この記事では、ランサムウェア感染時の「適切な初動対応」と「データ復旧の可能性」について詳しく解説します。データが暗号化された場合でも、適切な方法を取ればデータを復旧できる可能性があります。最適な手段で、安全にデータを取り戻しましょう。
当社では、過去400件以上のランサムウェア相談実績と独自の技術をもとに、専門エンジニアが対応します。ハッカーとの交渉は一切行わず、24時間365日対応の緊急相談窓口も設けております。復旧をご希望の方はお気軽にご相談ください。
目次
ランサムウェア感染時の症状・特徴
(▲例:「LockBitランサムウェア」の感染画面)
ランサムウェアに感染した場合、次のような症状が現れることがあります。
- 暗号化されたファイルに不明な拡張子が追加される
- ランサムノート(身代金要求メッセージ)が表示される
- データが攻撃者によって盗まれ、外部サーバーに転送される可能性がある
- ユーザーの知らないうちにパスワードが変更されることがある
特に「ファイル名が変わった」「パソコンが遅くなった」「異常なネット接続が増えた」場合、ランサムウェアに感染している可能性があります。すぐネットワークを切り、専門家に相談してください。対応が遅れると、業務停止や責任問題につながるリスクが高まります。
\最短30分でWeb会議の実施が可能!まずは無料相談から/
ランサムウェアによる暗号化の特徴
ランサムウェアは、ファイルを効率的かつ安全に暗号化するために、「共通鍵暗号」と「公開鍵暗号」の2つの暗号化方式を組み合わせています。それぞれの特徴は以下の通りです。
共通鍵暗号
これは同じ鍵でファイルの暗号化と復号を行う方式で、処理速度が速く、大量のファイルを短時間で暗号化するのに適しています。ただし、暗号化と復号に同じ鍵を使うため、その鍵が漏れると、データが簡単に復号されてしまうリスクがあります。
公開鍵暗号
こちらは「公開鍵」と「秘密鍵」という2つの鍵を使用します。公開鍵は誰でも利用できますが、復号に必要な秘密鍵は攻撃者しか持っていません。これにより、攻撃者はデータを安全に暗号化し、秘密鍵を握ることで、身代金を要求する権利を確保します。こうして、被害者はデータを復号するために攻撃者に依存せざるを得ない状況が作られます。
2つを組み合わせる理由
ランサムウェアは、まず「共通鍵暗号」でファイルを素早く暗号化しますが、その共通鍵を守るために「公開鍵暗号」を使います。
つまり、効率よくデータを暗号化しつつ、復号に必要な鍵は攻撃者が管理し続けることで、データを元に戻すための鍵を渡す条件として身代金を要求できるようにしているのです。
【重要】ランサムウェア感染時、すぐに電源を落とすべき理由
ランサムウェア感染時に最も重要なのは、端末の電源を切り、端末をオフラインにすることです。その理由として次の3つを挙げることが出来ます。
- ランサムウェアは段階的にデータを暗号化するため、電源を切ることで進行を食い止めることができる
- 電源を入れたままだと暗号化が進行し、データ復旧の難易度が上がってしまう恐れがある
- C2サーバーへの情報を送信されるなど、攻撃者にデータが盗まれ続ける可能性がある
もっとも、電源を落とすとメモリ上の一時データは失われますが、データ復旧の観点ではストレージに保存されているデータの保護が優先されるため、大きな問題にはなりません。
一方、被害原因の「調査」を行う場合は、メモリ上のデータが攻撃者の痕跡を含む証拠の一部となるため、電源を落とさずにシステムの状態を維持して、証拠を保全することが本来だと理想的とされています。ただしランサムウェア感染時は、何よりもまず被害拡大を防ぐことが最優先です。
特に重要なデータが保存されているサーバーでは、電源を即座に落とすことで、被害を最小限に抑えることが可能です。一方、エンドポイント端末に関しては状況に応じた対応が必要となることも多く、可能であれば電源を落とす前に専門家の指示を仰ぐことが望まれます。
ランサムウェア感染後のデータ復旧にかかる費用・期間
警察庁のレポートでは「ランサムウェア感染に伴う調査・復旧費用」が記載されています。
2023年の調査では、復旧期間については、20%以上(136件中28件)が1か月以上。復旧費用に関する質問では、約40%(118件中44件)が1,000万円以上かかったと報告されています。
調査・復旧に要した費用総額の割合
調査・復旧に要した費用総額は次の通りです。
- 100万円未満: 27件 (23%)
- 100万円以上500万円未満: 23件 (19%)
- 500万円以上1,000万円未満: 24件 (20%)
- 1,000万円以上5,000万円未満: 25件 (21%)
