こんにちは。ネルフ・エンタープライズ、技術担当の「H」です。
ランサムウェアが疑わしいのにパソコンが立ち上がらない、黒画面のまま固まる、自動修復ループで終わらない、BitLocker回復キーを急に求められる……この状況、めちゃくちゃ不安になりますよね。
結論から言うと、対策としてはThreatDownのようなエンドポイント防御を入れておくのがかなり効きます。ただ、いま起動できないなら、まずは被害を広げない初動と、安全に切り分ける手順が優先。そして最終的にものを言うのは、やっぱり事前バックアップです。
この記事では、身代金画面の有無の確認から、ネットワーク遮断と隔離、WinREでスタートアップ修復、セーフモード、bootrecやbcdbootでのBCD修復、オフラインスキャンまで、あなたが次に何をすべきかを順番に整理します。
- 起動不能時に最優先でやる初動とNG行動
- 黒画面や自動修復ループの切り分け方
- WinREやセーフモードを使った安全な復旧手順
- ThreatDownの考え方と事前バックアップの重要性
ランサムウェアでパソコンが立ち上がらない初動
起動できないと、つい「再起動連打」「修復コマンドを手当たり次第に実行」みたいになりがちです。でもここでミスると、被害拡大や証拠の上書きにつながることがあります。まずは落ち着いて、止血→観察→記録の順でいきましょう。
ネットワーク遮断と隔離
私が最初にやるのは、ネットワークから切り離すことです。ここ、地味に見えて一番効きます。なぜかというと、ランサムウェアって「感染した1台の暗号化」だけじゃなく、同じネットワーク上の共有フォルダ、NAS、別のPCにまで広がっていくことがあるからです。あなたが今まさに「立ち上がらない」状態だとしても、OSが完全に止まっているとは限りません。裏で通信が生きていて、攻撃者の遠隔操作や横展開の踏み台になっている可能性もゼロじゃないんですよね。
隔離のやり方は、できるだけ「物理」が強いです。LANケーブルを抜く、Wi-Fiをオフにする、モバイル回線(テザリング含む)も止める。会社なら、スイッチのポートを落とす、無線APの接続を遮断する、VPNを止めるなど、ネットワーク管理側の動きもセットで考えます。公的機関でも「感染した端末をネットワークから隔離する」重要性が明記されています。(出典:警察庁『ランサムウェア被害防止対策』)
最優先は止血です。隔離は「原因特定」より先にやって大丈夫な行為で、被害拡大を止める効果が高いです。
隔離したあとに、私がやること
隔離したら「次に何を見るか」が大事です。私はいつも、観察と記録をセットで進めます。復旧作業を始めると、ログや痕跡が上書きされることがあるので、先に材料を集めておくと後で助かります。
- 画面表示(エラー、黒画面、BitLocker回復キー、身代金画面など)をスマホで撮影
- 異常が出た日時、直前にやった操作(更新、USB接続、ソフト導入)をメモ
- 同じネットワークの他端末で「ファイルが開けない」「拡張子が変わった」などがないか確認
- 共有フォルダ・NASで最近更新されたファイルが大量にないか(可能なら)確認
隔離のために闇雲に電源断をするのは、状況によっては不利になることがあります。揮発性メモリの情報が消える、起動不能の原因切り分けが難しくなる、などがあり得ます。最終判断は、状況と体制(個人か、社内CSIRTがいるか、外部支援を呼べるか)に合わせて、専門家に相談するのが安全です。
「隔離できたか」チェック表
やったつもりでも、Bluetoothテザリングや別SSIDに繋がっていることがあるので、最後にチェックを入れるのおすすめです。
| チェック項目 | 確認ポイント | メモ |
|---|---|---|
| 有線LAN | LANケーブルを抜いた | ドッキング経由も注意 |
| Wi-Fi | 機内モード or Wi-Fiオフ | 自動再接続に注意 |
| VPN | 接続が切れている | 会社端末は特に重要 |
| 外部媒体 | USB/外付けHDDを外した | バックアップ用は隔離 |
