ランサムウェアとは？ 必要な対策や感染経路・被害について詳しく解説

はじめに

ランサムウェアは、端末やサーバー内のデータを暗号化して身代金を要求するだけの攻撃ではありません。近年は、侵入後に情報を持ち出し、復号の要求とあわせて公開を脅しに使う手口が広く見られます。IPAは、こうした二重脅迫に加え、DDoS攻撃の予告を加える脅迫や、暗号化を行わず情報窃取と暴露脅迫だけで金銭を要求するノーウェアランサムも挙げています。

企業にとっての被害は、ファイルが開けなくなることだけではありません。業務停止、情報漏えい対応、取引先説明、復旧費用、対外公表まで同時に発生し得ます。IPAの「情報セキュリティ10大脅威 2026」では、「組織」向け脅威の1位が「ランサム攻撃による被害」です。対策は、マルウェア対策ソフトの導入だけで済む話ではなく、公開面の管理、認証強化、侵入後の拡大抑止、データのバックアップ、初動対応までを一体で整える必要があります。

ランサムウェアとは

ランサムウェアとは、端末やサーバー内のファイルを暗号化したり、システムを使用不能にしたりして、復旧や情報非公開と引き換えに金銭を要求するマルウェア、またはその攻撃手法の総称です。古典的な手口は暗号化と復号金の要求が中心でしたが、いまは窃取データの公開をちらつかせる脅迫が定着しています。窃取したデータが攻撃者運営のリークサイトに掲載される事例もあり、復旧だけでなく漏えい対応まで視野に入れた備えが欠かせません。

また、近年の被害では、最初の侵入から暗号化までに一定の準備期間があるケースが珍しくありません。攻撃者は内部ネットワークを探索し、認証情報を集め、重要サーバーやバックアップ基盤に到達しやすい位置を確保したうえで一斉に攻撃します。このため、感染の有無だけを見るのではなく、「侵入後にどこまで動かれるか」を前提に対策を組む必要があります。

主な侵入経路

メールの添付ファイルやリンク

典型的な経路はメールです。請求書、配送通知、問い合わせ返信、社内連絡などを装い、添付ファイルを開かせたり、悪性サイトへ誘導したりします。ただし、メール対策だけで全体を説明するのは不十分です。企業被害では、メール以外の経路と組み合わされる例も多く見られます。

VPN機器や公開サーバーの脆弱性悪用

近年の企業被害で目立つのが、VPN装置、公開サーバー、ネットワーク機器など、インターネットに接続された機器の脆弱性を悪用される経路です。攻撃者は既知の脆弱性、公開された管理画面、閉じ忘れたポート、更新が止まった機器を足掛かりに侵入します。

窃取された認証情報の悪用

漏えい済みのID・パスワードや、過去の侵害で盗まれた認証情報を使って不正アクセスを試みる手口も定番です。多要素認証が未設定、共通パスワードの使い回し、管理者権限の過剰付与といった状態では、侵入後の被害が広がりやすくなります。

侵入後の横展開

被害は最初の1台で止まりません。攻撃者は内部ネットワークを探索し、権限昇格、共有領域へのアクセス、認証基盤やバックアップ先への到達を狙います。JPCERT/CCも、侵入型ランサムウェア攻撃では内部の複数システムが同時に影響を受け、事業全体へ波及しやすいと説明しています。

ランサムウェアに感染すると何が起きるのか

典型的な被害は、共有フォルダや業務サーバー上のファイルが暗号化され、業務に必要なデータへアクセスできなくなることです。実際にはそれで終わりません。受発注の混乱、製造や現場業務の停止、顧客対応の停滞、漏えい調査、法務対応、対外公表の判断まで一度に発生し得ます。暗号化より前に情報を持ち出されている場合は、復号に成功しても対応が終わりません。

身代金を支払っても解決は保証されません。CISAは支払いを推奨しておらず、支払ってもデータ復旧や情報非公開が保証されないと案内しています。IPAも原則として身代金は支払わずに復旧する方針を示しており、JPCERT/CCも攻撃者の要求には応じず、バックアップから復旧する流れを案内しています。

