感染した時の初動

学習のねらい

どんなに注意していても、マルウェアやランサムウェアに感染してしまう可能性はゼロではありません。 もし感染してしまった場合、どのように行動すれば被害を最小限に抑え、 適切に対処できるかが非常に重要です。 このレッスンでは、感染が疑われる、または感染が確認された際の初動対応について学びます。

感染時の初動対応 — 3つのステップ

感染が疑われる、または感染が確認された場合、以下の3つのステップで冷静に対応しましょう。

ステップ1: ネットワークから切り離す

最も重要な初期対応です。感染したデバイスをすぐにネットワークから切り離してください。

• 有線接続の場合: ネットワークケーブル（LANケーブル）を物理的に抜きます。
• 無線接続 (Wi-Fi) の場合: Wi-Fi機能をオフにするか、Wi-Fiルーターの電源を切ります。
• Bluetooth接続の場合: Bluetooth機能をオフにします。

これにより、マルウェアがネットワークを通じて他のデバイスに感染を広げることや、 外部の攻撃者と通信して追加のマルウェアをダウンロードしたり、情報を送信したりするのを防ぎます。

ステップ2: 電源は切らずにIT担当者・専門機関へ連絡

ネットワークから切り離したら、デバイスの電源は切らないでください。

• 電源を切ってしまうと、マルウェアの詳細な挙動や侵入経路などの「証拠」が失われてしまう可能性があります。
• 電源を入れた状態のメモリ上には、調査に役立つ情報が残っていることがあります。

デバイスの状態を保ったまま、すぐに以下の窓口に連絡しましょう。

• 企業・組織の場合: 会社のIT担当者、情報システム部門、セキュリティ責任者。勝手に操作せず、指示を待ちましょう。
• 個人の場合:
  • 信頼できるセキュリティ専門家や修理業者。
  • IPA（情報処理推進機構）やJPCERT/CCなどの公的機関は、情報提供や相談窓口を提供しています。
  • 警察庁のサイバー犯罪相談窓口（#9110）も利用できます。

ステップ3: 身代金は支払わない

ランサムウェアに感染し、身代金を要求されたとしても、支払いは推奨されません。 前のレッスンでも触れたように、身代金を支払うことには多くのリスクがあります。

• 復旧の保証はありません。
• 犯罪組織に資金を提供することになり、さらなる犯罪を助長します。
• 「身代金を支払う組織」として、再び攻撃のターゲットにされやすくなります。

IPAやJPCERT/CCは、身代金支払いを明確に非推奨としています。

個人での対応 — 端末の初期化

もし個人利用のパソコンやスマートフォンがマルウェアに感染し、 専門家のサポートがすぐに受けられない場合、最終手段として端末の初期化を検討します。

• 初期化することで、マルウェアは基本的に除去されます。
• ただし、初期化するとOSを含むすべてのデータが消去されます。
• 初期化前にバックアップを取っていたデータのみ復元できます。

業務端末の場合は、勝手に初期化せず、必ず会社の指示に従ってください。