1:ランサムウェアとは?
まず、私たちが戦うべき「敵」であるランサムウェアが一体どのようなものなのか、その正体と攻撃手法を正しく理解しましょう。
ランサムウェアの正体は「身代金要求型マルウェア」
ランサムウェア(Ransomware)は、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。日本語では「身代金要求型マルウェア」と呼ばれており、その名前の通り、金銭の要求を目的として作られています。
ランサムウェアが従来のコンピューターウイルスと決定的に違う点は、単にシステムを破壊したり、情報を盗み見たりするだけでなく、データを人質に取るという攻撃手法を用いる点です。
攻撃手法は「データの暗号化」と「二重の脅し」
ランサムウェアの攻撃は、以下の流れで進行し、企業に深刻なダメージを与えます。
- 侵入と潜伏: VPNの脆弱性、不審なメールの開封、リモートデスクトップの認証情報の悪用など、さまざまな経路で企業ネットワークへ侵入します。
- 実行(暗号化):侵入に成功すると、ランサムウェアが実行され、ファイルやシステムを勝手に「強力な暗号」でロックしてしまいます。これにより、システムが停止し、業務が麻痺します。
- 身代金の要求: 暗号化が完了すると、ファイルを元に戻すための「復号鍵」と引き換えに、身代金(多くは仮想通貨)の支払いを要求するメッセージ(ランサムノート)が表示されます。
かつては「暗号化」が主でしたが、現代のランサムウェアはさらに巧妙化し、データを盗み出すことを組み合わせた「二重脅迫(ダブル・エクストーション)」が主流となっています。ランサムウェアは、大切なファイルや顧客情報を人質に取り、「業務を再開したいなら金を払え」と脅しをかけてくる、非常に悪質なサイバー犯罪なのです。
2:ランサムウェアの被害現状と対策の重要性
ランサムウェアの脅威は、報道されている以上に、多くの企業にとって現実のものとなっています。ここでは、警察庁が公表しているデータに基づき、現在の被害状況と、なぜ今、対策の強化が急務なのかを解説します。
ランサムウェア被害は高止まり、その手口はより巧妙に
警察庁が公表している情報からも、ランサムウェアによる被害件数は、依然として高い水準で推移しています。
資料:警察庁「令和7年上半期における サイバー空間をめぐる脅威の情勢等について」
資料:警察庁「サイバー警察局便り Vol.6」
これは、攻撃が特定の業種や大企業に限定されることなく、サプライチェーンを構成する中小企業まで含めた、あらゆる組織を標的にしていることを示しています。特に注目すべきは、攻撃が「単なるシステム停止」から「情報漏洩」を伴う複合的な脅威へと進化している点です。
二重脅迫(ダブル・エクストーション)の常態化
近年のランサムウェア攻撃の最も大きな特徴は、「二重脅迫(ダブル・エクストーション)」が常態化していることです。
- 脅迫 その1:システムを暗号化し、業務を停止させることで、「業務を再開したければ身代金を払え」と要求する。
- 脅迫 その2:暗号化する前に、企業の機密情報や顧客情報などのデータを盗み出し、「身代金を払わなければ、盗み出したデータをインターネット上に公開する」と脅迫する。
この二重の脅迫により、企業は「業務停止による経済的損失」と「情報漏洩による信用の失墜・法的責任」という、二つの致命的なリスクに同時に直面することになります。
ランサムウェア被害に遭うと
ランサムウェア被害に遭うと、復旧には日数も費用も想像以上にかかります。システムの暗号化解除やバックアップからの復元作業、ネットワーク全体の安全性の再確認、再発防止のためのセキュリティ強化など、多岐にわたる対応が必要になるためです。実際、警察庁の調査でも、復旧完了までに数週間から数カ月を要するケースが珍しくなく、その過程で多額のコストが発生することが報告されています。
次のグラフは、実際に報告された復旧期間と費用の傾向を示したものです。
資料:警察庁「令和7年上半期における サイバー空間をめぐる脅威の情勢等について」