- 5,000万円以上1億円未満: 12件 (10%)
- 1億円以上: 7件 (6%)
調査・復旧費用のデータから、500万円以上の範囲で全体の約60%を占めており、多くのケースで比較的高額な費用がかかっていることが分かります。さらに、1億円以上の費用が発生したケースも6%あり、ランサムウェアの被害が深刻な場合には多大な費用がかかる可能性があることが示されています。
参考:警察庁「令和5年(2023)におけるサイバー空間をめぐる脅威の情勢等について」
復旧に要した期間の割合
復旧に要した期間の割合は次の通りです。
- 即時~1週間未満: 33件 (24%)
- 1週間以上~1か月未満: 43件 (32%)
- 1か月以上~2か月未満: 22件 (16%)
- 2か月以上: 6件 (4%)
- 復旧中: 32件 (24%)
「復旧に要した期間」のデータでは、「即時~1週間未満」と「1週間以上~1か月未満」で全体の56%を占め、半数以上が比較的短期間で復旧しています。一方で、「1か月以上かかるケース」も20%存在し、復旧に時間がかかる状況も見られます。このことから、復旧期間にはばらつきがあり、迅速な対応と予防策の強化が求められます。
参考:警察庁「令和5年(2023)におけるサイバー空間をめぐる脅威の情勢等について」
ランサムウェアに感染したデータの復旧方法とは
ランサムウェアによってデータが暗号化されてしまった場合でも、状況によってはデータを復旧できる可能性があります。例えば、データ復旧方法として次の手段が存在します。
ただし、誤った対応をすると、データが完全に失われたり、システムにさらなる損傷を与える危険性があります。データ復旧の際は、専門家に依頼することも検討するなど、安全にデータを復旧するための最善の方法を選びましょう。
「The No More Ransom Project」の復号ツールで復旧する
一部のランサムウェアには、無料で使える復号ツールが公開されています。たとえば、国際プロジェクト「The No More Ransom Project」では、感染したランサムウェアの種類を特定して、利用可能な復号ツールを見つけることができます(利用料金は無料)。
これらの無料復号ツールが公開される理由として、法執行機関がサイバー犯罪者を摘発して復号キーを手に入れる場合や、セキュリティ企業がランサムウェアの暗号化を解読してツールを作成する場合があります(攻撃者自身が復号キーを公開することもあります)。
ただし、これらの復号ツールは、すべてのランサムウェアに対応しているわけではありません。また、ツールが対応していても、ランサムウェアの種類やバージョンによっては復号に失敗することもあるので、注意が必要です。
プロジェクトで配布されている復号ツールの使用手順
No More Ransomの復号ツールは、ランサムウェアによる被害からのデータ復旧を支援するための重要な手段です。以下に、その使用方法について詳しく説明します。
- ランサムウェアの種類を特定する
No More Ransomにアクセスし、①「ランサムウェアの特定」→②「PCから1つ目のファイルを選択」→③「結果を見る」に進みます。 - 適合する復号ツールを探す
種類を特定できたら、該当する復号ツールがあるか確認します。 - 復号ツールをダウンロード
復号ツールが見つかった場合、ダウンロードします。 - 復号ツールを実行
ツールを実行し、暗号化ファイルを選択して「復号」を開始します。
ただ、種類やバージョンによっては適合するツールを使っても、復号に失敗するケースがあります。ランサムウェアに感染し、復号に失敗した場合、攻撃者の要求に応じる前に、専門家に相談することを強くおすすめします。
バックアップデータから復旧する
ランサムウェアに感染した場合、端末を初期化して感染前のバックアップから復旧する方法がありますが、この方法にはいくつかの課題があります。
暗号化データを分析しデータ復旧する
もうひとつの方法は、暗号化のアルゴリズムを解読してデータを復元することです。
通常は復号キーが必要ですが、解読できれば復号キーなしでも復元可能です。ただし、この方法には高度な専門知識が必要で、対応できる専門家は少ないです。
当社は400件以上のランサムウェアに関する相談実績(期間:2011年1月1日以降~)があり、これまでの経験をもとに独自開発ツールを用いて暗号化されたデータの復旧を行っています。
ランサムウェアによるデータの暗号化でお困りの際は、ぜひ当社にご相談ください。法人のお客様には、最短30分で無料のWeb打合せを設定し、迅速かつ適切に対応いたします。
\最短30分でWeb会議の実施が可能!まずは無料相談から/
