Microsoft 365 でのランサムウェア攻撃から回復する

適用対象

組織を保護するためにあらゆる予防措置を講じても、 ランサムウェア 攻撃の被害を受ける可能性があります。 ランサムウェアは大きなビジネスであり、今日の脅威の状況では、Microsoft 365 は 高度な攻撃の絶えず増加するターゲットです。

この記事の手順では、データを回復し、感染の内部拡散を停止する最適な機会を提供します。 開始する前に、次の項目を考慮する必要があります。

  • 身代金を支払うとファイルへのアクセスが返されるという保証はありません。 実際、身代金を支払うと、より多くのランサムウェアのターゲットになる可能性があります。

    既に支払い済みで、攻撃者のソリューションを使用せずに復旧した場合は、銀行に連絡して、トランザクションをブロックできるかどうかを確認してください。

    また、この記事で後述するように、ランサムウェア攻撃を法執行機関、詐欺報告 Web サイト、Microsoft に報告することをお勧めします。

  • 攻撃とその結果に迅速に対応することが重要です。 待機時間が長いほど、影響を受けるデータを回復できる可能性は低くなります。

手順 1: バックアップを確認する

オフライン バックアップがある場合は、環境からランサムウェア ペイロード (マルウェア) を削除した 、および Microsoft 365 環境に不正アクセスがないことを確認した に、暗号化されたデータを復元できる可能性があります。

バックアップがない場合、またはバックアップがランサムウェアの影響を受けた場合は、この手順をスキップできます。

手順 2: Exchange ActiveSyncとOneDrive 同期を無効にする

ここで重要なのは、ランサムウェアによるデータ暗号化の拡散を阻止することです。

ランサムウェア暗号化のターゲットとして電子メールが疑われる場合は、メールボックスへのユーザー アクセスを一時的に無効にします。 Exchange ActiveSyncは、デバイスとExchange Onlineメールボックスの間でデータを同期します。

メールボックスのExchange ActiveSyncを無効にするには、「Exchange OnlineのユーザーのExchange ActiveSyncを無効にする方法」を参照してください。

メールボックスへの他の種類のアクセスを無効にするには、次を参照してください。

OneDrive 同期を一時停止すると、感染する可能性のあるデバイスによってクラウド データが更新されないように保護できます。 詳細については、「 OneDrive で同期を一時停止および再開する方法」を参照してください。

手順 3: 影響を受けるデバイスからマルウェアを削除する

疑わしいすべてのコンピューターとデバイスで最新のフル ウイルス対策スキャンを実行し、ランサムウェアに関連付けられているペイロードを検出して削除します。

データを同期しているデバイスや、マップされたネットワーク ドライブのターゲットを必ずスキャンしてください。

Windows Defenderまたは (古いクライアントの場合) Microsoft Security Essentials を使用できます。

ランサムウェアやマルウェアの削除にも役立つ代替手段として、 悪意のあるソフトウェア削除ツール (MSRT) があります

これらのオプションが機能しない場合は、オフラインWindows Defender試すか、マルウェアの検出と削除に関する問題のトラブルシューティングを試すことができます。

手順 4: クリーニングされたコンピューターまたはデバイス上のファイルを回復する

環境からランサムウェア ペイロードを削除する前の手順を完了したら (ランサムウェアによるファイルの暗号化または削除を防ぎます)、Windows 11、Windows 10、Windows 8.1でファイル履歴を使用し、Windows 7 の System Protection を使用してローカル ファイルとフォルダーの回復を試みることができます。

:

  • 一部のランサムウェアではバックアップ バージョンも暗号化または削除されるため、ファイル履歴または System Protection を使用してファイルを復元することはできません。 その場合は、次のセクションで説明するように、ランサムウェアや OneDrive の影響を受けなかった外部ドライブまたはデバイスでバックアップを使用する必要があります。

  • フォルダーが OneDrive に同期されていて、最新バージョンの Windows を使用していない場合は、ファイル履歴の使用にいくつかの制限がある可能性があります。

手順 5: OneDrive for Business内のファイルを回復する

OneDrive for Businessファイルの復元では、過去 30 日以内に OneDrive 全体を以前の時点に復元できます。 詳細については、「OneDrive を復元する」を参照してください。

手順 6: 削除されたメールを回復する

ランサムウェアによってすべてのメールが削除されたというまれなケースでは、削除されたアイテムを回復できる可能性があります。 詳細については、以下を参照してください:

手順 7: Exchange ActiveSyncとOneDrive 同期を再度有効にする

コンピューターとデバイスをクリーニングしてデータを回復したら、手順 2 で以前に無効にしたExchange ActiveSyncとOneDrive 同期を再度有効にすることができます。

手順 8 (省略可能): 特定のファイル拡張子のOneDrive 同期をブロックする

回復した後、OneDrive for Business クライアントがこのランサムウェアの影響を受けたファイルの種類を同期できないようにすることができます。 詳細については、「Set-SPOTenantSyncClientRestriction」を参照してください。

攻撃を報告する

法執行機関に問い合わせる

ローカルまたは連邦の法執行機関に問い合わせる必要があります。 たとえば、米国にいる場合は、FBI ローカル フィールド オフィスIC3、またはシークレット サービスに問い合わせてください。

国の詐欺報告 Web サイトにレポートを送信する

詐欺レポート Web サイトでは、詐欺を防止および回避する方法に関する情報が提供されます。 また、詐欺の被害に遭った場合に報告するメカニズムも提供されます。

お使いの国が一覧にない場合は、現地または連邦の法執行機関に問い合わせてください。

Microsoft に電子メール メッセージを送信する

ランサムウェアを含むフィッシング メッセージは、いくつかの方法のいずれかを使用して報告できます。 詳細については、「メッセージとファイルを Microsoft に報告する」を参照してください。

その他のランサムウェア リソース

Microsoft の主な情報:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure

Microsoft Defender for Cloud Apps

Microsoft Security チームのブログ投稿: