ランサムウェア対策解説・防御と感染時の対処方法

2023年11月28日 www.soliton.co.jp より移設

ランサムウェアとは、身代金を意味するランサム（Ransom）とソフトウェア（Software）を組み合わせた造語です。端末やサーバー内のファイルを暗号化して利用できない状態にし、復旧と引き換えに金銭などを要求する悪質なマルウェア（不正プログラム）として知られています。

ただし近年のランサムウェアは「暗号化して終わり」ではありません。侵入後に情報を盗み出し、公開をちらつかせて支払いを迫る二重脅迫（double extortion）が一般化し、交渉が決裂した場合の公開サイト運用や、取引先への連絡による圧力など、被害の形が複雑化しています。本記事では、ランサムウェアの基本から、企業が判断に使える対策の考え方（事前・事後、技術・運用、体制）までを整理します。

ランサムウェアとは

この章では、ランサムウェアの定義と、近年の特徴（被害の多様化）が分かります。

ランサムウェアとは、端末をロックしたり、ファイルを暗号化したりして利用を妨げ、元に戻すことと引き換えに身代金を要求してくる不正プログラムの一種です。企業にとっての本質的な脅威は「暗号化そのもの」だけではなく、業務停止、復旧コスト、情報漏えい対応、信用毀損など、複数の損失が同時に発生し得る点にあります。

近年の手口が変化している理由

攻撃者側は、被害者が「バックアップから戻せる」ようになったことを踏まえ、暗号化だけでは支払いに至らないケースがあることを理解しています。そのため、情報の持ち出しや脅迫（公開・二次被害）を組み合わせ、支払いに向けた圧力を強める方向に進化しています。

暗号化だけでなく「窃取」と「妨害」がセットになる

実務上の注意点は、暗号化が発生していなくても「侵入されて情報が持ち出されている」可能性があることです。さらに、復旧作業を妨害するためにバックアップの削除や、運用監視の停止、管理者権限の奪取などが行われるケースもあります。つまり、ランサムウェア対策は「暗号化を防ぐ」だけでなく、侵入の早期発見・横展開の遮断・復旧の確実性までを一連として設計する必要があります。

WannaCryが象徴したポイント

ランサムウェアの一種として広く知られる「WannaCry（ワナクライ）」は、ネットワークを介して自己拡散する仕組みによって被害が急速に広がったことが特徴です。2017年に世界的な流行が発生し、多数の端末や組織が影響を受けた事例として知られています。現在の主流は、無差別拡散よりも「侵入→横展開→暗号化・窃取」という一連の手順で組織を狙い撃ちする攻撃ですが、拡散力のある攻撃が企業の業務を麻痺させ得ることを示した代表例として参照されます。

ランサムウェアに感染するとどうなる？

この章では、暗号化以外も含めた被害の実態と、企業に起きる影響が分かります。

ランサムウェアに感染すると、端末内のファイルが暗号化されて開けなくなったり、画面がロックされて操作できなくなったりします。画面上に脅迫文が表示され、期限内に金銭を支払うよう要求されるのが典型例です。

暗号化されたデータの復旧には多くの時間とコストがかかります。復旧できない場合はデータ消失となり、業務停止や取引先への影響、信用毀損など、企業活動に大きな支障をきたすおそれがあります。さらに、情報の持ち出し（窃取）が伴うケースでは、復旧できても「情報漏えい対応」が別途必要になる点にも注意が必要です。

企業で起きやすい二次被害

• 取引停止や納期遅延など、サプライチェーン全体への影響
• 顧客・従業員情報の漏えいに伴う調査・説明・再発防止の追加負担
• 復旧作業の長期化による売上機会の損失、代替コストの増加
• 復旧後も「再侵入（バックドア残存）」の懸念が残り、全面的な見直しが必要になる

「復旧できた」と「元通りに安全」が別問題な理由

暗号化の解除やバックアップ復旧ができたとしても、侵入経路が塞がれていない、あるいは認証情報が漏えいしている状態では、再侵入の可能性が残ります。また、窃取が疑われる場合は、復旧と並行して調査・説明・再発防止が必要になり、対応が長期化しやすい点が実務の難しさです。

