ランサムウェアに感染したら？【今すぐやるべき対処法】企業・個人別に初動対応から復旧まで完全解説

「ランサムウェアに感染してしまった…もう終わりだ」と感じたときほど、最初の数分の動きが被害を左右します。結論から言うと、まずやるべきことは3つだけです。

1. ネットワークを遮断する（拡大を止める）
2. 再起動しない・電源を切らない（証拠と復旧可能性を守る）
3. 身代金は支払わない（復旧保証なし・再被害・リスク増）

その上で、企業と個人では、次に取るべき手順（報告先、調査の進め方、復旧の考え方）が大きく変わります。

この記事では、緊急時の初動対応／やってはいけないNG行動／感染の見分け方／企業の対応フロー／個人の対処法（無料の復号ツール探索含む）／再発防止の具体策まで、実務目線で整理します。

なお、ランサムウェアへの対策は事前の備えが重要です。CyberCrew では、脆弱性診断やペネトレーションテストを通じて、ホワイトハッカーが実際に攻撃者の立場で侵入可能性を検証し、セキュリティ対策をすることが可能です。緊急対応の相談も受け付けているので、まずは問い合わせください。

【緊急】ランサムウェアに感染したら今すぐやるべき3つのこと

ランサムウェア感染が発覚しパニック状態でも、まずはこの3つだけを先に実行してください。

復旧や原因調査、社内報告の整理はその後で構いません。最初の数分で「拡大防止」と「証拠保全」を押さえることが、被害を最小化する近道です。

焦って操作を増やすほど状況は悪化しやすいです。対応方法に不安がある場合は、被害を深刻化させないようすぐにCyberCrewの緊急対応窓口から無料相談してください。

① ネットワークを即座に遮断する

最優先は「横展開（他端末・サーバへの感染拡大）を止める」ことです。
ランサムウェアは1台で終わらず、共有フォルダや管理者権限を踏み台に社内全体へ広がることがあります。

• 有線LAN：LANケーブルを抜く（抜いたケーブルはそのまま保管）
• Wi-Fi：端末のWi-Fiをオフ（可能なら機内モード）
• VPN接続中：VPNを切断（同時に、他端末のVPN利用状況も確認）
• 共有ストレージ：NASやファイルサーバへのアクセスを遮断（共有の切断・ACL変更・ネットワーク分離）

特に注意したいのが「バックアップ」です。バックアップが同一ネットワーク上にあり、書き込み可能な状態だと、バックアップまで暗号化されるケースがあります。

まずはバックアップ領域を隔離し、“守るべき最後の砦”を切り離してください。

② 電源は切らない・再起動しない

「動かないなら再起動」は普段の鉄則ですが、ランサムウェアでは逆効果になり得ます。理由は大きく2つです。

• 暗号化が再開・加速するリスク：再起動をきっかけにタスクが走り直し、被害が広がることがあります。
• 証拠が消えるリスク：調査に必要なログ、メモリ上の痕跡、実行中プロセスなどが失われ、原因究明や復旧が難しくなります。

警察庁の注意喚起でも、被害端末について「電源を落とさない」ことが明記されています。
まずは状態を保持し、写真撮影（脅迫画面・拡張子変化・エラー表示）や、ランサムノート（脅迫文ファイル）の保全に徹してください。

③ 身代金は絶対に支払わない

身代金の支払いは、焦りにつけ込まれた「最短ルート」に見えますが、現実は違います。

• 復旧の保証がない：支払っても「完全に戻る」とは限らず、Sophosの調査では“支払って全データを取り戻せた”割合が8%だったと報告されています。
• 追加要求・再攻撃：支払った瞬間に「払う組織」と認識され、追加の金銭要求や再侵入の標的になりやすくなります。
• 社会的・法務的リスク：支払い先が制裁対象等に該当する可能性も含め、自己判断での送金は危険です（法務・警察・専門家と連携が必須）。