企業が取るべき主な対策

バックアップを「ある」状態で終わらせない

バックアップは最優先の対策です。ただし、同じネットワークに常時接続された保存先だけでは、攻撃者に削除や暗号化を受けるおそれがあります。3-2-1 ルールを参考に保存先を分散し、オフライン保管やイミュータブル保管を含めて設計する方が安全です。CISAはオフラインバックアップの維持と定期的な復元テストを重視しており、IPAも復旧訓練やWORM機能など改ざん耐性を高める保管方法を挙げています。

公開面の見直しと脆弱性対策を継続する

VPN、外部公開サーバー、ネットワーク機器、リモートデスクトップなど、外部から到達できる箇所は継続的に点検する必要があります。不要な公開の停止、使わないポートの遮断、脆弱性情報の確認、修正プログラムの適用、サポート切れ機器の更改を後回しにすると、侵入の起点を残します。

多要素認証を優先度の高い領域から適用する

IDとパスワードだけの認証では、認証情報が盗まれた時点で突破されやすくなります。優先度が高いのは、管理者アカウント、VPN、クラウド管理画面、外部から使うリモートアクセス環境です。被害の起点になりやすい箇所から先に適用した方が、防御効果を得やすくなります。

ネットワーク分離と権限最小化で横展開を抑える

侵入をゼロにできない前提では、侵入後に自由に動けない構造を作ることが欠かせません。共有範囲の見直し、管理者権限の制限、重要システムへのアクセス制御、ネットワーク分離は、横展開の抑止に直結します。CISAも、ランサムウェアの拡散防止策としてネットワーク segmentation を推奨しています。

監視と検知の仕組みを残す

暗号化が始まる前の挙動を捉えられるかどうかで、被害の規模は変わります。認証ログ、管理操作ログ、外部公開機器のログ、バックアップの削除操作、異常な大量通信などを継続的に確認できる状態を整えます。EDRやアラート監視を導入していても、確認手順や連絡先が曖昧なら初動は遅れます。

初動対応の体制を事前に決めておく

被害が出てから、誰が判断し、どの機器を隔離し、誰が外部へ連絡するのかを決め始めると対応は遅れます。JPCERT/CCは、被害範囲の把握、侵入経路の遮断、攻撃者の要求に応じずバックアップから復旧する方針を示しています。社内連絡体制、対外窓口、広報、法務、外部専門機関への相談経路まで、平時に文書化しておくべきです。

従業員教育は単独施策にしない

不審メールを開かない教育は必要ですが、それだけでは公開機器の脆弱性悪用や認証情報の悪用は防げません。教育は侵入経路の一部を減らす施策であり、公開面の管理、認証強化、監視、バックアップと組み合わせて初めて被害低減につながります。訓練だけを増やし、外部公開資産や権限設計の弱点を残す構成では不十分です。

優先順位の考え方

どこから着手するか迷う場合は、次の順で整理すると判断しやすくなります。

1. 外部公開資産の棚卸しと、脆弱性対応の遅れ解消
2. 管理者、VPN、クラウド管理画面への多要素認証適用
3. オフライン性と復元テストを含むバックアップ運用の見直し
4. 共有範囲、権限、ネットワーク分離の再設計
5. 初動対応、連絡体制、対外窓口の明文化と訓練

この順で進める理由は、侵入経路を減らし、侵入されても広がりにくくし、最後に戻せる状態を確保するためです。どれか1つで足りるわけではなく、前段の弱点を後段だけで埋めることにも限界があります。

まとめ

ランサムウェアは、データの暗号化だけでなく、情報窃取、暴露脅迫、DDoS脅迫、暗号化を伴わないノーウェアランサムまで含む攻撃群として理解する必要があります。企業が直面するのは、端末の感染そのものより、業務停止と漏えい対応が同時に発生する経営上の打撃です。

対策の軸は明確です。バックアップを復旧前提で設計し、公開機器や脆弱性を放置せず、多要素認証を広げ、侵入後の横展開を止め、初動対応の体制を平時に整備することです。差が出るのは、注意喚起の量ではなく、侵入後にどこで止め、どこまで戻せるかです。

FAQ