![[公式]Shadow Desktop 活用支援サイト(シャドウデスクトップ)](https://how-to.shadowdesktop.jp/wp-content/uploads/2025/12/footer_logo.png){kind=logo}
ランサムウェア感染後のファイル復旧・ロールバック手順
▼こんな方におすすめ
| ランサムウェア感染時に、Shadow Desktop環境でどのように復旧対応すべきか知りたい |
| Backupオプションを活用したファイル復元・ロールバック手順を確認したい情報システムご担当者様 |
| 万一の感染被害に備え、復旧フローや再発防止策を事前に整理しておきたい企業・組織の管理者様 |
前提:Shadow Desktopはランサムウェアを「防御」する製品ではありません
まず重要な認識として、Shadow Desktopはランサムウェア攻撃そのものを防ぐ仕組みではありません。
Shadow Desktopはデータレス環境を実現する製品ですが、ファイルの読み出し要求が発生するとクラウドからキャッシュにダウンロードして応答するため、被害を受ける可能性があります。
また、感染したファイルがクラウドへアップロードされる場合もあるため、端末のシャットダウンやShadow Desktop Manager(管理コンソール)からの利用停止だけでは被害を防ぐことはできません。
ランサムウェア感染そのものへの対策としては、ウイルス対策ソフトやEDR製品の導入・運用が必要です。
ランサムウェア感染時にShadow Desktopができること
一方で、Shadow Desktopはランサムウェア感染後の迅速なデータ復旧を支援します。
Backupオプションをご利用いただいている場合、感染前の世代へファイルを戻すことで、暗号化されたデータを復旧できる可能性があります。
本記事では、ランサムウェア感染時の基本的な対応手順と、Backupオプションを利用した復旧方法をご紹介します。
感染時の対応手順
1. 初動対応
- 感染を確認したら、速やかにネットワークから切り離すなどの初動対応を実施してください。
- ウイルス対策ソフト・EDRのアラート内容を確認し、感染範囲を把握します。
※他製品の設定方法につきましては弊社ではご案内できかねるため、ご提供元の正式なご案内に基づき実施をお願いいたします。
2. PCの初期化
- 感染したPCを初期化(クリーンインストール) します。まずは、ランサムウェアを完全に除去することが目的となります。
3. Backupオプションによる復旧
※本手順はBackupオプションが有効になっていることが前提です。
Backupオプションでは、ファイルを上書き保存するのではなく、世代管理によって変更履歴を保持しています。
ランサムウェアによる暗号化もファイル更新の一種として記録されるため、感染前の正常な状態のファイルが別世代として保存されている場合があります。
そのため、感染前の日時へロールバックすることで、暗号化前の状態へ復旧できる可能性があります。
※Backupオプションでは最大99世代までファイル履歴を保持できます。
復旧手順
管理者側の事前準備
ランサムウェアに感染した端末のデータを復旧するにあたり、管理者側で必要な事前設定をご説明します。
(1)Shadow Desktop Manager(管理コンソール)を開きます。
(2)左のメニューの「ユーザー管理」の「一覧」から、データ復旧したいユーザー名を選択します。
(3)オプションタブを開きます。
(4)「データ引き継ぎ方式選択の有効化」の「ユーザーによるデータ引き継ぎ方式選択を有効にする」にチェックを入れます。
(5)「ユーザーを更新する」を押し、対象端末を再起動します。
ユーザー側の復旧手順
続いて、ランサムウェアに感染した端末のデータ復旧を行います。
※画像はランサムウェア感染時の挙動を再現したサンプル画面です。ランサムウェアによっては、ファイルが暗号化されて拡張子が変更されるほか、身代金要求を示すメッセージが表示される場合があります。
(1) PCを初期化後、 Shadow Desktopをインストールします。ID/パスワードを入力し、「OK」を押してアクティベーションします。
(2)この画面では、クラウドストレージ上に保存されているデータをどのような状態で新しいPCへ引き継ぐかを選択します。
感染前の状態を確認するため、「日時を指定して引き継ぐ」の「プレビュー」をクリックしてください。
(3)プレビュー画面が表示されます。画面右上には、現在表示しているデータの日時(復元ポイント)が表示されます。
(4)画面左下にはファイル更新履歴のアクティビティが表示されます。
グラフが大きく変化している箇所では、ファイルの作成・更新・削除が集中して発生しています。感染発生時刻の特定に役立ちます。
(5)画面右下のバーをスクロールして移動すると、感染前後の状態を確認できます。
ランサムウェア感染時には、短時間で大量のファイル作成や削除が発生することが一般的です。そのため、更新が急増している箇所を確認することで、感染発生時期の目安を把握できます。
感染前と思われる日時を特定し、その時点へ復元することで復旧を行います。
(6)感染前と思われるファイルをダブルクリックすると、その更新日時が右上の復元ポイントに反映されます。「この日時に決定」ボタンを押すことで、その日時時点の状態に再構成します。
(7)先ほどのデータ引き継ぎ画面が表示されます。「OK」ボタンを押し、PCを再起動します。
(8)起動後、暗号化されたファイルが削除され、指定した日時時点の状態へ復元されていることを確認できます。
感染前に存在していたファイルが復元され、通常どおり利用可能な状態となります。
再発防止について
ランサムウェア被害からの復旧後は、再発防止のため以下の対策を推奨します。
- ウイルス対策ソフトおよびEDRを最新の状態に保つ
- Backupオプションを有効化し、世代管理によるバックアップ運用を継続する
- 定期的に復元ポイントやバックアップ状況を確認する
- 社内セキュリティポリシーの見直しと利用者教育を実施する
Shadow DesktopのBackupオプションを活用することで、ランサムウェア感染後のファイル復旧をスムーズに行うことができます。 世代管理によるロールバック機能により、暗号化前の状態へデータを復元できる可能性があるため、万一のサイバー攻撃への備えとして、事前のBackupオプション有効化を推奨します。
事業継続(BCP)の観点からも、定期的なバックアップ運用と復元手順の確認を定期的に実施いただくことをおすすめいたします。