「支払うか」の議論は、初動遮断と証拠保全が済んだ後に、経営・法務・対外対応まで含めて判断すべき内容です。

ランサムウェアに感染したら、絶対にやってはいけないこと

初動で“間違った行動”を取ると、復旧の可能性が落ちるだけでなく、被害範囲が一気に広がります。

焦って操作を増やすほど証拠が失われ、復旧手順も複雑になります。以下は、現場で実際によく起きるNG行動です。

感染端末を再起動・シャットダウンする

再起動・電源断は、暗号化の再開や証拠の消失につながります。

特に「まだ開けていたファイルが、再起動後に全部開けなくなった」というケースは珍しくありません。

復旧の手がかりとなるログや脅迫文も失われやすいため注意が必要です。迷ったら触らない、が基本です。電源は保持したまま、ネットワークだけ切るのが最初の正解です。

慌てて身代金を支払う

支払っても戻らない、戻っても一部だけ、さらに追加要求が来る——この流れが典型です。

仮に復号キーが渡されても、処理が不完全でデータが破損したり、復旧作業に別途時間と費用がかかったりします。さらに、支払いは攻撃者の資金源となり、被害を拡大させる構造にも加担してしまいます。加えて、「支払う組織」として再び狙われる可能性も高まります。

感染後にバックアップを取る

「念のため今バックアップしよう」は危険です。暗号化済みファイルやマルウェア関連ファイルごとバックアップされ、正常なバックアップを上書きしてしまうことがあります。

さらに、共有フォルダやNASに保存すると他端末へ被害が波及する恐れもあります。バックアップは“事前に”準備するもの。感染後は、まず隔離と調査です。感染後は、まず隔離と調査です。

自己判断でウイルス駆除を試みる

市販ツールでの駆除やファイル削除は、復旧に必要な情報（脅迫文、実行痕跡、侵入経路の手掛かり）を消す危険があります。
フォレンジック調査が必要な局面では、証拠を壊す行為になり得ます。

自己判断で隔離や削除を進めると、原因特定が遅れ、再侵入のリスクも残ります。
まずは「止血（遮断）」→「保全」→「調査」の順番です。

感染を隠して報告しない

企業ではこれが最悪の分岐になります。報告が遅れるほど、拡大・漏えい・対外対応の難易度が上がります。

さらに、個人データの漏えい等が疑われる場合は、個人情報保護委員会への報告や本人通知が必要となるケースがあります。

「社内に言い出しにくい」が、最も高くつく状況を作ります。早期共有こそが被害最小化と説明責任の両面で有利です。

【チェックリスト】これってランサムウェア？感染を確認する症状5つ

「これは本当にランサムウェアなのか、それとも偽の警告画面（サポート詐欺）なのか」を見分けるために、まずは次の症状を確認しましょう。

判断を誤ると、無駄な操作や不要な支払いにつながる恐れがあります。IPAも、両者の違いや注意点を整理して注意喚起しています。

症状①：身代金を要求する画面が表示される

最も分かりやすいサインです。典型例は以下です。

• デスクトップ壁紙が脅迫文に変わる
• 画面いっぱいのポップアップで「支払え」と表示される
• フォルダ内に「README」「HOW_TO_DECRYPT」等のテキストが増える（ランサムノート）

