TOPQ&A記事ランサムウェアに感染した場合の対応方法を教えてください。
SHARE

ランサムウェアに感染した場合の対応方法を教えてください。

先日、社内サーバーがランサムウェアに感染し、保存していたデータが暗号化され、自由に使えなくなってしまいました。暗号資産を支払えば復旧してもらえるようなメッセージが表示されていますが、どのように対処するのが適切でしょうか?
サーバー等がランサムウェアに感染すると、保存しているデータが暗号化され、その復旧等と引き換えに暗号資産等の支払を求められることがあります。こうした要求に従って暗号資産等を支払っても、データの復旧等が当然になされるわけではありません。そのため、すぐに要求に応じることはせずに、警察やセキュリティベンダ、弁護士等にも相談をし、慎重な対応をとるべきでしょう。また、個人情報保護委員会や取引先等のステークホルダーにも報告等が必要となる可能性があります。
回答者
櫻井 駿 弁護士
光和総合法律事務所

ランサムウェアの概要

ランサムウェア とは、パソコンやサーバー等のデータを暗号化等し、その復旧と引き換えに暗号資産等の金銭(身代金)の支払を要求するコンピューターウィルスを指します¹。ランサムウェアによる被害は増加しており、大企業に限らず、様々な業種の中小企業も攻撃を受けており、現代の企業活動においては無視できないものだといえます²。

身代金の支払要求について

ランサムウェアの被害にあった場合、慌てて身代金の支払要求に従ってしまいそうになるかもしれませんが、安易に支払をすることは避けるべきです。身代金を支払ったからといって、データの復旧等が当然に保障されるものではなく、むしろ金払いが良いと判断され、再度攻撃対象とされる可能性さえあります。また、企業の代表者等については、十分な検討をせずに高額な身代金を支払った場合、会社に損害を与えたとして、善管注意義務違反を問われる可能性もあります。そのため、データの復旧等を急がなければならない場合であっても、警察やセキュリティベンダ、弁護士等の専門家に対応方針を相談すべきでしょう。

ランサムウェアによる被害発生時の対応のポイント

前述のとおり、ランサムウェアによる攻撃を受けた場合、身代金の支払要求への対応を含め、データの復旧等をどのように進めるかが一つのポイントとなります。

また、暗号化等されたデータの内容や業務への影響によっては、関係者に対する情報共有を速やかに行う必要があります。例えば、個人情報に関わるデータが暗号化等された場合、個人情報保護委員会や監督官庁、その個人情報の主体となる本人にも、一定の期間内に所定の報告等をしなければならない可能性があります。取引先に関係する秘密情報が暗号化等された場合にも、状況次第では、 関係者には速やかに事情説明を行うべきでしょう。

いずれにせよ、早期かつ適切に様々な意思決定を行う必要があるといえ、関係機関や専門家との連携を密に行いつつ、社内における情報共有も綿密に行うことが重要です。そのほか、ランサムウェアの被害にあった場合の技術的な対応や法律上の留意点等については、専門機関がウェブサイト等で公表している以下のような情報も参考になります。
「サイバーセキュリティ関係法令 Q&AハンドブックVer2.0」のQ64(内閣官房内閣サイバーセキュリティセンター(NISC))

「侵入型ランサムウェア攻撃を受けたら読む FAQ」(JPCERT/CC)

脚注
  • ¹ 近年は、保存されていたデータの窃取も行い、金銭を支払わなければ窃取したデータを外部に公開する旨の脅迫を伴うランサムウェアが多くなっています。
  • ² 独立行政法人情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威」においても、複数回、企業等の組織におけるセキュリティ上の脅威としてランサムウェアが1位に順位付けられています。

 

この記事は、2023年10月19日に作成されました。

関連Q&A

知的財産を侵害せずに新製品を開発するために、市場調査を行いたいです。
新商品を開発するにあたり、マーケティングを行おうと思います。知的財産に侵害しないようにしたいのですが、どのように進めるのがよいでしょうか。
下請会社が倒産したのですが、仕事を間に合わせる良い方法はありますか?
工事契約の下請会社が倒産しました。納期が迫っているのですが、納期までに仕事を完成させるために、何か良い方法はありませんか?
M&A後に対象会社の不利益な情報が発覚したら、損害賠償請求できますか?
株式譲渡によるM&Aで、ある会社(対象会社)を買おうと思っています。M&Aの実行後に対象会社について、何か不利益情報が出てこないか心配です。株式譲渡契約の中で表明保証条項は入れる予定ですが、後で発覚したどんな不利益情報でも損害賠償の対象になるのでしょうか?
産業医とは何ですか?設置しなければまずいのですか?
従業員数が50名を超えると産業医を設置する義務があると聞きました。この義務に違反したら何か不利益があるのですか?また設置したとして、産業医にはどのようなことをさせれば良いのでしょうか?
持病を隠していた従業員から、残業による持病悪化で損害賠償請求されました。
従業員から、業務量が増えたため6か月間にわたり毎日残業していたところ、持病が悪化して入院してしまったので、損害賠償を請求したいと言われました。その従業員は以前から心臓の持病があったが、会社に隠していたとのことです。会社として知らなかった場合であっても、損害賠償金を支払わなければいけないのでしょうか。