上記のグラフからも分かるように、「被害を受けてから対応する」姿勢では事業継続に重大な影響を与える可能性が高く、平時からの備えこそが最も効果的な対策と言えます。
3:ランサムウェア感染を防ぐ対策
ランサムウェアによる被害を避けるには、攻撃者が狙う「侵入の経路」を先回りして塞ぎ、万が一侵入を許しても被害を最小限に抑える「多層防御」が鍵となります。ここでは、企業がすぐに取り組むべき、具体的かつ効果的な対策を7つ解説します。
OSやアプリケーションのアップデートを徹底する
多くのランサムウェアは、古いOSやアプリケーションに残された「脆弱性(セキュリティホール)」を悪用して侵入します。
脆弱性は、ソフトウェアの設計上・プログラム上の欠陥であり、攻撃者にとって「いつでも侵入できる裏口」となります。
メーカーが提供する「セキュリティパッチ」を適用する(アップデートする)ことは、この裏口をふさぐ最も基本的かつ重要な防御策であり、アップデートの役割です。
特に、外部に公開されている機器(VPN装置、ファイアウォールなど)のファームウェアや、サーバーのOSは、攻撃者が常に狙っている場所です。これらを定期的に、そして緊急性の高いパッチが公開された際は即座に適用することが、被害を防ぐことに直結します。
セキュリティソフト(NGAV/EDR)を活用する
従来のセキュリティソフト(アンチウイルスソフト)は、すでに知られているウイルス(既知の脅威)の「定義ファイル」を使って検知するのが主な役割でした。しかし、日々新しいランサムウェアが登場する現在、この方法だけでは限界があります。対策としては、未知の脅威を検知・防御するNGAVやEDRが有効です。
未知の脅威に対応するNGAV
NGAV(Next-Generation Antivirus:次世代アンチウイルス)は、定義ファイルに頼らず、AI(人工知能)や機械学習の技術を用いて「ファイルの振る舞い」からマルウェアかどうかを判断します。これにより、まだ誰も見たことがない未知のランサムウェアであっても、その実行を未然に防ぐことができます。
詳しくはこちら
侵入後の動きに対応するEDR
最も重要度が高いのがEDR(Endpoint Detection and Response)です。
EDRは、ランサムウェアの侵入を完全に防ぐことではなく、「侵入を許してしまった後」の対応に特化したソリューションです。PCやサーバー(エンドポイント)の挙動を継続的に監視し、ランサムウェアが「潜伏・偵察活動」や「横展開」を始めようとする不審な振る舞いを検知します。実行後の振る舞いを監視するのが、EDRです。また、不審な挙動を検知した際は、攻撃が広がる前に該当端末をネットワークから自動で隔離し、被害の拡大を最小限に食い止めます。
NGAVが「入り口での防御」を担うのに対し、EDRは「侵入後の早期発見と封じ込め」を担う、多層防御の要となるソリューションです。
パスワード管理を徹底する
ランサムウェアの感染経路として、正規のアカウント情報を悪用した侵入が増加しています。社員のIDとパスワードが漏洩したり、推測されやすいものであったりすると、攻撃者は正規のユーザーとしてネットワークに侵入し、自由に活動できてしまいます。
パスワードの設定と管理
- 複雑なパスワード
- 使い回しの禁止
パスワードには、英数字、記号などを組み合わせた長いパスワードを設定し、推測されにくいものにしましょう。また、業務で使用するパスワードを、プライベートのサービスや他のシステムで使い回すことは絶対に避けてください。
「多要素認証(MFA)」を活用する
多要素認証(MFA:Multi-Factor Authentication)は、パスワード管理の弱点を補う、決定的な防御策です。多要素認証は、ログイン時に「パスワード(知っていること)」だけでなく、「スマートフォンに届く認証コード(持っているもの)」など、二つ以上の要素を要求します。
万が一パスワードが漏洩しても、攻撃者がその認証コードを手に入れるのは難しいため、不正ログインをほぼ防ぐことができます。
特にVPN、リモートデスクトップ、クラウドサービスなど、外部からアクセスが可能なすべてのサービスにおいて、多要素認証の導入を最優先で実施してください。
