ランサムウェアとは、感染した端末のデータを暗号化し、復号と引き換えに身代金を要求するマルウェアの一種です。
近年は中小企業も標的となり、警察庁の統計でも国内被害件数は高止まりが続いています。
本記事ではランサムウェアの仕組み・種類・感染経路から、情シス担当者が押さえるべき具体的な対策と感染時の初動対応まで解説します。
ランサムウェアとは?
ランサムウェアは「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、企業や個人の端末を人質に金銭を要求する不正プログラムです。
感染すると業務データや基幹システムが使えなくなり、復旧の遅れがそのまま事業停止につながります。
標的は大企業に限らず、中堅・中小規模の事業者にも広がっており、もはや業界を選ばない脅威となりました。
ランサムウェアの語源と基本概念
語源は前述のとおり、身代金を意味する「Ransom」とソフトウェアを意味する「Software」を掛け合わせたものです。
世界で最初に確認されたのは1989年の「AIDS Trojan」とされ、当時はフロッピーディスク経由で広まりました。
その後インターネットの普及と暗号技術の進化に伴い、ランサムウェアは年々巧妙化しています。
現在の主流は強力な公開鍵暗号でファイルをロックし、復号鍵と引き換えに金銭を要求するタイプです。
データを取り戻すには支払うしかないと感じさせる心理的圧力こそ、攻撃者にとって最大の武器となっています。
ランサムウェアの仕組みと攻撃フロー
ランサムウェアは単発のウイルスではなく、計画的な攻撃キャンペーンの最終段階で実行されます。
攻撃者はまず社内ネットワークへ侵入し、権限を奪いながら横展開を進め、最後に一斉暗号化を仕掛けるという流れが一般的です。
仕組みを理解しておくと、どの段階で食い止めれば被害を最小化できるかが見えてきます。
攻撃の3ステップ(侵入・潜伏・暗号化)
第一段階は侵入です。
フィッシングメールやVPN機器の脆弱性を突き、攻撃者は社内環境に足場を確保します。
第二段階は潜伏と横展開です。
Active Directoryの管理者権限を奪い、数日から数週間かけてサーバやバックアップ領域まで到達範囲を広げます。
この間にデータの窃取も並行して行われ、後の二重脅迫に備えた材料が集められます。
第三段階が暗号化です。
営業時間外を狙って一斉にファイルを暗号化し、画面に身代金要求メッセージを表示させます。
侵入から暗号化まで平均1〜2週間といわれており、潜伏期に異常を検知できれば被害は大きく抑えられます。
暗号化のメカニズム
現代のランサムウェアは、公開鍵暗号と共通鍵暗号を組み合わせたハイブリッド方式を採用しています。
まず端末ごとに高速な共通鍵を生成してファイルを暗号化し、その共通鍵を攻撃者の公開鍵でさらに暗号化して残します。
復号には攻撃者しか持たない秘密鍵が必要なため、被害者側で解読することは事実上不可能です。
暗号化対象は文書や画像だけでなく、データベースや仮想マシンのディスクファイルにも及び、業務全体が一気に停止します。
ランサムウェアの種類
ランサムウェアは年々進化しており、攻撃手法ごとにいくつかの系統に分類されます。
代表的な種類は以下4つです。
- 暗号化型:ファイルを暗号化して復号鍵と引き換えに身代金を要求する古典的なタイプ
- スケアウェア型:偽の警告画面で利用者を脅し、金銭を支払わせる手口
- 二重脅迫型(Doxware):暗号化に加えて窃取データの公開を盾に脅迫する手口
- RaaS:攻撃ツール自体をサブスクリプション形式で売買するビジネスモデル
それぞれの違いを押さえると、自社が想定すべき脅威像も具体化できます。
暗号化型・スケアウェア型
暗号化型は最も基本的なランサムウェアで、ファイルを暗号化して復号鍵と引き換えに金銭を要求します。
CryptoLockerやWannaCryが代表例で、現在の被害の大半はこの系統に属します。
スケアウェア型は、実際にはファイルを暗号化していないにもかかわらず、偽の警告画面で利用者を脅して金銭を支払わせる手口です。
たとえば「ウイルスを検出しました」「FBIに違法行為が記録されました」といった画面を表示し、決済を促します。
技術的な被害は軽微でも、心理的圧力で支払ってしまう個人ユーザーが少なくありません。
二重脅迫型(Doxware)とRaaS
