【保存版】ランサムウェアに感染した場合の緊急対処方法

【保存版】ランサムウェアに感染した場合の緊急対処方法

データを暗号化し人質にとる「ランサムウェア」に運悪く感染してしまった場合の対応を解説します。2025年になってから、アサヒグループをはじめ、アスクルもランサムウェア被害にあっており、狙われる企業が増えています。

本記事は万が一ランサムウェアに感染した場合を想定し、ランサムウェアの駆除→ランサムウェアグループの特定→暗号化されたファイルの復号ツールの3つの内容をご紹介致します。

特に中小企業の情報セキュリティ担当者は把握しておくとよいでしょう

ランサムウエアの感染兆候について

ファイル名が突然「.locked」「.crypt」などに変わる、拡張子が統一的に置き換えられる場合は要注意です。また、デスクトップ上に「readme.txt」や「decrypt_instructions.html」といった身代金要求ファイルが出現するのも典型的

重要なファイル名が突然「.locked」「.crypt」などに変わる、拡張子が統一的に置き換えられる場合
また、デスクトップ上に「readme.txt」や「decrypt_instructions.html」といった身代金要求ファイルが出現するのも典型的なウイルス感染サインです

ランサムウェアの感染時の緊急対応

ランサムウェアの感染が疑われた場合、どのような行動をすればよいでしょうか?を解説します

①まずPCをネットワークから遮断する

ランサムに感染してしまった場合は、まず該当のPCからLANケーブルを抜き、ネットワークからPCを遮断します。無線LANの場合は無線をOFFにします。基本ですが重要な動作のひとつです。ネットワークから遮断することでウイルス感染した端末を隔離することができます

②ランサムウェアに感染した証拠を保全します

デスクトップの身代金画面、暗号化されたファイル名(拡張子)、日時が見えるようにスマホで撮影する
不審なプロセス一覧(タスクマネージャーで確認)

この時パソコンでキャプチャーを取らないようにしてください(余計な操作ログを残さない為)
・パソコンはシャットダウンや再起動、ウイルススキャンを行わない

<strong>以下に該当する場合は、この段階で専門業者へ連絡し対応を依頼してください</strong>

大規模組織・企業での感染

大量の個人情報流出のリスク

ネットワーク全体への感染

※専門業者依頼前に感染端末で「やってはいけない」こと

・アンチウイルススキャン(証拠が改変される)
・再起動・復元ポイント操作
・不審ファイルの削除やリネーム
・復号ツールの実行

主な相談先

  • 警察(サイバー犯罪対策課)
  • セキュリティベンダー
  • フォレンジック会社
  • 弁護士事務所

費用目安:

  • 初期調査:10〜50万円
  • 駆除・復旧:50〜300万円
  • フォレンジック:100〜500万円

専門業者への依頼メール例


お世話になります。個人(/会社名:◯◯)の端末がランサムウェアに感染した疑いがあります。  

・発見日時:2025-10-23 14:30(例)  
・端末:ノートPC/メーカー・型番(例:Dell XPS 13)  
・症状:デスクトップに身代金メッセージ、ファイル拡張子が .locked に変化  
・ネットワークは切断済み/電源は切断済み(例)  

まずは初期対応(証拠保全、ディスクイメージ取得、復旧可否の調査)と見積をお願いしたく連絡しました。
至急対応可能か、概算費用を教えてください。  

連絡先:電話 xxx-xxxx-xxxx / メール yyy@zzz

ランサムウェア(ウイルス)の駆除方法

ここからは専門業者に依頼しない場合の対処方法です(自己責任で対応ください)

アンチウイルス対策ソフトでランサムウェアを駆除する

まず作業としてはランサムウェアウイルスの駆除から行います。理由としてウイルスを駆除しない限り、何度でもファイルが暗号化されてしまうからです。

パソコンを「セーフモードで起動します」セーフモードで起動しますと、必要最低限のドライバや機能以外は無効となりPCが起動しますのでパソコン操作ができるはずです。

【Windows 11】PCメーカー別セーフモードの起動方法まとめ

Windows 11でPCにトラブルが発生した際、問題の切り分けや修復に欠かせないのが「セーフモード」です。ここでは、国内主要PCメーカーで共通する基本的なセーフモードの起動方法と、メーカーごとのサポート情報をご紹介します。