企業におけるランサムウェア対策の基本

この章では、対策の全体像を「事前・侵入後・復旧」の3点セットで整理できます。

ランサムウェアの主な侵入経路としては、メールの添付ファイルやURL、改ざんされたWebサイト、脆弱性を突いた侵入、リモートアクセスの不正利用などが挙げられます。そのため、企業における基本対策は「侵入を防ぐ」「侵入後の拡大を防ぐ」「復旧できるよう備える」をセットで考えることが重要です。

• OS・ソフトウェアのアップデートを徹底し、既知の脆弱性を放置しない
• メール・Web経由の脅威に対して、セキュリティ製品やフィルタリングでリスクを下げる
• 重要データのバックアップを実施し、復旧できる状態を維持する（後述）
• アクセス権（最小権限）を整備し、被害の横展開を抑える

「侵入される前提」を置く理由

ランサムウェア対策では、侵入を100%防ぐことを前提にしない考え方が一般化しています。攻撃者は、フィッシング、認証情報の窃取、ゼロデイ、設定不備など複数の入口を組み合わせるため、単一の対策だけで完全に遮断するのが難しいためです。したがって、防御だけでなく、侵入後に素早く検知し、横展開や暗号化を止める設計が重要になります。

人の対策（教育・習慣化）を外せない理由

社員へのセキュリティ教育も欠かせません。ランサムウェアの特徴・感染経路・感染後のリスク・予防の基本行動を周知し、不審なメールやWebサイトを開かない、安易に添付ファイルを実行しないといった行動を組織として習慣化しましょう。万が一感染が起きた場合の報告ルートや初動対応手順も、あらかじめ策定・周知しておく必要があります。

事前・事後の対策：ランサムウェアへの防御策

この章では、技術対策を「侵入前」「侵入後（検知・封じ込め）」「復旧準備」に分解して考えられます。

事前対策（侵入防御）では、メールやWebの検査に加え、端末（エンドポイント）での検知・封じ込めを強化することが重要です。近年は、侵入を完全に防ぐことを前提にしない考え方も一般化しており、侵入後の迅速な検知と対応まで含めた対策が求められます。

端末側の強化：EDRをどう位置づけるか

例えば、EDR（Endpoint Detection and Response）などの仕組みは、端末上の不審な挙動の検知、影響範囲の把握、隔離などの対応を支援します。製品の機能や運用体制によって効果は変わるため、自社の利用環境・運用リソースに合うものを選び、定義更新や設定の見直しを継続することが重要です。

EDR導入で誤解されやすいポイント

EDRは「入れておけば安心」ではありません。アラートを見て判断・隔離・調査を行う体制が弱いと、検知はしていても止められない状況になり得ます。監視の内製・外部委託の方針、対応可能な時間帯、緊急遮断の権限設計まで含めて検討する必要があります。

入口対策：メール・Web・リモートアクセス

従業員に対しては、メールや添付ファイルを注意深くチェックし、送信元が不明なものや不自然な依頼があるものは開かないよう教育を行っておきましょう。加えて、外部公開しているリモートアクセス（VPNやリモートデスクトップ等）を利用する場合は、強固な認証（多要素認証）、不要な公開の停止、アクセス制御、ログ監視を組み合わせ、侵入の足がかりを減らすことが重要です。

要注意：リモートアクセスは「入口」になりやすい

外部公開のリモートアクセスは、攻撃者から見ると分かりやすい入口になりがちです。MFAを付けるだけでなく、アクセス元の制限、管理者用経路の分離、不要アカウントの削除、ログの監視まで含め、侵入されても横展開しにくい形にしておくことが現実的です。

横展開を止める設計：権限・ネットワーク分離・ログ

ランサムウェア被害が大規模化する典型パターンは「侵入後に管理者権限を奪取し、共有フォルダやサーバーへ横展開する」ことです。最小権限の徹底、管理者アカウントの分離、ネットワーク分離（重要サーバーへの到達経路の制限）、ログの集中管理（異常の早期発見）を組み合わせることで、暗号化の広がりを抑えやすくなります。

実務で効く考え方：守るべき領域を「分けて小さくする」

重要サーバーやバックアップ領域が“同じ権限・同じネットワーク”にあると、侵入後に一気に巻き込まれます。業務都合で完全分離が難しい場合でも、管理者アカウントの分離や到達経路の制限など、段階的に「分ける」設計が有効です。

