サイバーレジリエンス
ブログ

企業のためのセキュリティ対策

ランサムウェアに感染したときのファイルの復元方法とは?復元時の注意点やツールについて紹介!

ランサムウェアはさまざまな手口でパソコンやスマホに感染します。セキュリティ対策によって感染を防ぐことも大切ですが、感染してしまった場合の対処方法を知っておくことも重要です。特に、ファイルを暗号化したり削除してしまったりするランサムウェアに対しては、ファイルの復元方法を知っておくことで、迅速な対処ができるようになるでしょう。本記事では、ランサムウェアによってファイルが暗号化されてしまった場合の復元方法や注意点、ランサムウェア対策の考え方についても解説します。

ランサムウェアとは

ランサムウェアはマルウェアの一種で、感染すると「身代金」を要求してくるウイルスです。

パソコンやスマホ内に保存されているファイルを暗号化するなどして、操作不能に陥ることもあります。たとえば、ランサムウェアに感染したときには以下のような症状が見られます。

  • パソコンの操作ができなくなる
  • 脅迫文が表示される
  • ファイルが暗号化される など

このように、ファイルが開けなくなったり、パソコン自体が使えなくなったりするため、日頃から復元の手段も意識したセキュリティ対策が必要なマルウェアだといえます。

ランサムウェアは、サイト閲覧やメールの添付ファイルによって感染することがほとんどです。ランサムウェアの詳細については、「ランサムウェアとは?流行している種類や対策、感染時の対応も解説」で解説しています。また、ランサムウェアの事例については、「ランサムウェアの被害事例 企業が行うべき対策とは?」にて詳しく解説していますので、あわせて参考にしてください。

なお、ウェブルートでは、ランサムウェアをはじめとする2020年全体の脅威活動を分析し、サイバー脅威の新しい傾向を発見しました。当社の洞察と予測レポートを配布しておりますので、是非「2021年脅威レポート」からダウンロードしてご確認ください。

ランサムウェアに感染したときにまずやること

仮にランサムウェアに感染してしまった場合には、まず以下の対処を行いましょう。

  • 感染したパソコンやスマホをネットワークから切り離す
  • セキュリティソフトなどでチェックする

ランサムウェアに感染したときには、その初動が非常に大切です。対処が遅れると、同じネットワーク経由で利用しているストレージ内のファイルに感染したり、他のパソコンに感染が広がったりする可能性が高くなるためです。

ランサムウェアに感染した場合の対処方法などについては「ランサムウェアに感染したらどうなる?その症状や感染時の対処方法と事前対策」でも詳しく解説していますので、あわせて参考にしてください。

ランサムウェアに感染した場合のファイル復元方法

ここからは、仮にランサムウェアに感染してしまった場合の「ファイル復元方法」についてみていきましょう。

ツールを使う

ツールを使ってファイルを復元する場合は、まずはランサムウェアの種類を特定するツールを使うとよいでしょう。

例えば「No More Ransom」が立ち上げたプロジェクトによる「Crypto Sheriff」は、さまざまな企業が連携してランサムウェアに対抗するために開発された無料のツールです。中でも、「No More Ransom」は、感染ファイルに対してランサムウェアの種類を特定し、適した複合ツールを提供しています。

まずは、感染したパソコンをNo More Ransomでチェックし、どの種類のランサムウェアに感染したかが特定できると、解決のための複合ツールをダウンロードするリンクが表示されます。

OSの復元機能を使う

普段から、OSの復元機能を使ってバックアップをしている場合は、感染前の状態までOSを復元することでランサムウェアに感染した状況から復元できる可能性があります。

ただし、ランサムウェアの種類によっては、OSの復元機能を無効にしてしまうものもあるので、その他のバックアップ方法も施しておくことが大切です。

専門業者に相談する

ランサムウェアに感染して初期対応が完了した後、ファイルの復元などの手順がわからない、上手く復元できる自信がないという場合には、専門業者に相談するのもひとつの手段です。

