IT用語集 2021/08/08

ランサムウェア対策解説・防御と感染時の対処方法

コラム

2023年11月28日 www.soliton.co.jp より移設

ランサムウェアとは、身代金を意味するランサム（Ransom）とソフトウェア（Software）を組み合わせた造語です。端末やサーバー内のファイルを暗号化して利用できない状態にし、復旧と引き換えに金銭などを要求する悪質なマルウェア（不正プログラム）として知られています。

ただし近年のランサムウェアは「暗号化して終わり」ではありません。情報の持ち出しと公開脅迫を組み合わせる二重脅迫が広がっており、企業は「侵入を防ぐ」「侵入後の横展開を抑える」「復旧できる状態を保つ」の3点をセットで備える必要があります。本記事では、ランサムウェアの基本から、企業が判断に使える対策の考え方（事前・事後、技術・運用、体制）までを整理します。

ランサムウェアとは

まず、ランサムウェアの定義と、近年は被害がどう広がっているのかを見ていきます。

ランサムウェアとは、端末をロックしたり、ファイルを暗号化したりして利用を妨げ、元に戻すことと引き換えに身代金を要求してくる不正プログラムの一種です。近年は暗号化に加えて情報を持ち出し、公開しないことの対価まで求める手口も増えており、「使えなくする脅威」と「漏えいさせる脅威」が同時に発生し得ます。企業にとっての本質的な脅威は、業務停止、復旧コスト、情報漏えい対応、信用毀損など、複数の損失が同時に発生し得る点にあります。

近年の手口が変化している理由

攻撃者側は、被害者が「バックアップから戻せる」ようになったことを踏まえ、暗号化だけでは支払いに至らないケースがあることを理解しています。そのため、情報の持ち出しや脅迫（公開・二次被害）を組み合わせ、支払いに向けた圧力を強める方向に進化しています。

暗号化だけでなく「窃取」と「妨害」がセットになる

注意したいのは、暗号化が起きていなくても、すでに侵入されて情報を持ち出されている可能性があることです。さらに、復旧を妨げるためにバックアップを削除したり、監視を止めたり、管理者権限を奪ったりするケースもあります。つまり、ランサムウェア対策は「暗号化を防ぐ」だけでなく、侵入の早期発見・横展開の遮断・復旧の確実性まで含めて考える必要があります。

WannaCryが象徴したポイント

ランサムウェアの一種として広く知られる「WannaCry（ワナクライ）」は、ネットワークを介して自己拡散する仕組みによって被害が急速に広がったことが特徴です。2017年に世界的な流行が発生し、多数の端末や組織が影響を受けた事例として知られています。現在の主流は、無差別拡散よりも「侵入→横展開→暗号化・窃取」という一連の手順で組織を狙い撃ちする攻撃ですが、拡散力のある攻撃が企業の業務を麻痺させ得ることを示した代表例として参照されます。

ランサムウェアに感染するとどうなる？

ここでは、暗号化だけでは済まない被害の広がりと、企業に生じる影響を確認します。

ランサムウェア被害では、端末内のファイルが暗号化されて開けなくなったり、利用中のシステムや共有領域が使えなくなったりします。加えて、脅迫文や交渉用の連絡先が残され、支払いを要求されることがあります。近年は暗号化に加え、盗み出した情報を公開しない対価を求めるケースもあります。

暗号化されたデータの復旧には多くの時間とコストがかかります。復旧できない場合はデータ消失となり、業務停止や取引先への影響、信用毀損など、企業活動に大きな支障をきたすおそれがあります。さらに、情報の持ち出し（窃取）が伴うケースでは、復旧できても「情報漏えい対応」が別途必要になる点にも注意が必要です。

企業で起きやすい二次被害

取引停止や納期遅延など、サプライチェーン全体への影響
顧客・従業員情報の漏えいに伴う調査・説明・再発防止の追加負担
復旧作業の長期化による売上機会の損失、代替コストの増加
復旧後も「再侵入（バックドア残存）」の懸念が残り、全面的な見直しが必要になる

