【最初に確認】今すぐチェックすべき3つのポイント
ファイルが開けなくなった際、最初に確認すべき3つのポイントがあります。これらを順番にチェックすることで、おおよその原因を絞り込むことができます。
チェック1:身代金要求画面は表示されていますか?
画面に「あなたのファイルは暗号化されました」「ビットコインで○○を支払ってください」などのメッセージが表示されている場合、ランサムウェア感染の可能性が高いといえます。このようなメッセージは英語の場合もあれば、日本語で表示されることもあります。
身代金要求画面が表示されている場合は、本記事の診断フローを進める前に、まずネットワークから切断し、「会社PCがおかしい?5分間初動マニュアル」の手順に従ってください。企業・組織の場合は、速やかに情報システム部門または上司への報告が必要です。
チェック2:ファイルの拡張子が変わっていますか?
ファイルの拡張子を確認してください。以下のような変化が見られる場合、ランサムウェア感染の可能性があります。
- 元の拡張子の後ろに追加されている
- 例:「報告書.docx」が「報告書.docx.locked」「報告書.docx.encrypted」などに変わっている
- 全く別の拡張子に変わっている
- 例:「写真.jpg」が「写真.xyz123」のような見慣れない拡張子に変わっている
- 多数のファイルが一斉に変化している
- デスクトップや特定のフォルダ内の複数のファイルが同じ拡張子に変わっている場合は特に注意が必要です
拡張子の変化はマルウェア感染の典型的な兆候の一つです。ただし、拡張子が変わっていても身代金要求画面が表示されていない場合、感染の初期段階か、または別の原因の可能性もあります。
チェック3:ファイルアイコンに鍵マークはありますか?
ファイルやフォルダのアイコンに緑色の鍵マークが表示されている場合、Windows EFS(暗号化ファイルシステム)による暗号化の可能性があります。EFSはWindowsの正規機能であり、ランサムウェアとは異なります。
EFS暗号化の詳しい見分け方と対処法については、「EFS暗号化とランサムウェアの見分け方」で解説しています。
原因診断フローチャート
症状から原因を特定するために、以下の診断フローを活用してください。
症状から原因を特定する
| 症状 | 可能性の高い原因 | 緊急度 | 対処ページ |
|---|---|---|---|
| 身代金要求画面が表示されている | ランサムウェア感染 | 最高 | 緊急初動マニュアル |
| 拡張子が変わった+README.txt等が作成された | ランサムウェア感染(画面表示前の可能性) | 最高 | 緊急初動マニュアル |
| ファイルに緑色の鍵マーク | Windows EFS暗号化 | 中 | EFS暗号化との見分け方 |
| 画面全体がロックされて操作不能 | ロック型マルウェアまたはWindowsの問題 | 高 | 画面ロック対処法 |
| 特定のファイルだけ開けない | ファイル破損またはアプリの問題 | 低 | 本ページ内で解説 |
| PCの動作が急に重くなった後に発生 | ランサムウェア感染の可能性 | 高 | 緊急初動マニュアル |
ランサムウェア感染の見分け方チェックリスト
以下のチェックリストで複数の項目に該当する場合、ランサムウェア感染の可能性が高まります。
- 身代金要求画面または脅迫メッセージが表示されている
- 英語や日本語で「ファイルを暗号化した」「支払わなければ削除する」などの文言が表示されていませんか
- デスクトップにREADME.txt、DECRYPT_INSTRUCTIONS.txt等のファイルが作成された
- 攻撃者からの指示が書かれたテキストファイルが突然出現した場合は要注意です
- 多数のファイルの拡張子が一斉に変わった
- 数十〜数千のファイルが同時に影響を受けている場合、手動での変更とは考えにくいでしょう
- デスクトップの壁紙が勝手に変更された
- 身代金要求のメッセージが壁紙として設定されることがあります
- PCの動作が急に重くなった直後に異常が発生した
- 暗号化処理によりCPU使用率が上昇し、動作が遅くなることがあります