関連して、当社ブログでも「電源を切る判断」の考え方を整理しています。判断に迷うなら、先に読んでおくと落ち着きます。
身代金画面と要求文の確認
起動前・起動直後に身代金画面が出るなら、ランサムウェアの可能性はかなり高いです。とはいえ、身代金が見えないから安全、という話でもありません。実務で厄介なのは「暗号化はすでに終わってるのに、画面表示が分かりづらい」「PCが起動しない原因が別にあって、ランサムと混ざって見える」「ブート領域を壊して起動を邪魔してくる」みたいに、見た目の症状が似るパターンです。ここ、気になりますよね。
まず押さえる:身代金画面=証拠の宝庫
身代金画面や要求文が見えるなら、そこには「攻撃者が何者か」を推定する手がかりが詰まっています。私が見るのは、だいたい次のポイントです。
- 要求文の文体(日本語の不自然さ、テンプレ感、英語併記など)
- 連絡手段(メール、チャット、Torサイト誘導など)
- 支払い手段(仮想通貨指定、金額、期限、値上げの脅し)
- 「復号できる」と言っている範囲(ファイルのみか、システム全体か)
- 漏えいを示唆する文言(公開する、リークサイト、二重恐喝っぽい表現)
コツ:要求文はスクショだけじゃなく、可能ならテキストも別媒体にコピーして残すと後で楽です。固有名詞やURL、メールアドレスが後で必要になります。
要求文のURLにアクセスしていい?
ここは慎重にいきたいです。要求文のURLにアクセスすると、アクセス元の情報が攻撃者側に渡る可能性がありますし、二次感染の入口になることもあります。私は、緊急時ほど「自分で突っ込まない」方向に寄せます。どうしても必要なら、組織の体制(SOC/CSIRT、外部支援、隔離環境)を整えてから、という感じです。
身代金の支払い判断は、法務・経営・取引先・保険なども絡むケースがあります。個人でも、金銭や個人情報が絡むなら、最終的な判断は専門家にご相談ください。
「身代金が出ない」場合の確認ポイント
身代金画面が出ないときでも、ランサムの兆候を拾えます。例えば「拡張子が変わって開けない」「フォルダにREADMEが散ってる」「ファイル名がランダム」「共有ドライブの更新が大量」など。逆に、これらが何もなく、直前にWindows Updateを当てた・ストレージが怪しい・BIOSにも入れない、みたいなら、まずはハードや更新トラブルの線を濃く見ます。
写真やスクリーンショットは、後で状況説明に役立ちます。撮るなら「日時が分かる状態」で残すと、あとが楽ですよ。
あと、現場でありがちなのが「要求文が見えたから、焦って初期化してしまう」パターンです。初期化は最終手段としては有効なこともありますが、証拠や原因の手がかりを消してしまうので、可能なら一回深呼吸して「隔離→記録→相談」の順で進めるのがおすすめです。
黒画面で起動しない原因
黒画面って、見た目がシンプルすぎて逆に厄介です。ランサムウェアでも起きるし、更新失敗でも起きるし、ドライバ不整合でも起きるし、ストレージ不良でも起きる。つまり、黒画面だけでは断定できないんですよ。だからこそ私は、「ランサムかどうか」よりも先に、段階を分けて切り分けます。あなたが今できる範囲で、壊しにくい順にいきましょう。
私の切り分け手順(安全側)
- 外部機器を外す(USB、外付けHDD、ドッキングなど)
- BIOS/UEFIに入れるかを確認する(入れないならハード寄り)
- ストレージが認識されているかを見る(認識不良なら通電回数を増やさない)
ポイントは「どの段階で止まっているか」です。電源が入らないのか、メーカー/ロゴが出ないのか、ロゴまでは出るのか、Windowsロゴで止まるのか、カーソルだけ出るのか。この“段階”が分かるだけで、原因の当たりが付けられます。
重要データがある端末で、通電や再起動を繰り返すのはおすすめしません。物理障害が絡むと、状況が悪化することがあります。最終判断は専門業者に相談してください。
黒画面の「よくある原因」を整理
ざっくり分けると、次の3カテゴリです。私はこの順に疑います。
黒画面の大分類
- 表示系:外部モニタ/ケーブル、輝度、GPU/ドライバ