「復旧できた」と「元通りに安全」が別問題な理由

暗号化の解除やバックアップ復旧ができたとしても、侵入経路が塞がれていない、あるいは認証情報が漏えいしている状態では、再侵入の可能性が残ります。また、窃取が疑われる場合は、復旧と並行して調査・説明・再発防止が必要になり、対応が長期化しやすい点が実務の難しさです。

企業におけるランサムウェア対策の基本

ここでは、対策の全体像を「事前」「侵入後」「復旧」の3つに分けて見ていきます。

ランサムウェアの主な侵入経路としては、メールの添付ファイルやURL、改ざんされたWebサイト、脆弱性を突いた侵入、リモートアクセスの不正利用などが挙げられます。そのため、企業における基本対策は「侵入を防ぐ」「侵入後の拡大を防ぐ」「復旧できるよう備える」をセットで考えることが重要です。

OS・ソフトウェアのアップデートを徹底し、既知の脆弱性を放置しない
メール・Web経由の脅威に対して、セキュリティ製品やフィルタリングでリスクを下げる
重要データのバックアップを実施し、復旧できる状態を維持する（後述）
アクセス権（最小権限）を整備し、被害の横展開を抑える

対策を一度にそろえにくい場合は、まず「外部公開の入口」「管理者権限」「バックアップ復元性」の3点から優先して点検すると、被害を受けやすい箇所と復旧の弱点を切り分けやすくなります。特に、外部から到達できる経路と、侵入後に被害が広がる経路を分けて考えることが重要です。

「侵入される前提」を置く理由

ランサムウェア対策では、侵入を100%防ぐことを前提にしない考え方が一般化しています。攻撃者は、フィッシング、認証情報の窃取、ゼロデイ、設定不備など複数の入口を組み合わせるため、単一の対策だけで完全に遮断するのが難しいためです。したがって、防御だけでなく、侵入後に素早く検知し、横展開や暗号化を止める設計が重要になります。

人の対策（教育・習慣化）を外せない理由

社員へのセキュリティ教育も欠かせません。ランサムウェアの特徴・感染経路・感染後のリスク・予防の基本行動を周知し、不審なメールやWebサイトを開かない、安易に添付ファイルを実行しないといった行動を組織として習慣化しましょう。万が一感染が起きた場合の報告ルートや初動対応手順も、あらかじめ策定・周知しておく必要があります。

事前・事後の対策：ランサムウェアへの防御策

ここでは、技術対策を「侵入前」「侵入後（検知・封じ込め）」「復旧準備」に分けて確認します。

事前対策（侵入防御）では、メールやWebの検査に加え、端末（エンドポイント）での検知・封じ込めを強化することが重要です。近年は、侵入を完全に防ぐことを前提にしない考え方も一般化しており、侵入後の迅速な検知と対応まで含めた対策が求められます。

端末側の強化：EDRをどう位置づけるか

例えば、EDR（Endpoint Detection and Response）などの仕組みは、端末上の不審な挙動の検知、影響範囲の把握、隔離などの対応を支援します。製品の機能や運用体制によって効果は変わるため、自社の利用環境・運用リソースに合うものを選び、定義更新や設定の見直しを継続することが重要です。

EDR導入で誤解されやすいポイント

EDRは「入れておけば安心」ではありません。アラートを見て判断・隔離・調査を行う体制が弱いと、検知はしていても止められない状況になり得ます。監視の内製・外部委託の方針、対応可能な時間帯、緊急遮断の権限設計まで含めて検討する必要があります。

侵入経路への対策：メール・Web・リモートアクセス

従業員に対しては、メールや添付ファイルを注意深くチェックし、送信元が不明なものや不自然な依頼があるものは開かないよう教育を行っておきましょう。加えて、外部公開しているリモートアクセス（VPNやリモートデスクトップ等）を利用する場合は、強固な認証（多要素認証）、不要な公開の停止、アクセス制御、ログ監視を組み合わせ、侵入の足がかりを減らすことが重要です。