- ネットワーク共有上の他のファイルも影響を受けている
- ランサムウェアはネットワーク経由で他の端末にも感染を広げることがあります
【原因別】ランサムウェア感染の場合の対処法
ランサムウェア感染が疑われる場合の対処法を説明します。この対処を誤ると、被害が拡大したり、復旧が困難になったりする可能性があるため、慎重に行動してください。
絶対にやってはいけないこと
ランサムウェア感染が疑われる場合、以下の行動は絶対に避けてください。
| やってはいけないこと | 理由 |
|---|---|
| 身代金を払う | データが戻る保証はなく、犯罪者の資金源となります |
| 電源を切る・再起動する | 調査に必要な証拠(ログ)が消える可能性があります |
| 自分で駆除しようとする | 不適切な操作で被害が拡大する可能性があります |
| 感染したPCでメールを送る | フィッシング詐欺と同様に、感染が広がる可能性があります |
| 隠す・報告を遅らせる | 組織全体への被害拡大につながります |
今すぐやるべきこと
- 1. ネットワークから切断する
- LANケーブルを抜く、Wi-Fiを切るなどして、他の端末への感染拡大を防ぎます。不正アクセスによる被害拡大を防ぐためにも、この手順は最優先です。
- 2. 画面を撮影して記録する
- スマートフォン等で画面を撮影し、エラーメッセージや身代金要求画面を記録してください。日時がわかるように撮影すると、後の調査に役立ちます。
- 3. 会社のPCなら上司・情シスに報告する
- 感染したPC以外の端末(スマートフォン等)から連絡してください。早期報告が被害の最小化につながります。
- 4. 個人のPCなら公的機関に相談する
- 警察相談専用ダイヤル(#9110)やIPA情報セキュリティ安心相談窓口(03-5978-7509)に相談できます。
詳細な対応手順
ランサムウェア感染時の詳細な対応手順については、以下のページで解説しています。
- 一般従業員向け:「会社PCがおかしい?5分間初動マニュアル」
- 組織的な対応:「ランサムウェア感染時の対応手順」
- 身代金要求への対応:「身代金要求メールが届いたら」
【原因別】EFS暗号化の場合の対処法
ファイルに緑色の鍵マークが表示されている場合、Windows EFS(暗号化ファイルシステム)による暗号化の可能性があります。
EFS暗号化とは
- Windowsの正規機能
- EFSはWindows に標準搭載されている暗号化機能で、ファイルやフォルダを保護するために使用されます。悪意のあるプログラムではありません。
- 意図せず有効になることがある
- 右クリックメニューの操作や、グループポリシーの設定により、ユーザーが意図せずEFS暗号化を有効にしてしまうことがあります。
- 証明書があれば復号可能
- 暗号化を行ったユーザーアカウントでログインすれば、通常は自動的に復号されます。別のPCに移動した場合は証明書のエクスポート・インポートが必要です。
対処法の概要
EFS暗号化の場合、ランサムウェアとは異なり、適切な手順を踏めばファイルを復元できる可能性があります。詳しい対処法については、「EFS暗号化とランサムウェアの見分け方」をご確認ください。
【原因別】ファイル破損・アプリの問題の場合
特定のファイルだけが開けない場合、ランサムウェアではなく、ファイル破損やアプリケーションの問題の可能性があります。
ファイル破損の可能性
- 停電・強制終了による破損
- ファイルの保存中に電源が切れた場合、ファイルが破損することがあります
- 保存媒体の故障
- ハードディスクやSSD、USBメモリの物理的な故障により、ファイルが読み取れなくなることがあります
- アプリケーションのバグ
- ファイルを作成したアプリケーションのバグにより、正常に保存されなかった可能性があります
対処法
| 対処法 | 詳細 |
|---|---|
| 別のアプリケーションで開いてみる | 例:Wordファイルが開けない場合、LibreOffice等で開けるか試す |
| バックアップからの復元 | クラウドストレージやバックアップから以前のバージョンを復元する |
