ランサムウェアをウイルス対策ソフトで感染を防ぐことができればいいのですが、どうしても検知できない可能性はついて回ります。ウイルス対策ソフトの話になるとついて回るのがどこのウイルス対策ソフトだと検知できた。できなかった。というお話しです。しかし、今回検知したからといって次回以降検知できる保証はどこにもありません。ですので、検知しない可能性を常に考えておく必要はあると思っています。ウイルス対策ソフトをどこのものを使用するかといったことよりもまず、自身のシステムに内在する脆弱性を解消しておくことのほうが先決であると思います。今回のウイルスがどういった経路で感染したかは分かりませんが、Webのアクセスにより感染したというのであればブラウザやそのプラグインであるFlashなどが古いことにより攻撃を受け、感染してしまうというケースは十分に考えられます。怪しいサイトには近寄らないということだけでは防ぐことのできない攻撃もあります。不正な広告や水飲み場のような攻撃です。そういったものを避けることが難しくなってきている以上は自身のシステムに内在する脆弱性を解消し、そういったサイトにアクセスしても大丈夫な状態にしておくことを強くお勧めします。

しかし、それでも添付ファイルを実行してしまったり、未解消の脆弱性やゼロデイを受けてしまい感染することが避けられないケースがあります。そういったときのために可能な限り短い間隔で自身のファイルのバックアップを取得しておくことも併せて行っておく必要があると思います。この場合には感染する端末がアクセス可能な場所、例えば、ファイルサーバなどに置いていては暗号化されてしまう可能性が大ですので、お勧めはできません。企業内であればクライアントコンピュータからアクセスできないところにバックアップを取るようにし、個人であれば自動同期せずクラウドに個別に保存するか物理的にDVDなどのメディアに保存することをお勧めします。
また、そういった事態に備えて自身の環境で復旧を行う場合、どのような手順で行うのか。実際にはどれほどの時間が必要で、本当に復旧することができるのかといった確認を実地で行っておくこともとても大切であると考えています。そうしていれば金銭を支払わずともある程度の復旧が可能となることでしょう。

上記のことを実施しておらず、感染を許してしまった場合は攻撃者に金銭を支払うという選択肢しか残されていないということとなります。
金銭的な理由などから前述した対策を講じられていない環境は現実問題として存在します。もちろん、攻撃者に金銭を支払うことは決して推奨されるようなことではありません。
しかし、支払う金額と自身のシステム内にあるファイルの価値を天秤にかけ後者が大きく勝るようであれば金銭を支払うという選択肢を選ばざるをえない場合もあると個人的には考えています。

とはいえ実際に自システムにランサムウェアが入り込んできたとき、感染した際にはどのように確認、対応すればいいのかといったことが整理されていない場合もあることかと思います。また、これから整理していくという方も多いことでしょう。そこで何かしらの叩き台や目安になるようなものがあったほうがよいのではないかということでPiyokango氏、AJ氏の多大なる協力を得て対応フローを作成しました。このフローがすべてではないと思いますが今後対応されていく方々の一助となれば幸いであると考えています。

対応フローは、以下よりダウンロードしてください。