ランサムウェアを初心者でも分かりやすく完全解説

ランサムウェアを簡単に言うと？

あなたの家の中のすべてのものに、開けられない特殊な鍵がかけられてしまう状況に似ています。部屋のドア、金庫、冷蔵庫、パソコン、すべてに鍵がかかり、何も使えなくなります。そして犯人から「鍵を返してほしければお金を払え」という脅迫状が届きます。

お金を払っても本当に鍵がもらえる保証はなく、鍵を渡すフリをして逃げられることもあります。さらに悪質なことに、犯人はあなたの家の中を事前に調べ回り、恥ずかしい写真や秘密の文書を盗み出しておいて、「お金を払わなければ、これらを近所中にばらまく」と二重に脅迫してきます。デジタルの世界では、この「鍵」が非常に複雑な暗号技術で作られており、現代の最高性能コンピュータをもってしても、何百年かかっても解読できないほど強固です。

暗号化型ランサムウェア

最も一般的なタイプで、ファイルを強力な暗号化アルゴリズム（AES、RSAなど）で暗号化し、復号キーと引き換えに身代金を要求します。CryptoLocker、WannaCry、Ryukなどがこのタイプに該当します。暗号化されたファイルは、正しい復号キーがなければ実質的に復元不可能です。

ダブルエクストーション（二重脅迫）型

2019年頃から主流となったタイプで、ファイルを暗号化する前にデータを盗み出し、「身代金を払わなければ盗んだデータを公開する」と二重に脅迫します。たとえバックアップからデータを復元できても、情報漏洩を防ぐために身代金を支払わざるを得ない状況に追い込まれます。Maze、REvil、Contiなどがこの手法を採用しています。

トリプルエクストーション（三重脅迫）型

二重脅迫をさらに進化させたもので、被害組織だけでなく、その顧客や取引先にも直接連絡を取り、「あなたの情報が漏洩している」と通知して、被害組織への圧力を高めます。また、被害組織の株主に連絡したり、メディアにリークしたりすることもあります。

モバイル向けランサムウェア

スマートフォンやタブレットを標的とするランサムウェアです。主にAndroid端末を狙い、画面をロックしたり、写真や連絡先を暗号化したりします。不正なアプリストアからのダウンロードやSMSフィッシング（スミッシング）を通じて拡散されます。

ワイパー偽装型

ランサムウェアを装いながら、実際にはデータを復元不可能な形で破壊する悪質なマルウェアです。身代金を支払ってもデータが戻らないため、金銭目的というより、組織への妨害や破壊を目的としています。NotPetyaやOlympic Destroyerなどがこのカテゴリに含まれます。

ランサムウェアで発生する直接的被害

すべてのファイルの暗号化と利用不能

ランサムウェアに感染すると、端末内の文書、画像、動画、データベース、メールアーカイブなど、あらゆるファイルが暗号化され、完全に読み取れなくなります。個人の場合、思い出の写真、動画、音楽コレクション、重要な契約書、税務書類などが一瞬で失われます。企業の場合は、業務に必要な見積書、契約書、顧客データベース、会計データ、設計図、ソースコードなど、事業の根幹をなすすべてのデータが使えなくなり、業務が完全に停止します。バックアップがなければ復旧は極めて困難で、最悪の場合、事業の継続そのものが不可能になります。

高額な身代金の要求

攻撃者は通常、数万円から数億円規模の身代金を暗号資産（主にビットコイン、モネロ）で要求します。個人には数万円から数十万円、中小企業には数百万円から数千万円、大企業や自治体には数千万円から数億円という金額が提示されます。支払期限が設定され、期限を過ぎると要求額が倍増したり、データが永久に削除されたりすると脅迫されます。暗号資産での支払いは追跡が困難で、一度送金すると取り戻すことはほぼ不可能です。

機密情報の窃取と二重脅迫

最近のランサムウェアは、暗号化する前にデータを盗み出し、「身代金を払わなければ盗んだ情報をダークウェブやインターネット上に公開する」という二重脅迫を行います。顧客情報、クレジットカード番号、個人情報、財務データ、取引先との契約内容、企業秘密、個人のプライベートな写真や動画などが流出する危険があります。たとえバックアップから復旧できても、情報公開を止めるために身代金を払わざるを得ない状況に追い込まれます。実際に、多くの攻撃者グループは「リークサイト」を運営し、身代金を支払わなかった組織のデータを段階的に公開しています。