| データ復旧ソフトの活用 | 軽度の破損であれば、データ復旧ソフトで修復できる場合がある |
| 専門業者への依頼 | 重要なデータの場合は、データ復旧業者への相談を検討する |
なお、ファイル破損と思われる場合でも、ソーシャルエンジニアリングによる攻撃の可能性も完全には否定できません。不審な点がある場合は、念のためセキュリティ対策の確認をお勧めします。
相談できる公的機関
ランサムウェア感染が疑われる場合や、原因が特定できない場合は、以下の公的機関に相談できます。
緊急連絡先一覧
| 機関 | 連絡先 | 対応内容 | 受付時間 |
|---|---|---|---|
| 警察相談専用ダイヤル | #9110 | サイバー犯罪全般の相談 | 平日8:30〜17:15(都道府県により異なる) |
| 消費生活センター | 188(いやや) | 消費者トラブル相談 | 地域により異なる |
| IPA情報セキュリティ安心相談窓口 | 03-5978-7509 | セキュリティに関する技術的相談 | 平日10:00〜12:00、13:30〜17:00 |
| 各都道府県警察サイバー犯罪相談窓口 | 各都道府県警察HPを参照 | サイバー犯罪被害届・相談 | 各都道府県により異なる |
これらの機関では、被害状況の確認から対処法のアドバイスまで、専門的なサポートを受けることができます。標的型攻撃(APT)やビジネスメール詐欺(BEC)との複合攻撃の可能性がある場合も、専門機関への相談をお勧めします。
よくある質問(FAQ)
- Q: ファイルが開けなくなったら必ずランサムウェアですか?
- A: いいえ、ファイルが開けなくなる原因はランサムウェアだけではありません。Windows EFS暗号化、ファイル破損、アプリケーションの問題など、さまざまな原因が考えられます。本記事の診断フローチャートを活用して、まず原因を特定することが重要です。身代金要求画面が表示されていない場合は、他の原因の可能性も検討してください。
- Q: 自分で原因がわからない場合はどうすればよいですか?
- A: 原因が特定できない場合は、IPA情報セキュリティ安心相談窓口(03-5978-7509)に相談することをお勧めします。電話で症状を説明すれば、専門家が原因の特定と対処法についてアドバイスしてくれます。会社のPCの場合は、まず情報システム部門に連絡してください。自己判断で対処を進めると、証拠が消えたり被害が拡大したりする可能性があります。
- Q: 会社のPCの場合、まず何をすべきですか?
- A: 会社のPCで異常が発生した場合、まずネットワークから切断(LANケーブルを抜く、Wi-Fiを切る)し、その後すぐに上司または情報システム部門に報告してください。感染したPCからメールを送ったり、自分で駆除しようとしたりすることは避けてください。画面の状態をスマートフォンで撮影しておくと、後の調査に役立ちます。
- Q: 復号ツールでファイルを元に戻せますか?
- A: ランサムウェアの種類によっては、セキュリティ企業や法執行機関が開発した無料の復号ツールが存在します。「No More Ransom」プロジェクト(nomoreransom.org)では、対応可能なランサムウェアの復号ツールを提供しています。ただし、すべてのランサムウェアに対応しているわけではなく、復号できない場合もあります。詳しくは「ランサムウェア復号ツール完全ガイド」をご確認ください。
- Q: 予防のために今からできることは何ですか?
- A: ランサムウェア感染を防ぐためには、定期的なバックアップの取得が最も重要です。また、OSやソフトウェアを最新の状態に保つ、不審なメールの添付ファイルを開かない、怪しいWebサイトにアクセスしない等の基本的な対策を徹底してください。詳しい予防策については「ランサムウェア対策完全ガイド」で解説しています。
関連記事
ランサムウェアや関連するセキュリティ脅威についてさらに詳しく知りたい方は、以下の記事もご参照ください。
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