※ただし、ブラウザ上の偽警告（サポート詐欺）は「閉じたら消える」ことも多く、遠隔操作ソフトの導入を誘導します。

症状②：ファイルが開けない・拡張子が変わっている

暗号化型ランサムウェアの典型です。

• 拡張子が「.locked」「.encrypted」「.crypt」などに変わる
• クリックしても開けず、エラーになる
• ファイル名がランダム文字列になる

この場合、ファイルをいじるほど復旧が難しくなることがあります。まずはコピーや削除はせず、状態を保全してください。

症状③：PCの動作が極端に遅くなる

バックグラウンドで暗号化が走っていると、CPUやディスク使用率が跳ね上がり、PCが重くなります。

ただし、アップデートや容量不足でも似た症状は出るため、他の症状とセットで判断しましょう。動作低下だけで断定せず、脅迫文や拡張子変化も確認してください。

症状④：見覚えのないファイルやアプリがある

不審な実行ファイル、突然増えたショートカット、見覚えのない常駐プロセスなどは要注意です。

タスクマネージャやプロセス一覧は“見るだけ”に留め、終了・削除は慎重に行ってください。誤って証拠を消すと、原因特定や復旧の手掛かりが失われる恐れがあります。

症状⑤：セキュリティソフトが無効化されている

近年の攻撃は、侵入後に防御を無効化してから暗号化に入ることがあります。

「いつの間にか停止していた」「更新できない」などの兆候があれば、感染の可能性を疑ってください。

設定が勝手に変わっていないか、管理者権限の不審な操作がないかも確認しましょう。

【企業向け】ランサムウェア感染時の対応フロー5ステップ

企業のインシデント対応は、勢いで動くと破綻します。おすすめは、最初に“全体の交通整理”を作ることです（誰が何を判断し、誰に報告するか）。

判断軸と指揮系統を先に固めるだけで、初動の迷いと手戻りが大きく減ります。以下は現場で使える5ステップです。

STEP1：感染端末の隔離とネットワーク遮断

• 影響端末を特定（問い合わせの集中部署／同一セグメント／同じ共有フォルダ利用者）
• 端末のネットワーク遮断（LAN抜線／Wi-Fiオフ）
• 共有フォルダ・NAS・バックアップ領域を隔離（暗号化の連鎖を止める）
• 可能ならセグメント単位で遮断（最小限の範囲で“止血”）

警察庁の統計資料でも、ランサムウェアの侵入経路としてVPN機器等が挙げられており、遮断・点検の重要性が示されています。特に管理者アカウントの不正利用にも注意してください。

STEP2：感染状況の把握と被害範囲の特定

ここは“復旧の設計”をするための調査です。最低限、次の内容を押さえます。

• 暗号化された端末・サーバの範囲
• 影響を受けた業務（基幹／メール／ファイルサーバ／AD等）
• ランサムノートの有無、拡張子、痕跡（種類特定の手掛かり）
• 情報漏えいの可能性（窃取型／二重脅迫の兆候）

この時点で「復旧できそうか」を断定しないこと。多くの場合、暗号化より先に侵入されており、侵入経路を塞がない復旧は再被害につながります。

STEP3：社内関係部門・経営層への報告

経営層が求めているのは現時点で分かっている事実と、次の判断に必要な情報です。報告は短く、要点を外さない形にしましょう。

一次報告テンプレ（例）

• 何が起きているか：ランサムウェア疑い（暗号化／脅迫画面／業務影響）
• 現在の止血状況：遮断済み範囲、隔離端末数、業務停止の影響
• まだ不明な点：漏えい有無、侵入経路、復旧見込み
• 次の打ち手：調査体制（社内＋外部）、報告・相談先、復旧方針の検討
• 直近の意思決定ポイント：対外公表の要否、BCP切替、外部支援の手配

法務・広報・人事も、できるだけ早い段階で共有しておくのがおすすめです。後から合流すると、対外的に「何を伝えるか／伝えないか」の整理に時間がかかりやすくなります。

STEP4：外部機関への届出・相談

外部窓口は「捜査のため」だけではありません。情報集約、再発防止、関係者間の調整支援の観点でも有効です。

• 警察庁／都道府県警サイバー犯罪相談窓口：相談先一覧
• IPA：ウイルス・不正アクセス等の届出／相談窓口
• JPCERT/CC：インシデント対応依頼・報告フォーム
• 個人データの漏えい等が疑われる場合：個人情報保護委員会への報告・本人通知（要件あり）

※被害届の提出手続きは、電話やフォームだけで完結しない場合があります。案内に従い、管轄署に相談してください。相談時は、発生時刻・症状・実施済み対応を簡単にメモしておくとスムーズです。

STEP5：専門業者への相談と復旧作業

復旧は「暗号化解除」だけではありません。侵入経路の遮断・再発防止まで含めて復旧です。

• フォレンジック調査（侵入経路、横展開、情報持ち出しの有無）
• 復旧設計（バックアップの健全性確認、優先業務の復旧順）
• 再侵入対策（ID管理、VPN/RDP、EDR、ネットワーク分離、監視強化）

なお、国内ではランサムウェア被害の復旧費用が「1,000万円以上」、復旧期間が「1週間以上」となる割合が高いことが報告されています（警察庁レポートに基づく解説）。

【個人向け】自宅PCがランサムウェアに感染した場合の対処法

個人の場合は、社内調整がないぶん「今すぐできること」を順番に進めやすいのが強みです。焦って操作を増やすより、まずは被害の拡大を止め、状況を保つことを優先しましょう。ここでは手順を段階的に整理します。