- 起動構成:更新失敗、システムファイル破損、BCD/ブート破損
- ストレージ/ハード:SSD故障、接触不良、過熱、電源系
ランサムウェア疑いが強いときは、表示系や更新失敗に見せかけて「復旧妨害」や「永続化」が入っていることもあります。例えば、セーフモードを殺す、復元ポイントを消す、シャドウコピーを削除する、みたいなやつです。なので、黒画面でも「変な違和感」があるなら、復旧を急がず、隔離と記録を優先しておくのが安全です。
「裏で何か動いてる」サインを見逃さない
黒画面でも、裏でファンが回り続ける・ディスクアクセスランプが不規則に点滅するなど「何か処理している」感じがあるなら、暗号化や修復処理の可能性もゼロではありません。焦って操作を増やさず、次の「WinRE」など安全な導線に移しましょう。
逆に、BIOSにも入れない、電源がすぐ落ちる、異音がする、みたいな場合は、マルウェア以前にハード寄りです。この場合は、復旧コマンドより「データ救出をどうするか」の判断が重要になります。
会社PCなら、資産管理番号や端末名(ホスト名)も控えておくと、後でログ突合がしやすいです。地味だけど効きます。
自動修復ループの切り分け
自動修復ループは、Windowsの起動に必要な構成(BCDやシステムファイル、更新の整合性)が崩れているときに起きがちです。ランサムウェアで復旧妨害が入るケースもありますが、まずは「普通に起動トラブル」も含めて冷静に見ます。ここで大事なのは、焦って操作を増やしすぎないこと。ループには原因があります。原因を外せば抜けられます。
ポイント:自動修復が終わらないからといって、すぐ初期化はしないほうがいいです。復旧できる可能性が残っていることがあります。
私が最初に確認すること
- 直前にWindows Updateやドライバ更新をしていないか
- 同じネットワークの他端末でも異常が出ていないか
- ファイルの拡張子変化や身代金ノートがないか
自動修復ループの典型は「更新が途中でこけた」「ディスクエラーがある」「ブート構成が壊れた」「セキュリティソフト/ドライバの相性」みたいなケースです。でもランサムウェア絡みだと「復元を効かせないために、復旧手段を潰してくる」動きもあり得ます。だから私は、ループが続くほど、次の2つをセットで考えます。
ループが続くほど重要になる2つ
①被害拡大防止(隔離の徹底)と、②復旧前の侵入経路封鎖です。
個人PCなら「隔離とオフラインスキャン」が主戦場になりますが、企業だと「戻した端末がまたやられる」問題が本当に怖いです。復旧がうまくいっても、侵入経路(VPN、RDP、認証の弱さ、管理者権限の乱用、脆弱な端末)を塞がないと、復旧がただの“復旧ごっこ”になっちゃうんですよね。
企業なら、復旧の前に「侵入経路の封鎖」が重要です。復旧しても再侵害されると意味がないので、VPN/RDPや認証、管理者権限の棚卸しまで含めて考える必要があります。この観点は、当社ブログでも詳しく解説しています。
自動修復ループ時の「やっていいこと/避けたいこと」
ループに焦って、ネット検索で出てきたコマンドを片っ端から打つのは避けたいです。環境を誤認すると、復旧がさらに難しくなることがあります。正確な情報は公式サイトをご確認ください。最終的な判断は専門家にご相談ください。
私が推奨する順番は、この後の復旧セクションでも書く通り「WinREのGUIでできる範囲→セーフモード→オフラインスキャン→(必要なら)ブート修復」です。とにかく破壊的になりやすい手順を後ろに回して、戻れる選択肢を残します。
BitLocker回復キーの対処
BitLocker回復キーの画面が突然出ると「ランサムだ!」となりがちですが、BitLockerは正規のディスク暗号化機能なので、それ自体がランサムウェアとは限りません。ここ、勘違いが多いところです。BitLockerは、セキュアブート設定の変更や、アップデート、ハード構成の変化などで「いつもと違う状態」を検知すると、回復キーを求めることがあります。つまり、セキュリティ機能が“仕事してる”可能性もあるんですよ。