ランサムウェア感染時にやってはいけないこと
ランサムウェア感染時には、冷静な対応が求められます。誤った行動を取ると、被害が拡大するだけでなく、データの復旧が困難になる可能性もあります。
感染時に絶対に避けるべき行動は次の通りです。
これらの行動を避けることで、データを守り、復旧の可能性を高めるための最善の対策を講じることができます。
身代金を支払う
ランサムウェアに感染すると、データが暗号化され、身代金を要求されます。しかし、支払いは避けるべきです。支払ってもデータが戻る保証はなく、さらなる要求や再攻撃のリスクが高まります。まずは他の復旧方法や専門家の助言を検討することが大切です。
インターネットに接続する
ランサムウェアに感染した場合、まずはネットワークからすぐに切り離すことが大切です。Wi-Fiや有線接続を切断し、機内モードに設定してデバイスを完全にネットワークから切り離しましょう。感染したデバイスがインターネットに接続されたままだと、ランサムウェアがネットワーク経由で他のパソコンやサーバーにも感染を広げる恐れがあります。
特に、社内のネットワークやクラウドストレージに感染が広がると、大きな被害が出る可能性があります。素早く対応することが、被害の拡大を防ぐためには重要です。
操作・通電を続ける
ランサムウェアに感染してしまった場合、最初にやるべきことは、感染したパソコンやサーバーの電源をすぐに切ることです。
電源を入れたままにしておくと、ランサムウェアが動き続けて、さらに多くのデータを暗号化してしまう可能性があります。特に、重要なデータや顧客情報が保存されているサーバーに感染が広がると、会社の信用に大きな影響を与えるリスクがあります。
どうすればいいか迷った時は、すぐに専門家に相談して適切な対策を取ることが大切です。
個人で復旧を試す
ランサムウェアに感染した場合、自分で復旧を試みるのはおすすめできません。感染の原因を特定したりデータを復旧したりするには、高度な専門知識が必要で、間違った対応をするとデータが完全に消えたりシステムがさらに壊れたりするなど、被害が広がる恐れもあります。このことから、確実にデータを復旧する場合、専門業者のサポートが必要です。
なお、ランサムウェア感染によるデータ復旧は、攻撃者と交渉するのではなく、信頼できる専門業者に相談することをおすすめします。
感染経路の確認から今後の対策まで、全て一貫して対応します
当社では、ランサムウェア感染時のトータルサポートを提供しています。データ復旧、感染原因調査、再発防止サポートとセキュリティ強化を一貫して対応し、お客様の安心を守ります。
データ復旧
ランサムウェア相談件数400件以上の実績を持ち、暗号化されたデータも独自開発した専用ツールで復旧可能です。これまで数多くのデータ復旧実績を重ねてきました。
感染原因調査
感染経路を特定し、不正の痕跡を明確化。さらに、マルウェアやバックドアの有無を確認し、公的機関への報告に必要な詳細なレポートも提供します。
再発防止サポートとセキュリティ強化
全自動クラウドバックアップにより、万が一の際にも安心です。情報漏えいを防止する出口対策も徹底して行います。
当社のサービスでは、これらすべてをワンストップで提供しており、他社に依頼する必要はありません。最短30分でWeb会議も設定可能ですので、まずは無料相談からお気軽にお問い合わせください。迅速かつ確実に対応し、お客様のデータを守ります。
\最短30分でWeb会議の実施が可能!まずは無料相談から/
当社のランサムウェア復旧の5つの強み
当社にはランサムウェア復旧において、他のデータ復旧業者にはない5つの強みがあります。
最短即日駆け付け可能!圧倒的スピード対応
データ暗号化による業務停止などの緊急時にも迅速に対応すべく、24時間365日ご相談を受け付け、お問合せから最短30分で無料のWeb打合せにて状況をヒアリングさせていただきます。
法人様は最短即日で現地駆付け対応も可能ですので、出張ご希望の場合もご相談ください。
ランサムウェア累計ご相談件数400件以上の豊富な実績
当社ではランサムウェア累計ご相談実績400件 (※算出期間:2011年1月1日~) 以上があり、メジャーからマイナーな種類まで多数のご相談実績があります。どのような拡張子でもお気軽にお問い合わせください。
国内最高峰の技術力によるデータ復旧
当社エンジニアは専門分野に分かれて研究開発を行っており、ランサムウェアのデータ復旧のご相談の際はランサムウェア専門エンジニアが復旧作業を実施します。