1. Windowsが起動する場合の基本的な手順

「設定」または「Shift」キーを使った方法で、Windows回復環境(Windows RE)を呼び出し、セーフモードを起動します。

① 「Shift」キーを押しながら再起動する方法(最も一般的)

  1. デスクトップ画面左下の「スタート」ボタンをクリックし、「電源」アイコンを選択します。
  2. キーボードのShift キーを押しながら、「再起動」をクリックします。
  3. そのまま Shift キーを押し続けます(画面が切り替わるまで)。

② 設定から起動する方法

  1. 「スタート」ボタン → 「設定」(歯車アイコン)をクリックします。
  2. 左側のメニューから「システム」「回復」を選択します。
  3. 「回復オプション」の「PC の起動をカスタマイズする」または「高度なスタートアップ」の下にある「今すぐ再起動」をクリックします。

③ 共通の操作(Windows回復環境での操作)

上記①または②でPCが再起動した後、青い画面で以下の操作に進みます。

  1. 「オプションの選択」画面で「トラブルシューティング」を選択。
  2. 「詳細オプション」を選択。
  3. 「スタートアップ設定」を選択。
  4. 「再起動」をクリック。
  5. 再起動後、「スタートアップ設定」画面が表示されます。
    • 通常のセーフモードで起動したい場合は、4 または F4 キーを押します。
    • インターネット接続が必要なセーフモード(セーフモードとネットワーク)で起動したい場合は、5 または F5 キーを押します。

2. Windowsが起動しない場合の基本的な手順

Windowsが起動途中で止まってしまうなど、デスクトップ画面にアクセスできない場合は、強制終了を繰り返して回復環境を呼び出します。

  1. 電源ボタンを10秒以上長押しして、PCの電源を完全に切ります。
  2. 電源ボタンを押し、PCを起動します。Windowsのロゴが表示されたら(または起動し始めたら)、再び電源ボタンを10秒以上長押しして電源を切ります。
  3. この操作を3回繰り返します
  4. 3回目の起動後、PCは自動的に「自動修復」画面、または「回復」環境(青い画面)に切り替わります。
  5. 「詳細オプション」「トラブルシューティング」「詳細オプション」「スタートアップ設定」「再起動」を選択し、セーフモードのオプションを選択します。

メーカー独自の機能(リカバリ機能など)が関係する場合や、上記の操作でうまくいかない場合は、各メーカーのサポートページをご確認ください。

メーカー セーフモード起動に関するサポートページ(例)
NEC(LAVIE) Windows 11をセーフモードで起動する方法
富士通(FMV) (「Windows 11 セーフモード 起動方法」で検索してください)
DELL (「Windows 11 セーフモード 起動方法」で検索してください)
HP セーフ モードの起動方法を知りたい
Lenovo セーフモードで起動する - Windows 11、10
ASUS Windows 11/10 - セーフモードへのアクセス方法
マウスコンピューター (「Windows 11 セーフモード 起動方法」で検索してください)

※上記リンクは、検索結果に基づき、セーフモードの起動方法が記載されているページを抜粋したものです。最新の情報は、必ず各メーカーの公式サイトでご確認ください。

この状態で、パソコンにインストールしてあるウイルス対策ソフトフルスキャンを実施してください。
Windows Defendeなどでスキャンをかけるとウイルスが発見されランサムウェアが駆除されるはずです。もし、見つからない場合は、トレンドマイクロなど他社のウイルス対策ソフトを導入を検討してしてください