まずは回復キーの所在確認。Microsoftアカウント管理下の端末だと、別端末で回復キーを確認できるケースがあります。
回復キーが出たときの優先順位
私は、次の順で考えます。
- 回復キーが手元にあるか(会社なら情シス・管理台帳、個人ならMicrosoftアカウント)
- 回復キーで起動できるか(起動後の挙動も観察)
- 起動できたら、感染兆候の確認(拡張子、身代金ノート、不審プロセス、ログ)
- 感染が疑われるなら、ネットワークは繋がずにオフラインスキャンや専門家相談へ
回復キーで起動できた後にやるべきことは「感染の有無の確認」です。BitLocker解除に成功したから安心ではなく、もし侵害が裏で進んでいると、再起動後に暗号化が走る可能性もあります。特に会社PCだと、共有領域やクラウド同期が絡むので、起動できた瞬間に被害が広がるケースもあり得ます。
回復キーが見つからない場合、無理に突破しようとしないでください。データ損失につながる恐れがあります。正確な手順は公式サイトをご確認ください。最終的な判断は専門家にご相談ください。
BitLockerとランサムの“見分け方”
ざっくりですが、BitLockerは「回復キーがあれば戻る」設計です。一方ランサムは「鍵(復号手段)がなければ戻らない」設計になりがち。なので、回復キーで普通に復帰できるなら、まずはBitLockerの正規動作を疑い、次に「なぜ回復キーが出たか」を追います。逆に、回復キー画面の裏でファイルの拡張子が変わっている、他端末も同時にやられている、共有が開けない、身代金ノートがある、みたいな材料が揃うなら、ランサム疑いが濃くなります。
ランサムウェアでパソコンが立ち上がらない復旧
ここからは「安全に起動を取り戻す」パートです。大前提として、復旧は端末や組織の状況で最適解が変わります。だから私は、破壊的になりやすい操作を後ろに回し、戻れる選択肢を残した順番で進めます。
WinREでスタートアップ修復
Windows 10/11で起動不能なら、まずWinRE(回復環境)を狙います。WinREに入れれば、スタートアップ修復や復元ポイント適用など、比較的安全な手段が使えます。これ、ランサム疑いでも「まずは起動を戻して状況確認したい」と思うあなたにとって、現実的な第一歩です。
安全度が高い順で行くなら、スタートアップ修復→システムの復元→起動オプション(セーフモード)の順が基本です。
WinREに入る目的は「壊さずに直す」
私がWinREを推す理由は、GUI中心で戻せる可能性が高いからです。コマンドでゴリゴリ直す前に、まずWindowsが用意している回復手段を使う。これだけで、作業ミスの確率が下がります。
スタートアップ修復で狙うもの
スタートアップ修復は、起動に必要な構成の不整合や破損の修正を試みます。更新失敗や構成破損が原因なら、これで戻ることもあります。私はここで「直ったらラッキー」ではなく、「直ったら原因の当たりを付ける」と考えます。直ったなら直ったで、何が起点だったか(更新、ドライバ、ストレージの兆候、セキュリティ製品の干渉)を追って、再発しないようにするのがセットです。
復旧作業の前に、画面メッセージやエラーコードが出るならメモしておくと、原因特定が速くなります。スクショや写真でもOKです。
WinREでやりがちな落とし穴
WinREは便利なんですが、落とし穴もあります。例えば、暗号化(BitLocker)が有効だと、操作の途中で回復キーが必要になることがあります。また、復元ポイントがない、または攻撃者に削除されていると、復元が効かないこともあります。こういうときほど焦りがちなので、私は「できるところまでやって、無理なら次へ」を徹底します。
「このPCを初期状態に戻す」やクリーンインストールは、状況によっては必要です。ただ、証拠や原因の手がかりが消えることがあります。業務端末や重要データがある場合は、最終判断は専門家にご相談ください。
それでも直らない場合は、次のセーフモードやオフラインスキャンに移ります。ここで焦って初期化に飛ぶのは、私はおすすめしません(業務要件で時間がない場合は別ですが、その場合も事前に専門家へ相談が無難です)。
