TOPQ&A記事ランサムウェアに感染した場合の対応方法を教えてください。
SHARE

ランサムウェアに感染した場合の対応方法を教えてください。

先日、社内サーバーがランサムウェアに感染し、保存していたデータが暗号化され、自由に使えなくなってしまいました。暗号資産を支払えば復旧してもらえるようなメッセージが表示されていますが、どのように対処するのが適切でしょうか?
サーバー等がランサムウェアに感染すると、保存しているデータが暗号化され、その復旧等と引き換えに暗号資産等の支払を求められることがあります。こうした要求に従って暗号資産等を支払っても、データの復旧等が当然になされるわけではありません。そのため、すぐに要求に応じることはせずに、警察やセキュリティベンダ、弁護士等にも相談をし、慎重な対応をとるべきでしょう。また、個人情報保護委員会や取引先等のステークホルダーにも報告等が必要となる可能性があります。
回答者
櫻井 駿 弁護士
光和総合法律事務所

ランサムウェアの概要

ランサムウェア とは、パソコンやサーバー等のデータを暗号化等し、その復旧と引き換えに暗号資産等の金銭(身代金)の支払を要求するコンピューターウィルスを指します¹。ランサムウェアによる被害は増加しており、大企業に限らず、様々な業種の中小企業も攻撃を受けており、現代の企業活動においては無視できないものだといえます²。

身代金の支払要求について

ランサムウェアの被害にあった場合、慌てて身代金の支払要求に従ってしまいそうになるかもしれませんが、安易に支払をすることは避けるべきです。身代金を支払ったからといって、データの復旧等が当然に保障されるものではなく、むしろ金払いが良いと判断され、再度攻撃対象とされる可能性さえあります。また、企業の代表者等については、十分な検討をせずに高額な身代金を支払った場合、会社に損害を与えたとして、善管注意義務違反を問われる可能性もあります。そのため、データの復旧等を急がなければならない場合であっても、警察やセキュリティベンダ、弁護士等の専門家に対応方針を相談すべきでしょう。

ランサムウェアによる被害発生時の対応のポイント

前述のとおり、ランサムウェアによる攻撃を受けた場合、身代金の支払要求への対応を含め、データの復旧等をどのように進めるかが一つのポイントとなります。

また、暗号化等されたデータの内容や業務への影響によっては、関係者に対する情報共有を速やかに行う必要があります。例えば、個人情報に関わるデータが暗号化等された場合、個人情報保護委員会や監督官庁、その個人情報の主体となる本人にも、一定の期間内に所定の報告等をしなければならない可能性があります。取引先に関係する秘密情報が暗号化等された場合にも、状況次第では、 関係者には速やかに事情説明を行うべきでしょう。

いずれにせよ、早期かつ適切に様々な意思決定を行う必要があるといえ、関係機関や専門家との連携を密に行いつつ、社内における情報共有も綿密に行うことが重要です。そのほか、ランサムウェアの被害にあった場合の技術的な対応や法律上の留意点等については、専門機関がウェブサイト等で公表している以下のような情報も参考になります。
「サイバーセキュリティ関係法令 Q&AハンドブックVer2.0」のQ64(内閣官房内閣サイバーセキュリティセンター(NISC))

「侵入型ランサムウェア攻撃を受けたら読む FAQ」(JPCERT/CC)

脚注
  • ¹ 近年は、保存されていたデータの窃取も行い、金銭を支払わなければ窃取したデータを外部に公開する旨の脅迫を伴うランサムウェアが多くなっています。
  • ² 独立行政法人情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威」においても、複数回、企業等の組織におけるセキュリティ上の脅威としてランサムウェアが1位に順位付けられています。

 

この記事は、2023年10月19日に作成されました。

関連Q&A

貸付けをしたいのですが、担保のとり方を教えてください。
取引先であるA社に貸付けを行うことになりました。A社は土地と建物を所有しているので、それを担保に取りたいです。どのような方法・手続きをとればよいでしょうか?
エンジェル投資家が出資金の返還を求めてきた場合の対応を教えてください。
エンジェル投資家から、出資金を返してほしいとの申し出がありました。どう対応したら良いでしょうか?
不動産価格の上昇を理由に、賃料の増額を求める際の注意点を知りたいです。
不動産の賃貸を行っているのですが、近年の地価等の上昇に伴い、現在のテナントに対する賃料が適正なものではないと考えています。賃料を増額することはできますか?
顧客情報をクラウドにアップロードすることに問題はありますか?
顧客情報を管理するために、海外の事業者が提供するクラウドサービスを利用することを検討しているのですが、顧客の個人情報を含むデータを当該クラウドサービスのサーバにアップロードすることに問題はないでしょうか。注意すべき点はあるでしょうか。