国内外の専門機関とのコネクションを活用し、世界中の優れた技術を導入することで、国内最高峰の技術力を実現しています。独自に開発したランサムウェアのデータ復旧のノウハウをもとに、ハッカーとの交渉は行わずに復旧作業を行うため、ご安心ください。
緊急対応も可能な世界最大規模の復旧設備
当社では業界トップクラスの復旧設備を有し、緊急のご相談でも設備が空くのを待つ必要がなく、すぐに復旧作業に取り掛かれる体制を整えています。
お電話でご相談いただければ、復旧ラボの見学も可能です。お気軽にお問合せください。
ISO・Pマーク取得済の国際基準のセキュリティ
万全なセキュリティ対策のもと大事なデータをお預かりするため、ISO・Pマークを取得しています。
社内には国際空港レベルのセキュリティゲート・約40台以上の監視カメラを設置し、情報持ち出し・持ち込みを抑止。情報漏えい対策のための社内体制整備を徹底しています。
\最短30分でWeb会議の実施が可能!まずは無料相談から/
デジタルデータリカバリーのご対応事例
当社のご対応事例には次のようなものがあります。
FAUSTランサムウェアのデータ復旧に成功
会社のデータベース(Oracle)が暗号化され、拡張子が”.faust”に変わってしまい、業務で使用する、あらゆるデータが閲覧できなくなっていました。
当社に相談いただきその日のうちにすぐ打ち合わせを行い、詳細をヒアリング。実際に復旧作業を行った結果、バックアップイメージファイル(.aivファイル)から最終的にデータを復旧し、お客様にご納品しました。
Lockbitランサムウェアのデータ復旧に成功
Lockbit 2.0によりサーバー2台が感染し、バックアップデータも暗号化されていました。相談後すぐに未暗号化データの切り出し作業を行い、データ復旧に成功しました。並行して情報漏えい有無の確認調査を進め、詳細な調査報告書を作成いたしました。
詳細不明のランサムウェアからデータ復旧に成功
このケースでは詳細不明のランサムウェアに感染し、仮想マシン上のデータが一部暗号化されていました。復旧作業では暗号化部分と未暗号化部分を分けてデータベース情報を抽出し、過半数のデータ復旧に成功しました。
当社は流行のランサムウェアだけでなく、長年培ってきた技術とノウハウを駆使し、詳細不明のランサムウェアであってもデータ復旧を行います。
※上記いずれも当社がデータ復旧作業に入り、復旧に未着手データをお持ちの場合、ご依頼いただいた上、復旧作業を全般に納品し、データ復旧に成功した分を分を判別しています。復旧料金は100%の料金だけでなく確認された部分データを一部で復旧できた場合も含まれます。
最短30分でWeb打合せ!緊急時もお任せください
当社では、ランサムウェア感染という緊急事態にも迅速にご対応するため、スピード対応の体制を整えています。
- 24時間365日いつでもご相談可能
- お問合せから最短30分でWeb打合せ(無料)を設定
- 必要に応じて最短即日の現地駆付けにご対応(※法人様のみ)
- 土日祝日も打合せ・復旧作業・現地駆付けに対応
最短最速でご対応させていただきますので、ランサムウェアの復旧をご希望の際はまず一度ご相談ください。
よくある質問
いえ、かかりません。お客様の機器を実際にチェックしてみて初めて正確な状態がわかりますので、チェックが終わるまでは一切費用は頂いておりません。 ※ご郵送で機器をお預けいただいたお客様のうち、チェック後にデータ復旧を実施しない場合のみ、機器の返送費用だけご負担頂いておりますのでご了承ください。
営業時間は以下の通りになっております。
土日祝日問わず、年中無休でお電話でのご相談・復旧作業・ご納品・アフターサービスを行っています。
電話受付:0:00~24:00 (24時間対応)
来社受付:9:30~21:00
危険なので推奨しません。
身代金を支払い復号キーを手に入れたとしても、実際にはデータの復元に失敗したり、再感染してしまう例が多数確認されています。当社ではハッカーへの交渉ではなく、独自開発したデータ復旧技術によって復旧作業を行います。まずは一度ご相談ください。
この記事を書いた人
デジタルデータリカバリー ランサムウェア・データ復旧エンジニア
累計相談件数46万件以上のデータ復旧サービス「デジタルデータリカバリー」において20年以上データ復旧を行う専門チーム。
HDD、SSD、NAS、USBメモリ、SDカード、スマートフォンなど多様多種のデバイスからデータ復旧を行っている。国内トップクラスのエンジニアが在籍しており、全国紙や在京キー局など取材実績も多数。ランサムウェア感染など深刻な状況でも、ハッカーとの交渉を行わず、迅速なデータ復旧を実施している。2021年には東京都から「経営革新優秀賞」を受賞しており、その技術力は各方面で高く評価されている。