セーフモードで原因切り分け
セーフモードは、最小限の構成でWindowsを起動するモードです。ここが使えると、原因の切り分けが一気に進みます。というのも、通常起動で読み込まれるドライバや常駐が原因で止まっている場合、セーフモードなら“そこを避けて”起動できる可能性があるからです。あなたが今「黒画面」「自動修復ループ」で詰んでるなら、セーフモードに入れるかはかなり大きな分岐点になります。
セーフモードでやること
- 直近の更新やドライバ変更の巻き戻し
- 不審な常駐・タスクの確認(分かる範囲で)
- セキュリティ製品でのフルスキャン(可能な場合)
ここでのコツは「一度に色々やらない」ことです。セーフモードに入れた瞬間って、嬉しくてあれこれ触りたくなるんですが、私はまず観察します。CPUやディスク使用率が異常に高くないか、勝手にプロセスが増減していないか、ファイルが勝手に更新されていないか。次に、直前の変更点(更新やドライバ)を戻す。最後にスキャンやログ確認。こんな順番です。
セーフモードで「とりあえず起動できた!」となっても、感染が疑われるならネットワークは繋がないほうが安全な場面があります。判断に迷うなら専門家へ。
セーフモードで見たい「ランサム疑いのサイン」
セーフモードで起動できたなら、次はランサム疑いを評価します。私は次の観点で見ます。
- 拡張子の変化、開けないファイルが急増していないか
- 身代金ノートがユーザーフォルダや共有同期フォルダにないか
- クラウド同期(OneDrive等)で大量更新が走っていないか
- 管理者権限の変更、見覚えのないユーザー追加がないか
なお、セーフモードに入れない場合でも、次の「オフラインスキャン」やブート修復で状況が変わることがあります。私は「セーフモードがダメ=詰み」ではなく、「次の手段へ進む合図」くらいに捉えています。
bootrecとbcdbootでBCD修復
起動不能の原因がブート構成(BCD)やブート領域の破損なら、bootrecやbcdbootが効くことがあります。ただしここはミスると状況を悪化させるので、重要データがあるなら先に専門家へ相談するのが安全です。特にUEFI/GPTとBIOS/MBRでやり方が変わるので、「記事に書いてあったから同じようにやる」は危ないです。あなたの環境に合わせて、慎重にいきましょう。
コマンド操作は環境(UEFI/GPTか、BIOS/MBRか)で手順が変わります。誤った対象ディスクに実行すると、別のOSまで起動不能にする恐れがあります。正確な情報は公式サイトをご確認ください。最終的な判断は専門家にご相談ください。
実務での考え方
私がこの手順を採るのは「スタートアップ修復や復元が効かない」「ディスク自体は認識されている」「ログや状況的にハード故障より構成破損が濃厚」など条件が揃ったときです。ランサムウェア疑いが強い場合は、証拠保全(ディスクイメージ)を優先してから触るのが理想です。
ブート修復は“最後の一手”寄りです。復旧のためにやる操作が、証拠や原因究明を難しくすることもあります。時間と目的(業務復旧なのか、調査優先なのか)を先に決めるのがコツです。
私はこう判断する:状況別の優先度
| 状況 | 私の優先度 | 理由 |
|---|---|---|
| 身代金表示がある | 修復より保全 | 証拠と被害範囲の把握が先 |
| 更新後から起動不能 | WinRE優先 | 復元や修復で戻る可能性 |
| OS不明/OSが見つからない | ブート構成確認 | BCD/ブート領域破損の可能性 |
コマンドを打つ前にやっておきたいこと
コマンドに行く前に、私は最低限「対象ドライブの特定」を重視します。回復環境ではドライブレターが普段と違うことがあるので、思い込みでC:を触るのが一番危ない。あと、可能ならディスクの状態(SMARTやエラー傾向)も見たいですが、ここは無理にやらなくてもOKです。とにかく、破壊的な操作の前に「本当にこのディスクで合ってる?」を自分に問いかけるのが大事です。