STEP1：インターネット接続を切る

• 有線：LANケーブルを抜く
• Wi-Fi：端末のWi-Fiをオフ（可能なら機内モード）
• ルーター電源を落とすのも手ですが、まずは端末側の遮断でOK（復旧時の切り分けもしやすくなります）

目的は、家庭内のNASや別PC、スマホに被害が広がる前に“止血”することです。共有フォルダやクラウド同期が有効なら、同期停止もあわせて検討してください。

STEP2：再起動せずに状態を保持する

「再起動したら直るかも」と思っても、いったん再起動は避けてください。
再起動で暗号化が進んだり、調査に必要な証拠が消えたりするリスクがあります。

まずはネットワークを切り、操作は最小限に留めましょう。画面表示や脅迫文、拡張子の変化はスマホなどで撮影して残しておくと、後の切り分けや相談時の説明に役立ちます。

STEP3：ランサムウェアの種類を特定する

種類が分かると、復号ツールが見つかる可能性が上がります。代表的な識別サービスが ID Ransomware です。

基本的には「ランサムノート（脅迫文）」や「暗号化されたファイルの拡張子」、表示されている文面の特徴などから照合します。

※個人情報や機密が含まれそうなファイルを、無理にアップロードしないでください。サービスの案内に従い、必要最小限のサンプルで確認し、迷う場合は専門家に相談するのが安全です。

STEP4：無料の復号ツールを探す（No More Ransom）

復号ツールの代表が No More Ransom プロジェクトです。
欧州の法執行機関である Europol も関わる取り組みで、公開済みの復号ツールや解説がまとめられています。

手順（安全側の進め方）：

1. 先にネットワーク遮断・再起動回避
2. ID Ransomware等で種類の当たりを付ける
3. No More Ransomで該当ツールを探す
4. ツールの注意事項を読み、復号対象はコピーで試す（上書き事故を防ぐ）

※対応数は更新されますが、公式発表では（2022年時点で）多数の復号ツールが公開され、複数のランサムウェア亜種に対応しているとされています。

STEP5：復号できない場合はPCを初期化する

復号ツールが見つからない場合、完全な復旧は難しいことがあります。その場合の現実的な選択肢は2つです。

• バックアップがある：初期化→クリーンな状態に戻して復元
• バックアップがない：データ復旧業者に相談（成功保証はない／高額になり得る）

重要なのは、初期化前に「何が起きたか」を最低限残すことです（脅迫文、拡張子、表示画面）。再発防止の観点でも役に立ちます。可能なら外部メモに時刻や操作履歴も記録しておくと整理しやすいです。

ランサムウェアに感染しないための予防策7選

「ランサムウェア」感染の被害を抑える方法は、感染しないための予防と感染しても被害を最小限に留める事前の対策です。

大切なのは、今日から実行できる対策を一つずつ積み上げることです。派手な施策よりも、更新・バックアップ・認証強化の徹底が効いてきます。

① 定期的なバックアップ（3-2-1ルール）

バックアップは「取っているつもり」では不十分です。復旧に耐える形にするため、まずは 3-2-1ルール を押さえてください。

• 3つのコピーを持つ
• 2種類の媒体に分ける（例：外付け＋クラウド）
• 1つはオフサイト／オフライン（ネットワークから切り離す）

暗号化型ランサムウェアに対して、最後に効くのは「無傷のバックアップ」です。バックアップ領域は“書き込み権限の最小化”と“世代管理（過去分を残す）”までセットで考えてください。可能なら定期的に復元テストも実施しましょう。

② OS・ソフトウェアの最新化

侵入の入口は、意外と「既知の脆弱性」だったりします。

OSだけでなく、ブラウザ、VPNクライアント、業務ソフト、リモートツールまで自動更新を基本にしましょう。更新が止まっている端末や例外設定があると、そこが狙われやすくなります。

社内に“更新されない機器”がないか定期的に棚卸しすることも重要です。

③ セキュリティソフトの導入と更新

ウイルス対策に加えて、可能ならEDR（Endpoint Detection and Response）も検討してください。侵入後の不審挙動（横展開、資格情報の窃取）を検知できるかが、今の現実です。