ネットワーク全体への拡散

現代のランサムウェアは、最初に感染した端末だけでなく、同じネットワークに接続されているすべての端末、サーバー、ネットワーク共有フォルダ、クラウドストレージにまで拡散します。企業内の全従業員の端末、サーバー、バックアップシステムまでが同時に暗号化され、組織全体が機能停止に陥ります。

システムとサービスの完全停止

ランサムウェアが重要なシステムファイルやデータベースを暗号化すると、端末の起動そのものができなくなったり、業務システムが完全に停止したりします。製造業では生産ラインが止まり、物流業では配送システムが機能せず、小売業ではPOSシステムが使えなくなり、医療機関では電子カルテや予約システムが停止します。

ランサムウェアで発生する間接的被害

事業の長期停止と収益損失

ランサムウェアからの復旧には、通常数日から数週間、複雑なケースでは数ヶ月かかります。その間、企業は営業活動ができず、製造ラインが停止し、顧客へのサービス提供が不可能になります。日々の売上が失われるだけでなく、納期遅延による違約金、顧客離れによる長期的な収益減少も深刻です。医療機関では手術の延期や救急患者の受け入れ停止など、人命に関わる事態も発生しています。自治体では住民サービスが停止し、行政機能が麻痺します。

膨大な復旧コストと専門家への依頼費用

ランサムウェアからの復旧には、身代金以上の費用がかかることがあります。システムの完全な再構築、データ復旧サービスへの依頼、フォレンジック調査（どこから侵入されたか、何が盗まれたかの特定）、セキュリティ強化、法律事務所への相談、広報対応など、復旧作業だけで数百万円から数千万円のコストが発生します。全従業員の端末のチェックと再設定、セキュリティ対策の全面見直し、新しいシステムの導入なども必要になります。さらに、事業中断保険やサイバー保険に加入していても、すべての損失がカバーされるわけではありません。

社会的信用の失墜と法的責任

ランサムウェア被害により顧客情報が流出した企業は、個人情報保護法違反として、最大1億円の罰金や行政処分を受ける可能性があります。メディアで大々的に報道され、企業名がランサムウェア被害と結びついて検索されるようになり、ブランドイメージが大きく損なわれます。取引先からの信頼を失い、契約が解除されたり、新規取引が困難になったりします。上場企業の場合は株価が下落し、株主から経営責任を追及されます。顧客からの集団訴訟のリスクもあり、企業の存続そのものが危ぶまれる事態に発展することもあります。さらに、適切なセキュリティ対策を怠っていたとして、取締役の善管注意義務違反が問われるケースもあります。

従業員の士気低下と人材流出

ランサムウェア被害により長期間業務ができなくなると、従業員は不安とストレスを抱えます。給与の支払いが遅れたり、雇用自体が不安定になったりすることもあります。また、顧客からのクレーム対応や復旧作業による長時間労働が続き、優秀な人材が離職する可能性もあります。

取引先や顧客への波及被害

被害企業だけでなく、そのサプライチェーン全体に影響が及びます。部品や製品の供給が止まることで、取引先企業の生産活動にも支障が出ます。また、流出した顧客データが悪用され、フィッシング詐欺や不正アクセスの被害が取引先や顧客に広がることもあります。

主な感染経路

フィッシングメールと悪意のある添付ファイル

最も一般的な感染経路です。攻撃者は正規の企業、政府機関、知人などを装ったメールを送り、請求書、配送通知、重要な文書、履歴書などを装った添付ファイルを開かせようとします。添付ファイルは、Word文書やExcelファイルに見えても、実際にはマルウェアを含むマクロが仕込まれていたり、実行可能ファイル（.exe）を二重拡張子（請求書.pdf.exe）で偽装していたりします。

不正なリンクとウェブサイト

メールやSMS、SNSのメッセージに含まれる不正なリンクをクリックすると、ランサムウェアがダウンロードされたり、脆弱性を突いて自動的に感染したりします。正規サイトが改ざんされて不正なコードが埋め込まれている場合もあります。

