もしランサムウェアに感染したら、「まず何をすればいいのか」「やってはいけない対応は何か」と不安に感じていないでしょうか。
一度感染するとファイルの暗号化や業務停止、情報漏えいなど深刻な被害につながるランサムウェアですが、正しい初期対応をすることにより、被害を最小限に抑えられる可能性があります。
本記事ではランサムウェアの基本と感染時に起こる事象、そして感染直後に取るべき正しい行動からNG対応までわかりやすく解説します。
目次
ランサムウェアとは
ランサムウェアは、パソコンやサーバー内のファイルを暗号化し、解除のために金銭を要求する悪質なソフトウェアです。
近年では企業や病院、教育機関なども標的となっており、誰でも被害に遭う可能性があります。
主な感染経路と手口
ランサムウェアは、多くの場合ユーザーの油断を突いて侵入してきます。
最も一般的なのは「メールの添付ファイル」や「リンク」を使った攻撃です。
例えば、請求書や履歴書を装ったメールに添付されたファイルを開いたり、本文中のURLをクリックしたりすると、気づかぬうちにマルウェアがダウンロードされてしまいます。
また、OSやアプリの更新を怠ると、古いソフトの脆弱性を突かれて攻撃者に侵入されるパターンもあります。
もう一つ注意すべきは、偽のソフトウェアや広告です。
正規のソフトに見せかけたダウンロードサイトや、Web広告から偽プログラムをインストールしてしまうことで、ランサムウェアに感染することがあります。
見慣れないサイトや無料ツールをダウンロードする際には特に注意が必要です。
ランサムウェア感染で起こること
ランサムウェアに感染すると、ファイルやシステムが突然使えなくなったり、業務そのものが停止するなど、大きな被害が発生します。
ここでは、感染によって具体的にどのような事態が起こるのかを見ていきましょう。
ファイルが暗号化され使えなくなる
ランサムウェアに感染すると、最初に起こるのが「ファイルの暗号化」です。
これは、パソコンやサーバー内のデータが特殊な鍵でロックされ、正規の方法では開けなくなる状態です。
ワードやエクセル、写真、業務記録など、日常的に使うあらゆるファイルが対象になり、画面上には「このファイルは開けません」や「復号には金銭が必要です」といったメッセージが表示されます。
こうした状態になると通常の作業が完全に停止し、復旧には多くの手間と時間を要することになります。
特に、データが業務の根幹に関わっていた場合、企業の機能自体が停止しかねません。
業務停止・情報漏えいにつながる
暗号化によりファイルが使えなくなると、業務そのものが進められなくなります。
例えば、請求書の発行ができない、顧客対応が滞る、工場の機械が制御できなくなるといったケースも発生します。
さらに深刻なのは、ランサムウェアによって取得されたデータが外部に漏えいするリスクです。
最近のランサムウェアは、ファイルを暗号化する前にデータをコピーし、「盗んだデータを公開されたくなければ金を払え」と脅す二重脅迫型が主流になっています。
これにより、単なる業務停止では済まされず、取引先や顧客に対する信頼も損なわれる恐れがあります。
法的責任や規制違反リスクが発生する
感染により個人情報や取引先の機密情報が流出した場合、企業には法的な責任が問われる可能性があります。
日本では個人情報保護法などにより、情報管理の不備が原因で事故が発生した場合には、報告義務や改善措置が求められます。
これを怠ると、監督官庁からの行政指導や罰則、さらには損害賠償請求を受けるリスクもあります。
また、上場企業や医療機関など、法規制の厳しい業界ではさらに高いコンプライアンス意識が求められ、対応をあやまると社会的な信用を一気に失いかねません。
適切な情報管理が行われていなかったと判断されると、企業の体制そのものが問われる事態に発展するリスクがあるのです。
金銭的・時間的な復旧コストが増加する
ランサムウェアに感染した後の対応には、多大なコストが発生します。
暗号化されたファイルを復旧するために、専門家による調査・対応が必要になります。
また、原因の特定やネットワークの遮断、再構築、バックアップからの復元作業などに膨大な時間がかかり、その間も業務は停止したままです。
復旧が遅れるほど、取引機会の損失や顧客離れといった二次的被害も発生します。
さらに、攻撃者に金銭を支払ったとしても確実にデータが戻る保証はなく、身代金を払ったことで、攻撃対象リストに再び載るケースもあるため慎重な対応が求められます。
さらにランサムウェア感染の事例について詳しく知りたい方は下記をご覧ください。
ランサムウェアの脅威!大きな被害をもたらしたWannaCryとは?