特にランサムウェアは、暗号化の前に社内を探索し、管理者権限を奪ってから一気に被害を広げます。検知と封じ込めが早いほど、停止範囲と復旧コストを抑えられます。まずは重要端末や管理者端末から段階的に導入するだけでも効果があります。

④ 不審なメール・リンクを開かない

不審メールは「気づけるポイント」を押さえるだけで、被害の多くを未然に防げます。

• 添付ファイルの拡張子（.exe、.js、.iso 等）
• 送信元の違和感（表示名だけ正しい、ドメインが違う）
• 急かす文面（至急・本日中・アカウント停止 など）

“確認の電話を1本入れる”だけで防げる被害は多いです。社内のルールとして、怪しい場合は別経路（電話・チャット）で確認する習慣を作っておくと、判断がぶれにくくなります。

⑤ 多要素認証の導入

VPN、リモートデスクトップ、クラウド管理画面は特に必須です。パスワード単体の防御は、現代では「いつか破られる前提」で設計すべきです。

多要素認証を入れるだけで、不正ログインの成功率を大きく下げられます。あわせて管理者アカウントのMFA強制、条件付きアクセス（国・端末制限）なども検討すると、侵入後の横展開を防ぎやすくなります。

⑥ VPN機器のファームウェア更新

国内の被害動向でも、侵入経路としてVPN機器／リモートデスクトップが多い傾向が示されています。

攻撃者は既知の脆弱性や弱い認証を狙うため、ファーム更新、初期パスワード変更、不要ポート閉鎖、管理画面の非公開（必要ならIP制限付き公開）まで徹底してください。あわせて管理者アカウントのMFAやログ監視も有効です。

⑦ 従業員へのセキュリティ教育

最後に一番大切なのは人です。

「怪しい時の報告先」「端末を触らずネットワークを切る」「スクショを撮る」だけでも、初動の質が一段上がります。

年1回の研修だけで終わらせず、月1回の短い注意喚起や簡単な訓練を継続する方が定着します。連絡先をすぐ見られる状態にし、迷ったら相談できる空気づくりも被害最小化に効きます。

ランサムウェア対策・復旧支援ならまずはCyberCrewに相談してください

ランサムウェアに感染した際・対策を実行する際には、実際の現場では「判断材料が足りない」「社内の意見が割れる」「経営報告が先に来る」などで、手が止まりがちです。

そういう時こそ、外部の目が効きます。第三者が入ることで、優先順位と意思決定ポイントが整理され、初動の手戻りも減らせます。

CyberCrewでは、ホワイトハッカー視点で、緊急対応から再発防止まで、やることを一本にまとめて整理し、次の一手を一緒に進めます。

• 初動の優先順位整理（止血・保全・調査の順で迷わせない）
• 侵入経路・被害範囲の特定（横展開や漏えい可能性の評価）
• 復旧計画と再発防止（バックアップ検証、監視設計、運用改善まで）

「ランサムウェアに感染したら、まず何をすべきか」を、社内説明できる形に落とし込みたい場合もご相談ください。初回は状況整理だけでも構いません。

よくある質問（FAQ）

よくある質問をまとめました。感染直後に迷いやすい点をQ&A形式で整理しています。まずは状況に近い項目から確認してください。

Q1. ランサムウェアに感染したらデータは復旧できる？

完全復旧できるかどうかは、「無傷のバックアップが残っているか」と「どのランサムウェアか（無料の復号ツールがあるか）」でほぼ決まります。

まずは No More Ransom で該当する復号ツールが公開されていないか確認し、そのうえでバックアップの世代（いつの時点まで戻れるか）と隔離状況（感染の影響を受けていないか）を落ち着いて点検してください。

Q2. 感染したPCを再起動してしまったらどうなる？

再起動してしまうと、暗号化の処理がもう一度動き出して被害が広がったり、調査に必要なログや実行中の痕跡が消えてしまったりすることがあります。

もし既に再起動してしまったとしても、そこで慌てて色々触らないのが大切です。

まずはネットワークを切って状況の悪化を止め、画面表示や脅迫文などを控えたうえで、社内窓口や専門家に早めに連絡してください。

Q3. 身代金を払ったら犯罪になる？

身代金を払うかどうかは状況次第でリスクが変わりますが、「払えば必ず戻る」とは限りません。
むしろ、払っても復旧できない／追加で要求される／また狙われる、といった再被害につながるケースもあります。
さらに、送金先が制裁対象に関わる可能性もゼロではないため、法務・警察・専門家と連携せずに独断で判断するのは危険です。公的機関も基本的に支払いは推奨していません。

