソコン等のLANケーブルを抜くなど
 ランサムウェアに感染したパソコン等をネットワークから隔離してください。
※ パソコンやネットワーク機器等の電源を落とさないでください。(ログ等の証拠保全のため)

警察に通報・相談する

 ランサムウェアの被害に遭った場合は、保存した通信ログ等を持参して、最寄りの警察署又は群馬県警察サイバーセンター(警察本部)に通報・相談してください。
 警察署の一覧
 なお、事前に電話で担当者と日時や持参する資料の調整をしていただくと対応がスムーズに進みます。

感染原因等を調査する

 被害の拡大防止・再発防止のため、ランサムウェアの感染原因等の調査(ランサムウェアの感染が確認されていないパソコンやサーバも含めて)をしてください。
※ 調査に当たっては、感染したパソコンをはじめとした各種機器のログが必要となりますので、ログは、バックアップデータと同様に適切に保管することを推奨します。

VPN機器等のぜい弱性を塞ぐ

 感染原因等の調査を基に、利用しているVPN機器等の機器やパソコンのOS等の更新ファイル、パッチ等を適用してください。

パスワードを変更する

 攻撃者からアクセスされた可能性があるパソコン、サーバ、ネットワーク機器等のパスワードを速やかに変更してください。

暗号化されたファイルを復号する

 一部のランサムウェアは「No More Ransom」プロジェクトのウェブサイトで公開されている復号ツールを利用することで、暗号化されたファイルを復号できる場合があります。
 【次の点に注意】
・ 一部のランサムウェアにしか復号ツールが対応していない
・ 復号ツールが利用できるランサムウェアとして紹介されていた場合であっても、バージョン等の違いにより、復号ツールが使えないことがある

【復号ツール】

○ 復号ツールについて
  ランサムウェアによって暗号化されたファイルを復号するには、感染したランサムウェアの種別を特定する必要があるため、
・ ランサムノート(身代金を要求するドキュメント等)
・ 暗号化されたファイルの拡張子
 を確認し、その情報を基に、ランサムウェアに対応する復号ツールが「No More Ransom」プロジェクトのウェブサイトで公開されているか確認してください。
※ 「No More Ransom」プロジェクトのウェブサイトで公開されている復号ツールの使用方法については、JC3のウェブサイトを参考にしてください。

・ 「No More Ransom」プロジェクトの概要(https://www.npa.go.jp/bureau/cyber/pdf/NO_MORE_RANSOM1.pdf)<外部リンク>
・ 「No More Ransom」プロジェクト(https://www.nomoreransom.org/ja/index.html)<外部リンク>
・ 一般財団法人日本サイバー犯罪対策センター(JC3)(https://www.jc3.or.jp/threats/topics/article-375.html)<外部リンク>

被害防止対策

VPN機器等のぜい弱性を塞ぐ

 利用しているVPN機器やOS等の更新ファイル、パッチ等を適用して、ぜい弱性を残さないようにしてください。

認証情報を適切に管理する

 【パスワードが初期設定のままであったり、よく使用されているもの(「password」、「qwerty」、「12345678」等)に設定となっている場合】
・ 大文字・小文字・数字・記号の組合せにより文字数が多く、推測されにくい文字列を設定する
・ 他のサービス等で使用していないものを設定し直すなど
 認証情報を適切に管理してください。
※ 2要素認証等による強固な認証手段の導入や、IPアドレス等によるアクセス制限と組み合わせるなどといった対策も積極的に実施してください。
※ パスワードが外部へ流出した可能性がある場合は、速やかにパスワードを変更してください。

アクセス権等の権限を最小化する

 ユーザアカウントに割り当てる権限やアクセス可能とする範囲などは必要最小限にしてください。
※ インターネットに公開しているサーバや機器が乗っ取られた場合に備えて、当該サーバ等からアクセス可能な範囲を限定してください。

ウイルス対策ソフト等を導入する

 ウイルス対策ソフトを導入し、定義ファイルを更新して最新の状態に保つことで、マルウェアやハッキングツール等を利用されるリスクを低減することができます。

電子メール等を警戒する

 知人や企業等からの電子メールと思えるものであっても、
・ 送信元が詐称されている
・ 本文からは不正なメールと見抜けなかったりする
 こともあります。添付ファイル付きのメールやリンク付きのメールは、送信元に確認を行うなど、
・ 不用意に電子メールの添付ファイルを開かない
・ リンク先にアクセスしない
 でください。

ネットワークを監視する

 マルウェア等に感染したパソコンでは、外部のサーバーとの間で不審な通信を行う場合があります。ネットワーク内の不審な挙動を検知し感染拡大や外部からの侵入の範囲拡大を阻止するため、
・ EDR(Endpoint Detection and Response)の導入を検討
 してください。また、侵入経路の特定のため、
・ ネットワーク機器等の各種ログを保存
 してください。
※ ログ等は、ランサムウェアにより暗号化されることもあるため、オフラインで保存してください。

データ等のバックアップを取得する

 ランサムウェアにより、バックアップデータやログも暗号化されてしまう事例が確認されているため、
・ バックアップやログはなるべくこまめに取得
・ ネットワークから切り離してオフラインで保存
 してください。
※ 日頃からバックアップデータによるシステムの復旧手順を確認してください。

参考リンク

・ 一般財団法人日本サイバー犯罪対策センター(JC3)
  「ランサムウェア対策について」(https://www.jc3.or.jp/threats/topics/article-375.html)<外部リンク>

・ 独立行政法人情報処理推進機構(IPA)
  「ランサムウェア対策特設ページ」(https://www.ipa.go.jp/security/anshin/ransom_tokusetsu.html<外部リンク>

  「情報セキュリティ・ポータルサイト「ここからセキュリティ!」」(https://www.ipa.go.jp/security/kokokara/)<外部リンク>

<外部リンク>