メーラーのセキュリティ機能の活用
ランサムウェアの主要な侵入経路の一つが、メールを悪用した攻撃です。取引先や社内の担当者を装った巧妙なフィッシングメールによって、従業員が誤って悪意あるファイルを開いてしまうケースは後を絶ちません。こうしたリスクを軽減するためには、メーラーが備えるセキュリティ機能を適切に活用することが重要です。
まず、スパムフィルターやマルウェア検知機能といったフィルタリング機能を最大限に利用し、不正メールが従業員の受信トレイに届かないようにすることが基本です。これにより、利用者が不審なメールを見分ける前の段階で、攻撃を遮断できます。
さらに、高度なメールセキュリティサービスでは、添付ファイルを隔離された仮想環境(サンドボックス)で事前に開き、悪意のある挙動がないかをチェックする仕組みも提供されています。このサンドボックス機能によって、従業員がメールを受信する前に潜在的なランサムウェアを検知し、安全性を確保することが可能になります。
これらの機能を組み合わせて活用することで、メールを起点としたランサムウェア感染のリスクを大幅に低減できます。
最後の防衛線:バックアップ戦略の徹底
どんなに完璧な防御策を講じても、「絶対に侵入されない」という保証はありません。そのため、最後の防衛線として、バックアップの仕組みを盤石にすることが非常に重要です。
バックアップの有効性
ランサムウェアによってデータが暗号化されても、システムが破壊されたりしても、バックアップデータがあれば、身代金を支払うことなく、システムをクリーンな状態に復元し、業務を再開することができます。
3-2-1ルールの適用
- 3:「元データ(オリジナル)+バックアップを2つ」合計3つのコピーを保持し、1つが壊れても他が生き残る状態を作ります。
- 2:バックアップは、2つの場所・媒体に保管します。同じ媒体・同じ場所だと、故障・火災・攻撃で同時に失われる可能性があるためです。
- 1:1つはオフラインまたは、ネットワークから切り離した環境で保管します。
ネットワークからの切り離し
最も重要なポイントは、バックアップデータもランサムウェアの標的になるということです。バックアップデータが常にネットワークに接続された状態にあると、本番データと一緒に暗号化されてしまい、復旧手段を失います。
オフライン管理の徹底(エアギャップ)
バックアップを取得した後は、物理的または論理的にネットワークから切り離し(エアギャップの確保)、ランサムウェアがアクセスできない状態(オフライン)で管理することを徹底してください。これは3-2-1ルールの「オフサイト」または「異なるメディア」の部分を満たす最も重要な要件の一つです。
社員へのセキュリティ教育を継続的に行う
技術的な対策が「システムの隙」を塞ぐ役割なら、「人の隙」を塞ぐのがセキュリティ教育です。攻撃者は、メールを使い、人の不安や心理的な隙を突いてきます。
-
- 知識のアップデート
- 攻撃の手口は日々進化しています。ランサムウェアの最新の傾向(二重脅迫や、VPNアカウントの悪用など)について、全社員が知識をアップデートすることが必要不可欠です。
-
- セキュリティリテラシーの向上
- 「不審なメールの見分け方」や「心当たりのないファイルは絶対に開かない」という基本を、定期的な研修や訓練(フィッシングメールのシミュレーション)を通じて徹底します。
社員一人ひとりのセキュリティリテラシーが、ランサムウェア攻撃を防ぐ「最後の砦」となります。IT部門だけでなく、経営層を含む全社員が当事者意識を持ち、継続的に取り組むことで、組織全体の防御力が向上します。
4:ゼロトラストを意識した対策
従来のセキュリティ対策は、社内ネットワークと社外ネットワークの間に強固な「壁(境界)」を築く「境界型セキュリティ」が中心でした。しかし、第1章で確認した通り、VPNやリモートアクセスが普及し、攻撃者がその境界を巧妙に突破して内部に侵入する現在、この「壁」だけでは企業を守りきれません。
そこで今、ランサムウェア対策における最上位の戦略として注目されているのが、「ゼロトラスト(Zero Trust)」という考え方です。
ゼロトラストとは?