Q4. ランサムウェアの復旧費用はいくらかかる？

一概には言えませんが、警察庁の公表資料では、復旧に「1週間以上」を要したケースや、調査・復旧費用が「1,000万円以上」となるケースが一定割合あることが示されています

とはいえ金額は、止まった業務の範囲（基幹・メール・ファイルサーバ等）や、使えるバックアップがあるか、どこまで調査（フォレンジック）を行うかで大きく上下します。

Q5. 個人のPCでもランサムウェアに感染する？

個人のPCでもランサムウェアに感染することはあります。

入口は複数あり、メールの添付ファイルや不審なダウンロードに加えて、Web上の「ウイルスに感染しました」などの偽警告（サポート詐欺）から遠隔操作ソフトを入れさせられるケースもあります。

表示が出ても慌てて支払いや電話をせず、まずは接続を切って状況を確認しましょう。

Q6. スマホやiPhoneもランサムウェアに感染する？

スマホでも、ランサムウェアやそれに近い被害のリスクはゼロではありません。

特にAndroidは、非公式ストアや野良APKなど「公式以外」からアプリを入れると、悪意あるアプリを掴む可能性が高まります。

iPhoneは相対的に安全側ですが、フィッシングで認証情報を奪われたり、不正なプロファイル設定で通信を覗かれたりして被害につながることがあります。基本は「公式ストアだけ使う」「OSとアプリを最新に保つ」「不審リンクを踏まない」を徹底してください。

Q7. 感染したらどこに相談すればいい？

企業の場合、まずは都道府県警のサイバー犯罪相談窓口を起点にしつつ、技術的な切り分けや情報共有の窓口としてIPAの届出・相談窓口、必要に応じてJPCERT/CCの報告フォームも選択肢になります。

個人の場合も、警察の相談窓口やIPAの安心相談窓口を活用できます。連絡するときは「いつから／何が起きているか／すでに何をしたか」を短くメモしておくと、案内がスムーズです。

Q8. No More Ransomの復号ツールは無料？

無料で利用できます。

No More Ransom は、法執行機関（警察組織など）とセキュリティ企業が連携して運営している取り組みで、公開済みの復号ツールや使い方の解説がまとめられています。

怪しい「有料の復号サービス」に飛びつく前に、まずはここで該当するツールがないか確認してみるのがおすすめです。

まとめ：ランサムウェアに感染したら冷静に対処しよう

「ランサムウェアに感染したら」と気づいた瞬間、まず守るべき原則は3つです。ここで慌てて操作を増やすほど、被害が広がったり、復旧の選択肢が減ったりします。最初の数分は、とにかく“止血”と“証拠保全”を優先してください。

• ネットワークを遮断する（拡大を止める）
• 再起動しない・電源を切らない（証拠と復旧可能性を守る）
• 身代金は支払わない（保証なし／再被害リスク）

この3つを押さえたうえで、企業と個人では次の動きが変わります。企業は、勢いで動かず 「隔離→把握→報告→届出→復旧」 の5ステップで漏れなく進めるのが安全です（誰が判断し、誰に報告するかを先に決めるだけでも混乱が減ります）。

個人は、まず種類を当てて、No More Ransom などで復号ツールの可能性を探すのが現実的です。

そして最後に強調したいのは、次の被害を防ぐのは“平時の積み上げ”だということです。無傷のバックアップ（世代管理＋隔離）、OSや機器の更新、MFAの徹底、VPNやリモート経路の点検、教育と連絡体制——派手ではない基本が、いざという時に組織とデータを守ります。迷ったら一人で抱え込まず、早めに相談して判断材料を揃え、落ち着いて次の一手を選びましょう。

ランサムウェアの感染が発覚したら早めに外部へ相談し、社内の判断材料を揃えましょう。初動が早いほど、復旧の選択肢は確実に増えます。