（一財）日本サイバー犯罪対策センター（JC3）は、サイバー犯罪をはじめとするサイバー空間の脅威の大本を特定・軽減・無害化することを目指す非営利団体だ。産官学で連携し、安全かつ安心してインターネットを利用できる環境の構築に貢献している。

さまざまな分野の専門家や警察庁主管課の担当者などが参加し、JC3による研究の成果物をもとに発刊されたのが「ランサムウェア攻撃に対する捜査ハンドブック」だ。

ランサムウェア攻撃が発生する前の準備段階や、被害が発生した際に捜査員が参照できるハンドブックになっているが、一般の企業でもこれに沿って準備していれば、万一、ランサムウェアの被害に遭ったときでも、迅速に捜査が進められるようになる。

この本から、押さえておくべきポイントをピックアップして紹介する。

同書に記載されている捜査の流れは、以下のとおりだ。このうち、被害を受けた企業が協力するのは主に「４.認知」、「6.事情聴取」、「7.状況把握」になる。

この段階で、捜査機関は被害企業の情報収集を行う。同時に被害企業に対して、被害拡大防止と証拠消失防止のために次のような要請を行う。企業側の立場から見ると、被害に遭ったときに気を付けるべき点となる。

LANケーブルを抜き、無線LANは無効にする

感染拡大防止のため、インターネット回線のLAN、ネットワークセグメント間をつなぐLAN、個々のPCやサーバーなどの端末のLANがつながっていないかを確認する。無線LANにつながっている端末が把握できない場合や台数が多い場合は、無線LANルーターの設定を無効にする。

端末を再起動、電源オフにしない

端末を再起動または電源オフにすると、メモリー情報が消失し、ディスクに保存された情報が変更されてしまう可能性がある。全ファイルがランサムウェアで暗号化されていない時点では、電源オフにすることで感染拡大を防止できることもあるが、既に感染してデータが暗号化されてしまっている場合は、電源を切っても手遅れだ。

端末の電源をオンにしない

端末が起動するときにランサムウェアを自動実行にしているケースがあるため、既に電源を落としている端末は、ランサムウェア感染が分かった後に電源をオンにしない。

ウイルス対策ソフトでスキャンしない

既に感染している端末をスキャンすると、証拠となるランサムウェアが削除されてしまう可能性がある。

ネットワーク機器を再起動・電源オフにしない

VPN機器から侵入した場合、VPN機器のログに攻撃者が使用したIPアドレスが記録されるのだが、再起動や電源オフによってログが消失してしまうことがある。感染拡大が心配な場合は、LANを無効にすることで対応するべきだ。

ファームウェア・OSのアップデートをしない

脆弱性があっても、資料収集や感染経路の特定が終わるまではアップデートしない。メモリー、ディスクの設定が分からなくなり、ログが消失する可能性もある。

警察は、事情聴取でシステムの関係者に関する情報や設計図などの提示を求める。すぐに回答できるように、責任者などを定めておこう。

この段階では、暗号化ファイルの拡張子、恐喝文（ランサムノート）、リークサイトへの掲載情報、ウイルス検知ソフトで検知した内容などを調べる。攻撃者がどのように侵入したのか、メールアドレスやURL、チャットや、暗号資産での支払いを求めてきている場合はそのアドレスなども捜査する。

また、「影響範囲がどこまで及んでいるのか」「『認知』の段階で周知した内容が徹底されているか」も確認ポイントとなる。

検体がある場合は提供し、その時点で判明している、あるいは想定される侵入経路や潜伏期間なども、把握できている範囲で提供する。

事情聴取や状況把握と並行して、復旧に向けて動くことになる。

経時活動の記録を作成し、感染／非感染端末の把握など、状況整理を行う。また、バックアップを確認し、可能な場合は復号ツールなどでファイルを復号する。バックアップから復元を行うときは、原則としてクリーンインストールを行う。ファームウェアなどのバージョンアップやパスワード変更も忘れてはいけない。

ここまで見てきたように、導入している端末やネットワークの状態が事前に記録されているかどうかが、その後の捜査の進捗に大きく関わる。また、窓口を定めておくことも大切だ。

ランサムウェアに感染しないための対策が重要であることは間違いないが、どれだけ対応していても絶対に感染しないとは言えない。万一の事態に備えておけば、ランサムウェアのみならず、サイバー攻撃の被害に遭ったときに役に立つだろう。