ゼロトラスト(Zero Trust)とは、直訳の通り「何も信頼しない」というセキュリティの基本原則です。
従来の境界型セキュリティとの違いは次の通り:
| 境界型セキュリティ | ゼロトラスト・セキュリティ | |
|---|---|---|
| 基本思想 | 一度境界の内側に入れば、基本的に安全と見なす。 | 社内・社外を問わず、すべての人、デバイス、接続を疑う。 |
| アクセス | アクセスポイントで認証すれば、広範囲へのアクセスが可能。 | アクセス要求の度に、認証・認可を行う。 |
| 対策の焦点 | ネットワークの「入り口」を固める。 | ネットワークの「内側」と「データそのもの」を守る。 |
仮に攻撃者が境界を突破してネットワークの内側に侵入したとしても、「ここは安全な場所ではない」という前提で防御を機能させ、被害の横展開を防ぐのがゼロトラストの本質です。ランサムウェア対策においてゼロトラストを意識することで、事例に見られるような「侵入後の潜伏や横展開」を阻止し、被害を最小限に抑えることができます。
おすすめ
ランサムウェア攻撃による被害事例
ゼロトラストの概念がなぜ重要なのかは、現実に発生している攻撃の傾向から学ぶのが最も効果的です。特に、警察庁が公表している以下の事例は、いかに攻撃者が境界突破後も時間をかけて活動しているかを示しており、ゼロトラスト対策の必要性を裏付けています。
ここでは、警察庁の「令和7年上半期における サイバー空間をめぐる脅威の情勢等について」のコラムを2つ紹介します。
年末年始にかけての重要インフラ事業者等に対するDDos攻撃:
令和6年から令和7年の年末年始にかけ、交通機関や金融機関等の重要インフラ事業者等において、DDoS攻撃によるとみられる被害が相次いで発生し、空港において手荷物の自動チェックイン機が使えない障害や、インターネットバンキングにログインしづらい状況が発生するなど、実際に国民の生活に被害がもたらされた。警察においては、当該DDoS攻撃について、複数の手口を確認しており、また、攻撃に対し事業者が遮断措置を講じた場合でも、状況に応じて手口を変化させ、攻撃を継続する事例を確認している。
資料:警察庁「令和7年上半期における サイバー空間をめぐる脅威の情勢等について」を加工して作成
ボイスフィッシングによる不正送金被害:
令和6年秋以降、犯罪グループが企業に架電し、ネットバンキングの更新手続等をかたってメールアドレスを聞き出し、フィッシングメールを送付するボイスフィッシング(ビッシング)という手口による法人口座の不正送金被害が急増した。令和7年上半期においては、同年4月にかけて、地方を拠点とした中小規模の金融機関でも多くの被害が出たほか、1回あたりの不正送金額が約4億円となる高額な被害がみられるなど、被害件数及び被害額が急激に増加した。
警察庁及び金融庁では、同種被害を防止するため、注意喚起を始めとした各種対策を講じ、同年4月における被害件数及び被害額は同年3月に比して大きく減少し、同年5月及び6月には被害の発生はみられなかった。
資料:警察庁「令和7年上半期における サイバー空間をめぐる脅威の情勢等について」を加工して作成
資料:警察庁「サイバー警察局便り Vol.12」
5:ランサムウェアの被害を受けた時の対策
最悪の事態として、ランサムウェアへの感染が確認された場合、企業がまず取り組むべきは「被害の連鎖を断ち、早期に事業を立て直すこと」です。初動の質がその後の被害規模を大きく左右するため、慌てず、体系的な手順に沿って対応することが求められます。
ネットワークからの切り離しと感染端末の隔離
ランサムウェアはネットワーク上に拡散し、他の端末やサーバーへ次々と感染を広げる特性を持ちます。これを防ぐ最優先の行動が「迅速なネットワーク遮断」です。
感染が疑われる機器は、LANケーブルを抜く、Wi-Fiをオフにするなどして社内ネットワークから即時切り離します。もし対応が遅れれば、バックアップ環境や基幹システムまで影響が及び、復旧に膨大な時間とコストが発生する恐れがあります。まずは、横展開を食い止めることが最大のポイントです。
バックアップを活用したシステム復旧
ランサムウェア被害からの復旧方法として、「身代金を支払う」選択肢は推奨されません。支払ってもデータが戻る保証はなく、犯罪者の資金源になるだけです。
そのため、日常的に取得していたバックアップを活用した復元作業が基本方針となります。復旧の際は、感染の可能性がない安全な環境を用意し、オフラインで保管されていたバックアップデータを使って、暗号化されたシステムやファイルを戻します。オンラインのまま保管されていたバックアップは、すでに暗号化されている可能性があるため注意が必要です。