リモートデスクトップ接続（RDP）の攻撃

企業がリモートワークのために公開しているRDP接続を標的に、総当たり（ブルートフォース）やパスワードリスト攻撃（クレデンシャルスタッフィング）で侵入します。弱いパスワードや、使い回されたパスワードが設定されている場合、容易に突破されます。

ソフトウェアの脆弱性の悪用

OSやアプリケーションの脆弱性を突いて侵入します。WannaCryが悪用したEternalBlueのように、パッチが公開されているにもかかわらず、更新していない端末が狙われます。ゼロデイ攻撃（パッチが存在しない脆弱性を突く攻撃）も存在します。

不正なダウンロードとソフトウェア

海賊版ソフトウェア、クラック版ゲーム、不正なライセンス認証ツールなどに、ランサムウェアが仕込まれていることがあります。また、正規に見える無料ソフトウェアにマルウェアが含まれている場合もあります。

USBメモリや外部ストレージ

感染した端末から使用したUSBメモリや外部ハードディスクを通じて、他の端末に拡散します。攻撃者が意図的に感染したUSBメモリを駐車場や受付に置いておき、拾った人が好奇心で接続することを狙う「USBドロップ」という手法もあります。

サプライチェーン攻撃

信頼されている取引先やサービスプロバイダーを経由して侵入します。取引先の端末が感染していて、そこから送られてきた正規のファイルにマルウェアが含まれているケースや、利用しているクラウドサービスが侵害されて、そこから拡散するケースがあります。

ランサムウェアの攻撃プロセス

ランサムウェア攻撃は、通常以下のような段階を経て実行されます。

第1段階：初期侵入

上記のいずれかの経路で、最初の端末に侵入します。この段階では、まだランサムウェア本体は展開されず、小さなドロッパー（マルウェアをダウンロードするための小さなプログラム）やバックドアが設置されます。

第2段階：権限昇格

侵入した端末で、管理者権限を取得しようとします。OSやアプリケーションの脆弱性を悪用したり、保存されている認証情報を盗んだりして、より高い権限を獲得します。

第3段階：内部偵察

ネットワーク内を探索し、どのようなサーバーがあるか、どこに重要なデータが保存されているか、バックアップシステムはどこにあるかなどを調査します。この段階には数日から数週間かかることもあり、攻撃者は慎重に行動します。

第4段階：横展開

侵入した端末から、ネットワーク内の他の端末やサーバーへと感染を拡大します。SMBプロトコルの脆弱性や、盗んだ認証情報を使って、次々と他の端末に侵入していきます。

第5段階：データの窃取

二重脅迫型の場合、この段階で重要なデータを盗み出し、攻撃者のサーバーに送信します。顧客データベース、財務情報、契約書、機密文書など、価値の高いデータが優先的に盗まれます。

第6段階：防御の無効化

セキュリティソフトウェアを停止させたり、ログを削除したりして、攻撃の痕跡を消そうとします。バックアップシステムも標的となり、暗号化されたり削除されたりします。

第7段階：ランサムウェアの展開

すべての準備が整った時点で、ネットワーク内の端末に一斉にランサムウェアが展開されます。多くの場合、週末や休日など、発見が遅れそうなタイミングが選ばれます。

第8段階：暗号化の実行

強力な暗号化アルゴリズムを使って、ファイルを次々と暗号化していきます。この過程は数分から数時間で完了します。

第9段階：身代金の要求

暗号化が完了すると、デスクトップに身代金要求のメッセージが表示され、支払い方法や期限、金額などが提示されます。暗号資産のウォレットアドレスや、攻撃者との連絡方法（Torブラウザでアクセスするダークウェブのサイトなど）が記載されています。

WannaCry（2017年5月）

WannaCryは、2017年5月に世界中で大規模な被害を引き起こしたランサムウェアです。150カ国以上、推定30万台以上の端末が感染し、被害総額は数十億ドルに達したとされています。イギリスの国民保健サービス（NHS）では、81の医療機関が影響を受け、手術や診療の予約がキャンセルされ、救急車が他の病院に転送されるなど、医療現場に深刻な影響を与えました。