ThreatDownとオフラインスキャン
対策の本命としては、私はThreatDownをおすすめしています。理由はシンプルで、ランサムウェアは「暗号化の瞬間」だけ止めても足りなくて、侵入から横展開、永続化、バックアップ破壊まで含めた流れで潰す必要があるからです。現場だと、暗号化が見えた時点で“最終局面”のことも多いので、そこに至る前段で止める設計が効きます。
私のスタンス:平時はThreatDownのようなエンドポイント保護で「侵入後の動き」を止める。いざ起動不能になったら、オフラインスキャンでOS外から確認し、感染の疑いを減らしてから復旧に寄せる。
オフラインスキャンが効く場面
オフラインスキャン(Windowsのオフライン検査など)は、通常起動できないときや、ルートキット系を疑うときに有効な選択肢になります。OSの中で動いているものに邪魔されにくいので、原因切り分けとしても価値があります。私は「起動できない=スキャンできない」と思いがちな人ほど、オフラインスキャンを知っておくと安心だと思います。
ThreatDownを“おすすめ”する理由をもう少し具体化
私は製品を語るとき、スペックより「運用で効くか」を重視します。ThreatDownの価値は、端末の挙動(怪しいプロセス、横展開、永続化っぽい動き)に対して、検知・遮断の導線を作りやすいことにあります。もちろん環境によって最適解は変わるので、万能ではないです。でも「何も入れてない」状態と比べると、復旧と再発防止の難易度が全然違ってきます。
ThreatDownの導入や運用設計は「端末台数」「権限設計」「ログの見方」で効果が変わります。実環境に合わせた判断が必要なので、気になるなら相談してください。
当社の取扱製品としてThreatDownの概要も載せています。製品観点を先に掴むならここが早いです。
「起動できない」状況で、私が最終的に言いたいこと
防御製品も大事なんですが、起動不能で本当にあなたを救うのはバックアップです。暗号化タイプによっては復号が難しいこともありますし、復旧妨害で回復機能が潰されていることもあります。なので、ThreatDownで“やられにくくする”と同時に、バックアップで“やられても戻せる”を作る。私はこの二段構えが現実的だと思っています。
ランサムウェアでパソコンが立ち上がらない総まとめ
最後にまとめます。ランサムウェアでパソコンが立ち上がらないとき、私が大事にしているのは「止血」「安全な切り分け」「復旧の順番」です。ここまで読んでくれたあなたなら、もう“何から手を付けるか分からない”状態は抜けられるはずです。
起動できないなら、事前バックアップが本当に重要です。復旧手順を頑張っても、暗号化や破壊のタイプによっては、元に戻せないケースがあります。
もう一回だけ、行動順を整理します
- 初動:ネットワーク遮断と隔離、画面や状況の記録、安易な再起動や初期化は避ける
- 切り分け:黒画面・自動修復ループ・BitLocker回復キーは、それぞれ原因が違うので順番に見る
- 復旧:WinREのスタートアップ修復→復元→セーフモード→必要に応じてオフラインスキャン
- 対策:平時はThreatDownのようなエンドポイント防御+バックアップ設計で被害を最小化
本記事は一般的な手順の整理です。環境や被害状況によって最適解は変わります。正確な情報は公式サイトをご確認ください。最終的な判断は専門家にご相談ください。
相談の目安(私の感覚)
「どこから専門家に投げるべき?」って悩む人も多いですよね。私の感覚だと、次のどれかに当てはまったら、早めに相談が安全です。
- 同時に複数台で起動不能やファイル暗号化が起きている
- 共有フォルダ/NAS/クラウド同期で大量更新が走っている
- 身代金画面が出た、または漏えいを示唆する要求がある
- バックアップの健全性が怪しい、復元テストをしたことがない
もし「社内にも波及してそう」「身代金画面が出た」「バックアップが怪しい」など不安が強いなら、状況整理から一緒にやれます。あなたの環境に合わせて、いちばん安全で早いルートを組み立てましょう。