万が一どうしても駆除が出来ない場合はリカバリで対応するしかありません(データ全削除+OS再インストール)データは全削除されます。

ランサムウェアによって暗号化されたファイルの解除

ランサムウェアにより暗号化されたファイルの復元については、ランサムウェア専用のツールを利用します
いくつか紹介いたします。

暗号化ファイルを復元できるかどうかを判断するには、まずどのような形式で暗号化されているかを確認する必要があります。

ランサムウェアごとに特徴的な拡張子が付加されるため、たとえば「.phobos」「.lockbit」「.djvu」などの文字列から感染ファミリーを推定できます

ID-Ransomwareで感染したランサムウェアを特定する

約1175種類のランサムウェアに対し、暗号化復号ができるサイトです。暗号化されたサンプルファイルをアップロードすることで、解除可能か確認できます

ランサムウェアの種類が特定されると、ID Ransomwareはそのランサムウェアに対して、セキュリティ企業や研究者によって復号化ツールが公開されているかどうかを知らせてくれます。

ID Ransomwareは、マルウェア研究者が提供している無料のWebサービス(オンラインツール)です。その名の通り、ユーザーが感染したランサムウェアの「ID(種類)」を特定することを目的としています

ID Ransomwareの主な機能と使い方

ID Ransomwareの使い方は非常にシンプルです。ランサムウェアによって暗号化されたファイルをアップロードまたは入力することで、データベースと照合し、種類を特定します。

No More Ransom ランサムウェアの特定および駆除ツール

ランサムウェア判別ツール

ランサムウェア復号ツール

「No More Ransom」プロジェクトとは?

ファイルが突然暗号化され、「身代金を払え」という脅迫文が表示されるランサムウェア。その被害は増加の一途を辿っています。しかし、その脅威に対抗し、被害者を救済するために国際的な取り組みが進んでいます。それが、「No More Ransom(ノーモアランサム)」プロジェクトです。

1. No More Ransomプロジェクトの概要

「No More Ransom」は、ランサムウェアの被害を最小限に抑えることを目指して、2016年7月に設立された国際的な官民連携プロジェクトです。

設立の背景と協力機関

このプロジェクトは、犯罪者への身代金支払いを阻止し、被害者がデータを取り戻せるよう支援するために始まりました。設立当初から、**欧州刑事警察機構(ユーロポール)**や**オランダ警察**などの公的機関と、**カスペルスキー**をはじめとする民間のセキュリティ企業が協力し合っています。

現在では、世界中の180以上の組織(法執行機関、セキュリティ企業、政府機関など)が協力メンバーとして参加し、ランサムウェアとの戦いに挑んでいます。

ランサムウェアの復号を行う前に必ずウイルス駆除をおこなってください。
ウイルス駆除を行わないと、復号してもまたランサムウェアによりファイル暗号化されます

トレンドマイクロ社が提供するランサムウェア復号ツール

日本では大変有名なウイルスバスターを提供するトレンドマイクロ社が提供するランサムウェア暗号化解除ツールです。

ランサムウェア復号ツール

警察庁が提供するランサムウェア復元ツール

警察庁が提供するツールは「Phobos」 及び「8base」 グループのランサムウェアによって暗号化されたファイルの復号を試みるツールとなっています。

Phobos/8Base復号ツール

まとめ

まず感染を拡大させない
→ ネットワークから即座に切断(LANケーブルを抜く/Wi-Fiをオフ)
感染端末の状態を変えない
 → シャットダウンや再起動、スキャンなどを行わず現状維持

証拠保全をする
スマートフォンなど別の端末で撮影:
 - デスクトップに表示される身代金要求メッセージ
 - 暗号化されたファイルの拡張子(例:.locked)
 - 不審なプロセス一覧(タスクマネージャー)
 - 画面上の時刻

状況によりこの段階で専門業者に依頼し指示を仰ぐ

以下自己責任対処

ランサムウェアの駆除
-ウイルス対策ソフトでフルスキャンし駆除
-消えない場合は、データ全削除+OS再インストール(データはすべて消えます)

暗号化されたファイルの復元
-No More Ransom
-ID Ransomware
-Phobos/8Base復号ツール

免責事項

本記事は情報システム担当者向けの一般的ガイドです。記載内容は執筆時点の情報に基づきますが、脅威動向や環境変更により適用できない場合があります。自社環境での実施にあたっては、社内ポリシーおよび専門家の助言に必ず従ってください。記載内容の実施結果について、当サイトは一切の責任を負いませんので予めご了承ください