WannaCryの特徴は、NSAから流出したとされるWindowsの脆弱性「EternalBlue」を悪用し、ネットワーク内で自動的に拡散するワーム機能を持っていた点です。Microsoftは既にパッチを公開していましたが、更新していない端末が多数存在したため、急速に拡散しました。身代金は300〜600ドル程度と比較的少額でしたが、暗号化の実装に不備があり、支払ってもデータが復元されないケースが多発しました。

NotPetya（2017年6月）

NotPetyaは、2017年6月にウクライナを中心に発生した、ランサムウェアを装ったワイパー系マルウェアです。ウクライナの会計ソフトウェアの更新機能を悪用して配布され、政府機関、銀行、電力会社、空港などが影響を受けました。さらに、ウクライナに拠点を持つ多国籍企業を通じて世界中に拡散し、製薬大手のMerck、海運大手のMaersk、物流大手のFedExなどが甚大な被害を受けました。

NotPetyaは表面上はランサムウェアを装っていましたが、実際にはデータを復元不可能な形で破壊するワイパー系マルウェアでした。身代金を支払っても、データは戻りませんでした。Maerskは全世界のシステムを再構築するために10日間の業務停止を余儀なくされ、被害総額は約3億ドルに達したとされています。

Ryuk（2018年〜）

Ryukは、2018年に登場した、標的型攻撃に特化したランサムウェアです。主に大企業、医療機関、地方自治体を標的とし、高額な身代金（数百万ドル規模）を要求することで知られています。Ryukの攻撃は、事前に標的のネットワークに長期間潜伏し、重要なシステムやデータの場所を特定してから、最大の被害が出るタイミングで一斉に暗号化を実行するという手法をとります。

アメリカでは、多数の医療機関や自治体がRyukの被害を受け、医療サービスの停止や行政機能の麻痺が発生しました。日本でも複数の企業がRyuk攻撃を受けたことが報告されています。Ryukは、TrickbotやEmotiなど他のマルウェアと連携して配布されることが多く、複雑な攻撃チェーンを形成しています。

Colonial Pipeline（2021年5月）

Colonial Pipelineは、アメリカ東海岸への燃料供給を担う重要なパイプラインで、2021年5月にDarkSideというランサムウェアグループの攻撃を受けました。サイバー攻撃により、同社は予防措置としてパイプラインの操業を完全に停止し、東海岸の複数の州でガソリンや航空燃料の不足が発生しました。同社は440万ドル（約5億円）の身代金を支払い、その後FBIが一部を回収することに成功しました。

この事件は、ランサムウェアが重要インフラに与える影響の深刻さを世界に示しました。攻撃後、アメリカ政府はサイバーセキュリティ対策の強化を発表し、重要インフラへのランサムウェア攻撃を国家安全保障上の脅威として位置づけました。

JBS（2021年6月）

JBSは世界最大の食肉加工会社で、2021年6月にREvil（Sodinokibi）というランサムウェアグループの攻撃を受けました。攻撃により、アメリカ、カナダ、オーストラリアの食肉処理施設が一時的に操業停止となり、食肉供給に大きな影響が出ました。同社は、供給の安定化のために1100万ドル（約12億円）の身代金を支払ったことを認めました。

この事件も、サプライチェーンの重要性と、ランサムウェアが食品供給などの生活に直結するインフラに及ぼす影響の大きさを示しました。

Kaseya（2021年7月）

Kaseyaは、IT管理ソフトウェアを提供する企業で、2021年7月にREvil攻撃を受けました。この攻撃の特徴は、Kaseyaのソフトウェアを利用している多数のマネージドサービスプロバイダー（MSP）を経由して、その顧客企業に一斉にランサムウェアが配布された点です。推定1500社以上が影響を受け、サプライチェーン攻撃の典型例となりました。

REvil攻撃者は、すべての被害者を一括で復号する「ユニバーサルデクリプター」と引き換えに、7000万ドルという前例のない高額な身代金を要求しました。

基本的な予防対策

定期的で適切なバックアップ

ランサムウェア対策の最も重要な要素です。重要なデータを、外付けハードディスク、クラウドサービス、オフラインストレージ（NAS）など、複数の場所に定期的にバックアップします。重要なのは「3-2-1ルール」を守ることです。これは、データのコピーを3つ作り、2種類の異なる媒体に保存し、1つは物理的に離れた場所（オフサイト）に保管するという原則です。さらに、バックアップ自体がランサムウェアで暗号化されないよう、バックアップ完了後はネットワークから切り離す、または書き込み専用の設定にすることが重要です。バックアップからの復元テストも定期的に実施し、いざという時に確実に復元できることを確認しておきます。