ランサムウェアに感染したらまずやるべきこと
ランサムウェアに感染したと気づいたときは、慌てず冷静に初動対応を行うことが何より重要です。
ここでは、被害を最小限に抑えるためにすぐに取るべき具体的なアクションを解説します。
感染端末をネットワークから切り離す
ランサムウェアに感染したと疑われる端末を見つけたら、まず行うべきなのはその端末をすぐにネットワークから切り離すことです。
有線であればLANケーブルを抜き、無線ならWi-Fiをオフにします。
この作業によって、他のパソコンやサーバーへの感染拡大を防げます。
ネットワークに接続されたままの状態だと、被害が数分のうちに全社規模に広がってしまうおそれがあります。
感染の兆候が出た時点で即時に物理的な遮断を行い、他の機器やシステムへの被害拡大を食い止めることが大切です。
社内外の関係者へ速やかに報告する
ネットワークからの切り離しと並行して、社内の情報システム部門や上司、経営陣にすぐ報告を行いましょう。
また、外部にシステム管理を委託している場合は、該当ベンダーや保守会社にも連絡が必要です。
情報共有の遅れは対応の遅れにつながり、被害が広がる原因となります。
とくに大規模な企業では関係部門が多いため、あらかじめ連絡ルートを定めておくとスムーズに対応できます。
被害状況を正確に伝え、二次対応の準備を促すことが大切です。
感染状況を確認し、証拠を記録する
次に行うべきは、感染した端末やファイルの状態をできる範囲で把握し、その情報を記録することです。
暗号化されたファイル名や表示されている脅迫文、アクセスできないフォルダの範囲、システムのログなどが後の解析や報告に役立ちます。
証拠を残す際は、画面のスクリーンショットやログの保存など、第三者が後から検証できる形式で記録することが大切です。
証拠を記録することで、復旧や警察への報告時に役立つだけでなく、原因分析や再発防止にもつながります。
専門部署や外部専門家に相談する
感染した事実が判明した段階で、社内のIT部門が対応しきれない場合は、セキュリティの専門家に速やかに相談することが不可欠です。
ランサムウェアは進化が早く、社内での判断だけでは対処が難しい場合もあります。
外部のセキュリティベンダーや専門コンサルタントに対応を依頼すれば、感染範囲の特定や復旧手順の策定、再発防止策の提案まで一括して支援を受けられます。
初動の段階で専門会社の助けを借りることで、被害の拡大を防ぎ、復旧までのスピードを格段に上げることが可能です。
警察やIPAなど公的機関へ通報する
ランサムウェアに感染した場合、必ず警察(都道府県警察のサイバー犯罪対策課)や独立行政法人情報処理推進機構(IPA)などの公的機関に通報しましょう。
公的機関への通報は被害の実態を記録し、他の被害者への情報共有にもつながるため、社会的な責任としても意義があります。
とくに企業や組織での感染であれば、報告義務や社会的責任の観点からも、迅速な通報は欠かせません。
事態の深刻さに応じて、専門的な対応や調査支援を受けられるケースもあります。
また、IPAが情報セキュリティ10大脅威2025を公開しているので、興味がある方は下記をご覧ください。
IPAランキング「2025年情報セキュリティ10大脅威」が公開!脅威への対策とは
バックアップの状況を確認する
最後に、バックアップが正常に取得されているかどうかを確認しましょう。
最新のバックアップデータが存在し、かつ感染していないことが確認できれば、被害を受けたファイルの一部またはすべてを復元できる可能性があります。
ただし、感染後に不用意にバックアップへアクセスしてしまうと、バックアップ自体も感染してしまうおそれがあるため注意が必要です。
確認は、セキュリティ部門や専門家の指示のもと、安全が確保された環境で行いましょう。