二重脅迫型はDoxwareとも呼ばれ、暗号化に加えて窃取したデータの公開を盾に身代金を要求します。
バックアップから復旧できる企業でも、情報漏えいの実害を避けるために支払いを検討せざるを得なくなる点が特徴です。
近年はさらに、顧客や取引先に直接連絡して圧力をかける三重脅迫型も観測されています。
RaaSはRansomware as a Serviceの略で、攻撃ツールをサブスクリプション形式で提供するビジネスモデルを指します。
開発者は実行犯から成功報酬を受け取り、攻撃者側は専門知識がなくても大規模な犯行が可能になりました。
LockBitやContiが代表例で、この構造が攻撃の量産と被害拡大を加速させています。
ランサムウェアの被害状況
ランサムウェアの被害は国内でも深刻な水準で推移しており、もはや一部の大企業だけの問題ではありません。
警察庁の統計や報道された事例を見ると、製造・医療・自治体・物流まで幅広い業種で被害が発生しています。
ここでは公的データと実際の事例をもとに、現状の被害規模感を確認します。
国内の被害統計(警察庁データ)
警察庁が公表した「令和7年におけるサイバー空間をめぐる脅威の情勢等について」によれば、2025年のランサムウェア被害報告件数は226件と、依然として高水準で推移しています。
被害の規模別では中小企業が143件で全体の約63%を占めており、攻撃対象が大企業に限らないことが裏付けられています。
業種別では製造業が91件で約4割を占め、卸売・小売業、サービス業、情報通信業にも被害が広がっています。
調査・復旧費用が1,000万円以上にのぼった事例は全体の5割を超え、復旧に1か月以上を要した組織も約5割弱に達します。
被害発覚から業務再開までに数か月を要するケースも珍しくなく、事業継続そのものが揺らぐリスクとして認識すべき段階に入っています。
実際の被害事例
国内で大きく報道された事例として、2021年の徳島県つるぎ町立半田病院があります。
電子カルテが暗号化されて約2か月にわたり新規患者の受け入れを停止し、復旧費用は約2億円に達したと公表されています。
2023年には名古屋港統一ターミナルシステムが被害を受け、コンテナ搬出入が約2日間停止しました。
物流網への影響が広範囲に及び、サプライチェーン全体への波及リスクが改めて注目された事案です。
2024年に発生したKADOKAWAグループの事例では、業務システム停止に加えて約25万人分の個人情報が漏えいしました。
復旧までに約4か月を要し、業績への影響は売上約84億円減・特別損失約36億円にのぼったと公表されています。
2025年には飲料メーカー大手が9月にランサムウェア攻撃を受け、製品の受注・出荷が停止したうえ、顧客や従業員に関する個人情報約191万件が漏えいした可能性があると公表されました。
同年10月には通販大手も同様の被害を受け、個人情報約74万件の漏えいの恐れが報告されています。
いずれのケースもインシデント発覚後の初動対応の巧拙が、その後の被害規模を大きく左右しています。
関連記事:インシデントとは?情報セキュリティにおける影響と防止策、対処方法を詳しく解説
ランサムウェアの主な感染経路
ランサムウェアの感染経路は限定的で、対策ポイントを絞り込みやすい領域でもあります。
実際に被害の大半を占めている経路は以下3つです。
- メール・フィッシング攻撃:従業員に添付ファイルやリンクを開かせて侵入する手口
- VPN・RDPの脆弱性悪用:境界機器や遠隔接続経路のセキュリティホールを突く手口
- ソフトウェアの脆弱性悪用:未パッチのアプリケーションやOSを足がかりにする手口
それぞれの傾向を理解し、優先度の高い経路から対策を講じることが現実的です。
メール・フィッシング攻撃
メール経由の攻撃は、現在も最大の感染経路の一つです。
請求書や配送通知を装ったメールに不正なマクロ付きWord・Excelファイルを添付し、開封した瞬間に不正コードを実行させる手口が代表例となります。
近年は生成AIで作成された自然な日本語メールも増えており、文面の違和感だけで見抜くのは困難です。
特に従業員規模が拡大している企業では、ヒューマンエラーの確率を下げる仕組み化が欠かせません。
EmotetやIcedIDといったローダー型マルウェアの感染が、最終的なランサムウェア展開につながる事例も多く確認されています。
VPN・RDPの脆弱性とソフトウェアの脆弱性