ランサムウェアをはじめ、サイバー攻撃対策のサービスを提供するベンダーにセキュリティ対策を任せておくことで、ファイル復元についても相談できる可能性があります。ベンダーにセキュリティ対策を依頼する場合には、サポート体制についても確認しておき、万が一に備えておきましょう。

バックアップからファイルを復元する際の注意点

ランサムウェアに感染しても、バックアップからファイルを復元できる可能性があります。ただし、復元する際には注意点があります。

感染したパソコンに接続していたハードウェアから復元しない

ランサムウェアに感染したパソコンに接続されていた外付けのHDDやSSD機器から、ファイルを復元することは避けましょう。それらハードウェアにもランサムウェアが感染している可能性があります。

パソコンと自動的に同期されているクラウドストレージから復元しない

普段からファイルを保存しているクラウドストレージからのファイル復元も避けましょう。

ランサムウェアに感染したパソコンを接続してファイルをやり取りしていたストレージには、「ランサムウェアに感染したファイル」が保存されている可能性があります。

ランサムウェア対策の考え方

ランサムウェア対策で大切なことは、ターゲットとなりやすいパソコンやスマホなどのセキュリティで、いわゆるエンドポイントセキュリティを施すことです。また、感染した場合に被害を広げないための施策や、データやシステムを早期復元するためのサイバーレジリエンスも同時に導入しておくことをおすすめします。

エンドポイントセキュリティを導入する

ネットワークを利用する末端のデバイスであるエンドポイントデバイスは、ランサムウェアの標的になりやすいデバイスです。そのため、エンドポイントデバイスにセキュリティを施しておくことは、ランサムウェアだけではなく、サイバー攻撃全体に有効な対策だといえます。

エンドポイントセキュリティは、さまざまなベンダーがサービスを提供しています。たとえば、「Webroot® Business Endpoint Protection」などは、エンドポイントデバイスに対するセキュリティの管理までができるサービスですのでチェックしてみましょう。

また、エンドポイントセキュリティの詳細については「エンドポイントセキュリティでビジネス環境を整える!その重要性や注意点、サービスの選び方について」にて解説していますので、あわせて参考にしてください。

サイバーレジリエンスを導入する

サイバーレジリエンスは、サイバー攻撃を受けてしまっても、被害を最小限に抑えて早期復旧をするための仕組みのことです。

たとえば、ランサムウェアに感染してしまうと同じネットワークに接続しているデバイスにも広がる可能性があります。また、パソコンが使えなくなる症状が出るので、早急な復元が必要です。このような状況を見越して、ウイルスの感染を最小限に食い止めるための施策や、バックアップなどから早期復元させるなどの仕組みがサイバーレジリエンスだといえます。もちろん、ランサムウェアだけではなく、サイバー攻撃全般を想定してサイバーレジリエンスを意識しておくことが大切です。

サイバーレジリエンスについても、さまざまなベンダーがサービスを提供していますが、たとえば「Carbonite® Endpoint」「Carbonite® Backup For Microsoft 365」などといったサービスがありますので、サイバーレジリエンスがどのようなものかも含めてチェックしてみてはいかがでしょうか。

また、サイバーレジリエンスについては、「サイバーレジリエンスとは?その導入ポイントや必要な機能について解説!」にて詳しく解説していますので、あわせて参考にしてください。

ランサムウェアには事前の対策と早期復元対策の両方を意識しよう!

ランサムウェアは感染対策も重要ですが、万が一感染した場合のファイル復元を含めたリカバリー方法を把握しておくことも大切です。特に、重要なファイルなどをバックアップしておくことに加え、ファイル復元方法にはどのような手段があるのかを知っておきましょう。また、サイバー攻撃の事前防御と事後対処に精通したベンダーのサービス導入についても検討することをおすすめします。

関連記事

カテゴリー