ランサムウェア感染後にやってはいけないNG対応
ランサムウェアに感染した際は、早急に対処することが求められますが、あやまった行動は被害をさらに拡大させる原因になります。
ここでは、感染後に避けるべきNG対応を解説します。
パソコンやサーバーを再起動する
感染後にパソコンやサーバーを安易に再起動することは非常に危険です。
ランサムウェアの中には、システムが再起動されたタイミングで暗号化を進行させるタイプや、復元に必要な一時ファイルを削除するものも存在します。
一度シャットダウンや再起動をしてしまうと、回復可能だったファイルが完全に消失してしまう恐れがあるため、注意しましょう。
感染が疑われる端末はそのままの状態でネットワークから切り離し、専門家に対応を引き継ぐことが大切です。
感染後にバックアップを取る
感染した状態でバックアップを新たに取ってしまうと、正常なバックアップ領域まで汚染される可能性があります。
特に、バックアップ先が自動同期されるクラウドやNAS(ネットワーク接続ストレージ)の場合、暗号化されたデータがそのまま上書きされるケースも考えられます。
バックアップは感染前の状態に戻すための手段であり、感染後のデータを保存するものではありません。
感染に気づいた時点でバックアップの動作を一時停止し、すでに保存されている過去のバックアップが安全かどうかを確認することが大切です。
攻撃者と直接交渉する・身代金を支払う
攻撃者との交渉や、提示された身代金の支払いは絶対に避けましょう。
一見すると「支払えばすぐに復元できる」と思いがちですが、実際に復号キーが届かないケースや、完全に復元できないケースが多く報告されています。
また、一度でも金銭を支払ったことが記録されると、「支払う相手」として再度ターゲットにされる可能性も高くなります。
さらに、海外ではサイバー犯罪者への送金が違法とされる場合もあるため、法律上のリスクも無視できません。
そのため、必ず警察や公的機関、セキュリティ専門家の指示を仰ぐようにしましょう。
証拠となるログやファイルを削除する
慌ててウイルスを削除しようとして、ログファイルや暗号化されたデータ、警告画面などを消してしまうのは非常に危険です。
これらの情報は、後に原因を特定したり、感染経路を明らかにしたりする上で重要な証拠になります。
また、警察やIPAへの通報時にも、これらの資料があるとスムーズに調査を進められます。
操作履歴やネットワークログ、表示されていた脅迫メッセージなどは、画面キャプチャやログ出力などで必ず保存しておくようにしましょう。
証拠が失われると、復旧の難易度が上がるだけでなく、再発防止にも支障をきたします。
ランサムウェア感染後の復旧方法
ランサムウェアに感染してしまった場合、まずは冷静に状況を把握し、適切な復旧プロセスを踏むことが大切です。
ここでは感染後の復旧手順を解説します。
感染範囲と原因の調査・特定
復旧の第一歩は、どの端末が感染したのか、どのファイルやシステムが影響を受けたのかを明らかにすることです。
ネットワーク内の複数端末が感染している可能性もあるため、単体の確認で終わらせてはいけません。
また、攻撃者がどのような手口で侵入したかを突き止めることも重要です。
メールの添付ファイルや脆弱なリモート接続、ソフトウェアの脆弱性など、侵入口の特定により再発防止にもつながります。
調査時は端末のログやネットワーク履歴、セキュリティソフトの検知情報をもとに、被害状況を客観的に把握するようにしましょう。
ランサムウェアの駆除・システムの初期化
感染の全体像を把握できたら、次はランサムウェアそのものをシステムから除去する作業に移ります。
ただし、ランサムウェアは非常に巧妙に作られており、表面上削除できたように見えても、内部に潜伏している可能性があります。