近年急増しているのが、VPN機器やRDP(リモートデスクトップ)の脆弱性を悪用した侵入です。
警察庁の統計でも、感染経路の判明分のうちVPN機器経由が半数前後、RDP経由を含めるとリモートアクセス由来が約8割を占めています。
特にテレワーク導入時に急ごしらえで設置した古いファームウェアのVPN装置が、長期間放置されているケースが狙われやすい傾向です。
ソフトウェアの脆弱性経由も依然として無視できません。
Webサーバやファイル共有ソフトの既知の脆弱性が公開された直後に、世界中のIPアドレスがスキャンされ、未対応の企業が突破される事例が報告されています。
リスクの全体像を整理したい場合は、以下の記事も参考になります。
関連記事:情報セキュリティリスクとは?リスクの種類と発生原因、対策方法を紹介
ランサムウェア対策の具体的な方法
ランサムウェア対策は、攻撃のステージごとに防御を多層化する考え方が基本です。
具体的には以下3つの軸で組み立てます。
- 予防:侵入そのものを防ぐ施策(OS更新・MFA・パッチ適用)
- 検出:侵入後の異常を早期に発見する施策(EDR・ネットワーク監視)
- 復旧:暗号化されてもデータを取り戻す施策(バックアップ戦略)
どれか1つに偏らず、3層を組み合わせることで被害確率と被害規模の双方を下げられます。
予防策(OS更新・MFA・パッチ適用)
予防策の中核は、攻撃者が突きやすい入口を地道にふさぐ取り組みです。
最優先で着手したいのは、OS・ファームウェアの最新化と、多要素認証(MFA)の徹底、そして既知脆弱性へのパッチ適用です。
OSやネットワーク機器のアップデートは月次サイクルで運用し、特にVPN機器のファームウェア更新は最優先で取り組みます。
被害事例の多くで未対応のまま放置されており、攻撃者にとって最も狙いやすい入口になっているためです。
MFAはVPN・SaaS・管理者アカウントについて原則すべて必須化します。
認証情報が漏えいしても、ワンタイムコードや認証アプリの突破まで要求できれば、侵入確率を大幅に下げられます。
パッチ適用は、CVE公開から72時間以内を目安にする運用ルールが現実的です。
加えて、管理者権限を持つアカウントの棚卸しも有効です。
退職者アカウントの残存や、本来は一般権限で十分な担当者への管理者付与は、攻撃者にとって格好の踏み台となります。
四半期に一度、権限と利用状況を見直すルールを設けると、横展開のリスクを大きく下げられます。
検出対策(EDR)とネットワーク監視
予防だけでは防ぎきれない侵入を前提に、検出層の強化が必要です。
中心となるのがEDR(Endpoint Detection and Response)で、端末上の挙動を常時監視し、不審なプロセスや権限昇格を即座に検知します。
従来のアンチウイルスがシグネチャ照合に依存していたのに対し、EDRはふるまい検知でゼロデイ攻撃にも対応できる点が強みです。
加えてSIEMやNDR(Network Detection and Response)を組み合わせ、社内ネットワーク全体の通信傾向から異常を見つける体制も有効です。
特に深夜帯の大量ファイルアクセスや、未知の外部IPへの通信が観測された場合、潜伏期の攻撃を早期に断ち切れます。
EDRを含むネットワーク全体の対策方針については、以下の記事も参考になります。
関連記事:ネットワークセキュリティ対策とは?基本的な種類や対策方法を解説
バックアップ戦略(3-2-1ルール)
復旧層の要となるのがバックアップ戦略です。
国際的に推奨されているのが「3-2-1ルール」で、内容は以下のとおりです。
- データは3つのコピーを保持する(本番+バックアップ2本)
- 2種類以上の異なる媒体に保存する(例:ディスクとテープ、クラウドとオブジェクトストレージ)
- うち1つはオフサイトまたはオフライン(イミュータブル)で保管する
近年のランサムウェアはバックアップサーバ自体を狙う傾向が強まっており、ネットワーク接続されたバックアップだけでは安全とは言えません。
書き換え不能なイミュータブルストレージや、テープによる完全分離バックアップを少なくとも1系統確保しておくと、最悪のケースでも事業再開の道筋を残せます。
復旧時間目標(RTO)と復旧時点目標(RPO)も、業務ごとに整理しておくと運用判断がぶれません。
ランサムウェア対策の強化を、専門家と一緒に進めませんか?