セキュリティソフトウェアの導入と更新

信頼できるセキュリティソフトウェア（ウイルス対策ソフト）を導入し、常に最新の状態に保ちます。リアルタイム保護機能を有効にし、定義ファイルは自動更新に設定します。エンドポイント保護製品（EDR: Endpoint Detection and Response）は、既知のマルウェアだけでなく、異常な動作パターンを検知する機能も持っており、より高度な保護を提供します。

OSとアプリケーションの定期的な更新

Windowsのセキュリティパッチ、macOSやiOSのアップデート、Androidの更新、使用しているすべてのアプリケーションの最新版への更新を速やかに適用します。多くのランサムウェアは、既知の脆弱性を悪用するため、パッチを適用していれば防げる攻撃が多数あります。自動更新を有効にすることで、更新の適用漏れを防げます。

メールとリンクへの警戒

不審なメールの添付ファイルを開かない、信頼できない送信者からのリンクをクリックしないという基本的な注意が重要です。たとえ送信者が知人であっても、内容に不自然な点がある場合は、電話など別の手段で確認します。添付ファイルを開く前にセキュリティソフトでスキャンする習慣をつけます。

強力なパスワードと多要素認証

すべてのアカウントに強力で推測されにくいパスワードを設定し、サービスごとに異なるパスワードを使用します。パスワード管理ツールを活用すると便利です。特にRDP接続やVPN、管理者アカウントには、必ず多要素認証（MFA）を設定し、パスワードだけでは侵入できないようにします。

最小権限の原則

日常的な作業では管理者権限を使用せず、通常ユーザー権限で作業します。管理者権限が必要な作業の時だけ、一時的に権限を昇格させます。これにより、万が一マルウェアに感染しても、システム全体への影響を限定できます。

ネットワークのセグメンテーション

企業の場合、ネットワークを複数のセグメントに分割し、それぞれの間にファイアウォールを設置します。これにより、一つのセグメントが感染しても、他のセグメントへの拡散を防げます。特に重要なサーバーやバックアップシステムは、別のセグメントに配置します。

企業向けの高度な対策

従業員へのセキュリティ教育と訓練

従業員がランサムウェアの危険性を理解し、不審なメールやリンクを見分けられるよう、定期的なセキュリティ教育を実施します。フィッシングメールの模擬訓練を行い、実際に不審なメールが来た時の対処法を身につけさせます。

メールセキュリティの強化

スパムフィルター、添付ファイルのサンドボックス分析（隔離された環境で実行して安全性を確認）、URLフィルタリング、なりすまし検知機能などを導入します。マクロの自動実行を無効にし、必要な場合のみ手動で有効化するよう設定します。

アクセス制御と権限管理

すべてのユーザーとアカウントに対して、業務に必要な最小限の権限のみを付与します。特権アカウント（管理者権限）は厳格に管理し、使用状況をログに記録します。不要になったアカウントは速やかに削除します。

ネットワーク監視と異常検知

SIEM（Security Information and Event Management）システムを導入し、ネットワーク上の異常な通信パターンや、大量のファイルアクセス、暗号化活動などを検知します。AIを活用した異常検知システムは、未知の脅威にも対応できます。

アプリケーションホワイトリスト

承認されたアプリケーションのみ実行を許可し、それ以外のプログラムは実行できないようにします。これにより、未知のマルウェアの実行を防げます。

リモートアクセスの保護

RDP接続は、可能であればインターネットに直接公開せず、VPN経由でのみアクセスできるようにします。やむを得ず公開する場合は、強力なパスワード、多要素認証、IPアドレス制限、アカウントロックアウトポリシーなどを徹底します。

脆弱性管理と定期的なスキャン

自社のシステムに脆弱性がないか定期的にスキャンし、発見された脆弱性は優先度に応じて速やかに対処します。特に、インターネットに公開されているシステムは頻繁にチェックします。