復旧準備：バックアップは「戻せること」がゴール

事後対策としては、消失してはならない重要なデータを安全な場所にバックアップしておくことが基本です。これにより、重要ファイルが暗号化されても復元できる可能性が高まります。バックアップは「取って終わり」ではなく、定期的に実施し、復元手順（リストア）を検証して“戻せる状態”を維持しなければなりません。

バックアップで押さえるべき注意点

• ランサムウェアはバックアップ先まで狙う場合があるため、権限分離や世代管理を検討する
• バックアップの暗号化や改ざん耐性、隔離保管（オフラインや論理分離）の考え方を取り入れる
• 復旧に要する時間（RTO）と許容損失（RPO）を想定し、必要な頻度と保全方式を決める

“3-2-1”を自社用に言い換えると

バックアップ方針としてよく挙げられる「3-2-1」(複数コピー・複数媒体・1つは別場所)は、あくまで考え方です。実務では「バックアップ領域への管理者権限を分ける」「削除・改ざんされにくい世代管理を入れる」「復旧訓練を定期で回す」といった、運用に落ちる形にすることが重要です。

事後の対応：ランサムウェア感染時の対処方法

この章では、感染時の初動、封じ込め、復旧、意思決定の要点が分かります。

万が一、感染が疑われる場合は、まず感染が疑われる端末をネットワークから切り離す必要があります。被害の拡大（社内の別端末やファイルサーバーへの波及）を防ぐためです。従業員全員が迷わず実施できるよう、対応方法を周知し、訓練をしておきましょう。

次にやること：報告・状況把握・封じ込め

次に、社内のセキュリティ担当（CSIRT等）やIT部門、必要に応じて外部の専門家と連携して、状況把握と封じ込め、原因調査、復旧を進めます。暗号化されたデータやシステムの復元については、復号ツールの有無を確認する、バックアップから復旧するなどの方法が考えられます。

初動で迷いがちな点：ログと証跡を“消さない”

焦って端末を初期化したりログを削除したりすると、侵入経路の特定や影響範囲の判断が難しくなります。封じ込めと並行して、証跡の確保（ログ、端末の状態、アラート情報）を意識して動けるよう、事前に手順を決めておくと事故が減ります。

身代金支払いは「技術」ではなく「経営判断」

原則として、身代金の支払いは慎重な判断が必要です。支払いに応じても復旧できる保証はなく、再度標的にされるリスクや、情報公開の脅しが止まらないリスクも考えられます。法務・経営層を含めた意思決定体制、外部機関への相談・届出、取引先や顧客への連絡方針なども含め、事前に備えておくことが重要です。

復旧後に残る論点：再侵入と説明責任

暗号化が解除・復旧できたとしても、侵入経路が塞がれていない場合は再侵入の恐れが残ります。また、情報持ち出しが疑われる場合は、復旧後も調査、関係者への説明、再発防止策の実施が必要になります。業務停止だけでなく、企業への信頼を損なうことにもなりかねません。

最低限ここまで：ランサムウェア対策チェックリスト

この章では、やることを「点検項目」として持ち帰れます。

• 外部公開の入口（VPN/RDP等）にMFAが必須になっている
• OS・主要ソフトの更新が運用として回っており、放置端末が可視化されている
• 管理者アカウントが分離され、日常業務と同じ資格情報で運用していない
• 重要サーバー・共有領域への到達経路が整理され、横展開しにくい設計になっている
• 端末の検知（EDR等）と、アラートに対応する体制（内製/外部）が合っている
• バックアップが世代管理され、復元手順が検証済みで、復旧の目標（RTO/RPO）が言える
• 初動の連絡網と、隔離・封じ込めの手順が周知され、机上演習を実施している
• ログが確保され、必要時に追える（集中管理・保管期間・参照権限）が整っている

ランサムウェアは身近なメールやWeb、脆弱性、認証情報の悪用などを起点に侵入し得るため、あらかじめ十分な対策を行う必要があります。多層防御による対策を徹底し、「感染しないための事前対策」と「感染後に被害を最小化し、復旧するための準備」をあわせて検討しましょう。

ランサムウェア対策に関するFAQ