そのため、多くの場合は感染した端末の初期化を行い、確実に駆除することが一般的です。
初期化を行う前に必要な証拠類の記録を残し、専門家の判断を仰ぎながら作業を進めることが望ましいです。
バックアップやツールを用いた復旧
システムを安全な状態に戻した後は、被害を受ける前のデータを使って復旧を行います。
ここで重要なのが、感染前に取得されたバックアップの有無です。
感染前のバックアップがあれば、それを使って業務データや設定情報を復元できます。
ただし、バックアップ自体が感染していないかの確認は必須です。
さらに、一部のランサムウェアに対しては、セキュリティベンダーが提供する専用復号ツールが使える場合もあるので、IPAや各種ベンダーのサイトで最新情報を確認しましょう。
復旧作業は段階的に行い、復元後も不審な動作がないか慎重に確認することが求められます。
ランサムウェア感染を防ぐには
ランサムウェアの感染は一度起こると深刻な被害に発展するため、日頃の予防が重要です。
ここでは、今すぐ実践できる4つの基本的な対策について紹介します。
不審なメールやリンクを開かない
ランサムウェアの主な侵入経路のひとつが、メールの添付ファイルや本文中の不正なリンクです。
「請求書を確認してください」「重要なお知らせ」などの件名で送られてくるメールには特
に注意が必要です。
送信元のアドレス、本文の言い回し、ファイル名などをよく確認し、怪しいと感じたら上司やセキュリティ担当者に相談することを習慣にしましょう。
セキュリティ製品を導入する
ウイルス対策ソフトやファイアウォール、EDR(エンドポイント検出応答)などのセキュリティ製品は、ランサムウェアの侵入や動作を自動で検知・遮断してくれる強力な味方です。
とくに企業での利用においては、すべての端末に対して一元的な管理と監視ができる体制を整えることが求められます。
また、セキュリティ製品はインストールしただけでは効果が限定的であるため、定期的なアップデートと設定の見直しを欠かさないことが重要です。
従業員へのセキュリティ教育を行う
セキュリティ対策の中で最も見落とされがちなのが「人」の部分です。
どれほど高機能なシステムを導入しても、それを使う従業員が誤った操作をすれば、簡単に攻撃者に突破口を与えてしまいます。
そのため、技術的対策とあわせて、従業員全体のセキュリティリテラシーを底上げすることが重要です。
教育の方法としてはメールやチャットで注意喚起を行うだけでなく、短時間でも定期的なeラーニングや動画研修、社内クイズなど、習慣的に学べる工夫が有効です。
定期的なバックアップと復元テストを実施する
万が一感染してしまった場合でも、バックアップがあれば業務を迅速に復旧できます。
ただし、単にバックアップを取得しているだけでは不十分です。
重要なのは「バックアップから実際に復元できるか」を定期的に確認することです。
また、バックアップはネットワークから隔離された場所やクラウドなど、複数の保存先に分散することが望ましいです。
これにより、ランサムウェアによる同時感染のリスクも軽減できます。
ランサムウェアの感染に備えて今すぐ対策を始めよう
ランサムウェアは一度感染すると業務や信頼に大きな打撃を与えるため、事前の対策と感染後の冷静な対応が不可欠です。
予防策としては怪しいメールを開かないことや、セキュリティ製品の導入、社員教育、定期的なバックアップが基本となります。
そして、万が一感染した場合には、EDRなどのセキュリティツールやフォレンジック調査を活用し、原因の特定と被害範囲の把握を速やかに行うことが大切です。
本記事を参考にして今すぐランサムウェア対策を始め、被害を未然に防ぎましょう。
おすすめのお役立ち資料はこちら↓