「VPN機器のパッチ管理が後回しになっている」
「EDRやバックアップ戦略を整えたいが、社内に専門知見がない」
「インシデント発生時の対応フローが決まっていない」
このような悩みでお困りではありませんか?
「IT顧問 情シス君」は、企業のあらゆるIT化、デジタル化活動を促進するIT支援サービスです。
ランサムウェア対策の現状診断から、EDR導入支援やバックアップ運用設計まで幅広くサポートします。
インシデント発生時の対応支援も、経験豊富なスタッフが伴走します。
自社のリスクを整理し、優先度の高い対策から着実に進めるご提案をいたします。
まずは一度、お気軽にご相談ください。
感染した場合の初動対応
ランサムウェア感染が疑われた瞬間の動き方が、その後の被害規模を大きく左右します。
最初の数時間でやるべきことはシンプルです。
被害端末をネットワークから隔離し、関係者と当局への連絡経路を確立した上で、バックアップを使った復旧に着手します。
これらを事前に手順書化していないと、現場の判断が遅れて被害が一気に拡大します。
ネットワーク遮断と当局への報告
最初に行うべきは、感染端末のネットワーク遮断です。
LANケーブルを抜くかWi-Fiを切断し、共有ストレージや他端末への横展開を物理的に止めます。
ただし電源は落とさず通電したまま隔離するのが鉄則です。
メモリ上に残る暗号鍵や攻撃痕跡が、後の調査で重要な手がかりになります。
並行して、社内のCSIRTや経営層、外部の専門ベンダーへ連絡し、対応体制を立ち上げます。
外部報告先としては、警察庁のサイバー犯罪相談窓口、IPAの届出窓口、個人情報漏えいが疑われる場合は個人情報保護委員会への報告が義務付けられています。
法令上の報告期限を逃さないよう、連絡フローを事前に整備しておく必要があります。
バックアップからの復旧手順
ネットワークを遮断したあとは、被害範囲の特定と復旧フェーズに移ります。
復旧の標準的な流れは以下4ステップです。
- 影響範囲の特定:暗号化されたサーバ・端末・データ範囲を一覧化する
- フォレンジック調査:侵入経路と潜伏期間を専門ベンダーと共同で解析する
- クリーン環境の再構築:OS再インストールやイメージからの初期化を行う
- バックアップからの段階的リストア:重要業務システムから優先順に復元する
復旧前にバックアップ自体が暗号化されていないかの検証も欠かせません。
身代金の支払いは復号や再攻撃防止を保証しないため、原則として推奨されていません。
インシデント発生から事後対応までの全体像は、以下の記事に整理されています。
関連記事:インシデント管理とは?ITシステムにおける具体的な手順、効果的に運用する方法を解説
まとめ
ランサムウェアは年々巧妙化し、中小企業から大手まで業種を問わず標的となっています。
被害を最小化する鍵は、予防・検出・復旧の3層を組み合わせた多層防御と、感染時の初動を事前に手順化しておくことです。
社内リソースだけで全領域をカバーするのが難しい場合は、外部の情シス支援サービスを活用する選択肢もあります。
自社の優先課題を洗い出し、現実的なロードマップに落とし込むところから始めましょう。