インシデント対応計画の策定

ランサムウェアに感染した場合の対応手順を事前に文書化し、関係者に周知しておきます。誰に連絡するか、どのシステムを優先的に復旧するか、外部の専門家の連絡先、広報対応の方針などを明確にしておきます。定期的に訓練を実施し、計画の実効性を確認します。

業種別の特別な対策

医療機関

電子カルテシステムと医療機器ネットワークの分離、医療機器の定期的なセキュリティ更新（可能な場合）、緊急時の紙ベースでの業務継続計画の策定、患者データの厳格なバックアップ管理が重要です。

金融機関

取引システムとバックオフィスシステムの分離、リアルタイムでの不正取引検知、顧客データの暗号化保存、定期的なペネトレーションテスト、サイバーセキュリティ専門チームの設置が求められます。

製造業

生産管理システムとオフィスネットワークの分離、産業制御システム（ICS）の保護、サプライチェーン全体のセキュリティ管理、設計図や製造データの多重バックアップが必要です。

教育機関

学生や教職員へのセキュリティ教育の徹底、研究データの保護、多数の端末を一元管理するシステムの導入、学外アクセスの厳格な認証管理が重要です。

マルウェア感染を防ぐための日常的な注意

公式ストアからのみアプリをダウンロード

スマートフォンやタブレットでは、Google PlayやApp Storeなど公式のアプリストアからのみアプリをインストールします。提供元不明のアプリのインストールを許可する設定は無効にしておきます。

海賊版ソフトウェアの使用を避ける

海賊版ソフトウェア、クラック版ゲーム、不正なライセンス認証ツールなどには、マルウェアが仕込まれている危険性が高いため、決して使用しません。

見知らぬUSBメモリを接続しない

拾ったUSBメモリや、出所が不明なUSBメモリを端末に接続しません。USBメモリの自動実行機能は無効にしておきます。

公共Wi-Fiでの重要な操作を避ける

暗号化されていない公共Wi-Fiでは、オンラインバンキングやクレジットカード情報の入力など、重要な操作を避けます。必要な場合はVPNサービスを利用します。

ファイル拡張子の表示を有効にする

Windowsでは、デフォルトで拡張子が非表示になっていることがあります。拡張子を表示するよう設定することで、「請求書.pdf.exe」のような偽装ファイルを見分けやすくなります。

ランサムウェア対策を簡単に言うと？

家を守るために、複数の防御層を用意するイメージです。まず、貴重品のコピーを定期的に作って別の場所に保管します（バックアップ）。玄関には頑丈な鍵と警備員を配置し（セキュリティソフト）、窓や扉も定期的に新しい鍵に交換します（アップデート）。家族全員に「知らない人から受け取った荷物は開けない」「怪しい訪問者には応じない」と徹底的に教育します（セキュリティ意識）。さらに防犯カメラで不審者を監視し（ネットワーク監視）、万が一侵入されたときの避難経路や連絡先を決めておきます（インシデント対応計画）。一つの防御が破られても、次の防御が攻撃者を阻止する多層防御の考え方が重要です。

即座に実施すべき対応

ネットワークからの即座の切断

感染を確認したら、すぐにネットワークから切断します。Wi-Fiを無効にし、LANケーブルを抜きます。これにより、他の端末への感染拡大や、攻撃者との通信を遮断できます。

端末の電源は切らない

一見矛盾するようですが、感染した端末の電源はすぐには切らないでください。メモリ上に復号キーの痕跡が残っている可能性があり、電源を切ると失われてしまいます。ただし、暗号化が進行中の場合は、すぐに電源を切ることで被害を最小限に抑えられることもあります。状況に応じた判断が必要です。

写真の撮影と記録

身代金要求画面、暗号化されたファイルのリスト、攻撃者からのメッセージなど、すべての情報をスマートフォンなどで撮影して記録します。これらは後の調査や法執行機関への相談で重要な証拠となります。

他の端末とバックアップの確認

ネットワーク上の他の端末が感染していないか確認します。バックアップシステムも暗号化されていないかチェックします。感染していない端末とバックアップを特定し、それらをネットワークから隔離して保護します。