要注意：リモートアクセスは侵入経路になりやすい

外部公開のリモートアクセスは、攻撃者から見ると分かりやすい入口になりがちです。MFAを付けるだけでなく、アクセス元の制限、管理者用経路の分離、不要アカウントの削除、ログの監視まで含め、侵入されても横展開しにくい形にしておくことが現実的です。

横展開を止める設計：権限・ネットワーク分離・ログ

ランサムウェア被害が大規模化する典型パターンは「侵入後に管理者権限を奪取し、共有フォルダやサーバーへ横展開する」ことです。最小権限の徹底、管理者アカウントの分離、ネットワーク分離（重要サーバーへの到達経路の制限）、ログの集中管理（異常の早期発見）を組み合わせることで、暗号化の広がりを抑えやすくなります。

被害を広げにくくするには、守るべき領域を分ける

重要サーバーやバックアップ領域が“同じ権限・同じネットワーク”にあると、侵入後に一気に巻き込まれます。業務都合で完全分離が難しい場合でも、管理者アカウントの分離や到達経路の制限など、段階的に「分ける」設計が有効です。

復旧準備：バックアップは「戻せること」がゴール

事後対策としては、消失してはならない重要なデータを安全な場所にバックアップしておくことが基本です。これにより、重要ファイルが暗号化されても復元できる可能性が高まります。バックアップは「取って終わり」ではなく、定期的に実施し、復元手順（リストア）を検証して“戻せる状態”を維持しなければなりません。

バックアップで押さえるべき注意点

ランサムウェアはバックアップ先まで狙う場合があるため、権限分離や世代管理を検討する
バックアップの暗号化や改ざん耐性、隔離保管（オフラインや論理分離）の考え方を取り入れる
復旧に要する時間（RTO）と許容損失（RPO）を想定し、必要な頻度と保全方式を決める

3-2-1ルールを自社で運用するには

バックアップ方針としてよく挙げられる「3-2-1」(複数コピー・複数媒体・1つは別場所)は、あくまで考え方です。重要なのは、「バックアップ領域への管理者権限を分ける」「削除・改ざんされにくい世代管理を入れる」「復旧訓練を定期的に実施する」といった形で、自社の運用に組み込むことです。

事後の対応：ランサムウェア感染時の対処方法

ここでは、感染時の初動、封じ込め、復旧、意思決定の要点を確認します。

万が一、感染が疑われる場合は、まず感染が疑われる端末をネットワークから切り離す必要があります。被害の拡大（社内の別端末やファイルサーバーへの波及）を防ぐためです。従業員全員が迷わず実施できるよう、対応方法を周知し、訓練をしておきましょう。

次にやること：報告・状況把握・封じ込め

次に、社内のセキュリティ担当（CSIRT等）やIT部門、必要に応じて外部の専門家と連携して、状況把握と封じ込め、原因調査、復旧を進めます。暗号化されたデータやシステムの復元については、復号ツールの有無を確認する、バックアップから復旧するなどの方法が考えられます。

感染が疑われた直後に迷いやすい点：ログと証跡は消さない

焦って端末を初期化したりログを削除したりすると、侵入経路の特定や影響範囲の判断が難しくなります。封じ込めと並行して、証跡の確保（ログ、端末の状態、アラート情報）を意識して動けるよう、事前に手順を決めておくと事故が減ります。

身代金支払いは「技術」ではなく「経営判断」

原則として、身代金の支払いは推奨されません。CISAやFBIは、支払いに応じても復旧できる保証がなく、さらなる標的化を招くおそれもあるとして、身代金の支払いを勧めていません。法務・経営層を含めた意思決定体制、外部機関への相談・届出、取引先や顧客への連絡方針なども含め、事前に備えておくことが重要です。