電源を切らずにメモリ情報を保全する
ネットワークから隔離した端末であっても、電源をすぐ落とすのは避けましょう。
端末のメモリには、以下のような重要な痕跡が残っていることがあります。
- 攻撃プログラムが動作していた記録
- 不審な通信の経路
- ランサムウェア本体のデータ
- 揮発性の各種ログ情報
これらは、感染源の分析やフォレンジック調査に不可欠な証拠となり、再発防止や警察への報告にも役立ちます。
公開されている復号ツールの利用可能性を確認
国内外の捜査機関やセキュリティ団体が、特定のランサムウェアに対応した復号ツールを無償で公開している場合があります。該当するツールがないかを、まずは公式情報から確認することも重要なステップです。
資料:警察庁「ランサムウェアPhobos/8Baseにより暗号化されたファイルの復号ツールの利用について」
専門機関への相談と支援の活用
初期対応で感染拡大を食い止めた後は、自社内だけで復旧作業を進めるのではなく、専門的な支援を受けることが不可欠です。攻撃手法や法務対応、再発防止策の立案など、専門家の助言が大きな助けになります。
各種相談窓口
警察庁「サイバー事案に関する相談窓口」
警察庁「ランサムウェア被害防止対策」
IPA(情報処理推進機構)「ランサムウェア対策特設ページ」
JPCERT/CC「侵入型ランサムウェア攻撃を受けたら読むFAQ」
6:SOCを利用したランサムウェア対策
ランサムウェア対策として、自社での防御(多層防御やゼロトラスト)は不可欠ですが、24時間365日、進化し続ける攻撃を監視し続けるのは、リソースの面で限界があります。
そこで有効なのが、SOC(Security Operation Center:セキュリティ監視センター)などの外部の専門家を活用することです。
専門家への依頼が有効な理由
SOCはセキュリティの専門家集団であり、自社のネットワークを継続的に監視・分析することで、「侵入を許したとしても、即座に封じ込める」というゼロトラストの思想を強力に実現します。
| 有効な対策 | 説明 |
|---|---|
| 早期発見と封じ込め | ランサムウェアは、実行前に必ず「潜伏・偵察活動」を行います。SOCは、EDRなどのツールから送られる膨大なログを解析し、この「静かな不審な動き」を専門的な知見で即座に検知。攻撃が広がる前に端末の隔離やアクセス遮断といった初動対応を支援します。 |
| 高度な知見の活用 | SOCは常に最新のランサムウェアの手口を把握しており、自社のIT担当者だけでは見逃しがちな巧妙な攻撃のパターンを正確に識別できます。セキュリティ人材不足に悩む企業にとって、外部の高度な知見を利用できることは、大きなメリットです。 |
| 迅速な復旧支援 | 万が一被害が発生した場合も、SOCの専門家が感染経路の特定(フォレンジック)やシステムの復旧を支援することで、ダウンタイム(業務停止期間)を大幅に短縮できます。 |
「自社だけで抱え込まない」という発想こそが、現代のランサムウェア攻撃に対抗するための解決策です。SOCの専門的な力を借りて、本業に集中しながら、最高レベルのセキュリティ体制を構築しましょう。
まとめ:ランサムウェアの脅威を「解決」するために
ランサムウェアの脅威は、システムの脆弱性と「人の隙」を狙う複合的なものです。この課題を根本的に「解決」するためには、「多層防御」と「ゼロトラスト」の考え方に基づき、以下の3つの防御線を連携させることが不可欠です。
| 防御線 | 目的 | 具体的な対策 |
|---|---|---|
| 入口対策:侵入阻止 | 攻撃者がネットワークに入るのを水際で防ぐ | VPN/RDPへのMFA義務化、OSの最新化、社員教育 |
| 内部対策:横展開阻止 | 侵入を許しても、攻撃の拡大を封じ込める | EDR導入、ネットワークの分離、最小権限の原則(ゼロトラスト) |
| 出口・復旧対策:最後の砦 | 感染・暗号化が発生しても、迅速かつ安全に復旧し、事業を継続する | オフラインバックアップの徹底、SOCによる24時間監視 |
まずは、御社の現在の脆弱性を診断し、対策の優先順位を明確にするところから始めてみませんか。
-
- 2025年版ランサムウェア攻撃の構造変化と中小企業の「実践的対策」
- 年々激化するサイバー攻撃。事業停止リスクと経営者の法的責任を解説し、侵入前提の多層防御をISM CloudOneで行う対策についてご紹介します。