絶対に身代金を即座に支払わない

焦って身代金を支払わないでください。支払ってもデータが戻る保証はなく、さらなる攻撃の標的になる可能性があります。まずは状況を冷静に把握し、専門家に相談します。

専門家への相談と調査

セキュリティ専門家への連絡

サイバーセキュリティの専門業者に連絡し、フォレンジック調査（どこから侵入されたか、何が盗まれたか、どのシステムが影響を受けたかの詳細な調査）を依頼します。専門家は適切な復旧手順を助言してくれます。

警察・サイバー犯罪相談窓口への通報

警察のサイバー犯罪相談窓口（都道府県警察本部のサイバー犯罪相談窓口）に連絡します。被害届の提出も検討します。法執行機関との連携は、犯人の特定や、他の被害者への情報提供にもつながります。

ランサムウェアの特定

どの種類のランサムウェアに感染したかを特定します。暗号化されたファイルの拡張子、身代金要求メッセージの内容などから、「ID Ransomware」などのオンラインツールで特定できる場合があります。種類が特定できれば、無料の復号ツールが存在するか確認できます。

復号ツールの確認

「No More Ransom」プロジェクトなど、セキュリティ企業や法執行機関が提供する無料の復号ツールが、あなたのランサムウェアに対応しているか確認します。対応するツールがあれば、身代金を払わずにデータを復元できる可能性があります。

復旧と再発防止

バックアップからの復元

感染していないバックアップが存在する場合、まずシステムを完全にクリーンな状態に戻してから、バックアップからデータを復元します。感染した端末のOSを再インストールするか、専門業者にマルウェアの完全な除去を依頼します。

パスワードの全面的な変更

すべてのアカウントのパスワードを変更します。攻撃者が認証情報を盗んでいる可能性があるためです。特に、管理者アカウント、銀行口座、メールアカウント、クラウドサービスのパスワードは優先的に変更します。

セキュリティ対策の全面見直し

再発を防ぐため、どこからランサムウェアが侵入したかを特定し、その経路を塞ぎます。セキュリティソフトの導入、OSの更新、多要素認証の有効化、バックアップ戦略の見直しなど、包括的なセキュリティ対策を実施します。

関係者への通知

顧客情報が流出した可能性がある場合、個人情報保護法に基づき、個人情報保護委員会への報告と、本人への通知が必要になる場合があります。適切な法的助言を受けながら対応します。

再発防止策の実施

インシデントから学んだ教訓を活かし、セキュリティ対策を強化します。従業員へのセキュリティ教育の実施、インシデント対応計画の見直し、定期的なバックアップテストなどを行います。

日本における法的枠組み

不正アクセス禁止法

ランサムウェア攻撃は、他人のコンピュータに不正にアクセスする行為であり、不正アクセス禁止法違反に該当します。違反者には3年以下の懲役または100万円以下の罰金が科されます。

個人情報保護法

ランサムウェア被害により個人情報が流出した場合、企業は個人情報保護法に基づく報告義務と本人への通知義務を負います。個人情報保護委員会への報告が義務付けられており、違反した場合は罰則の対象となります。

刑法（電子計算機損壊等業務妨害罪）

ランサムウェアによってコンピュータやデータを使用不能にする行為は、電子計算機損壊等業務妨害罪に該当する可能性があります。5年以下の懲役または100万円以下の罰金が科されます。

身代金支払いの法的問題

身代金を支払うこと自体は日本の法律で明確に禁止されていませんが、支払い先が制裁対象のテロ組織や犯罪組織である場合、外国為替及び外国貿易法違反やテロ資金提供処罰法違反に問われる可能性があります。アメリカでは、OFACの制裁リストに載っている組織への支払いは違法とされています。

企業の法的責任

取締役の善管注意義務

上場企業や一定規模以上の企業の取締役は、適切なセキュリティ対策を講じる善管注意義務を負っています。セキュリティ対策を怠ってランサムウェア被害が発生した場合、株主代表訴訟で損害賠償責任を問われる可能性があります。

損害賠償責任

顧客情報が流出した場合、被害を受けた顧客から損害賠償を請求される可能性があります。漏洩した情報の性質や規模によっては、集団訴訟に発展することもあります。

適時開示義務

上場企業は、ランサムウェア被害が事業に重大な影響を与える場合、金融商品取引法に基づく適時開示義務を負います。速やかに投資家に情報を開示しなければなりません。