ランサムウェアの感染経路6選｜主な侵入手口と予防策を解説

ランサムウェアの感染経路は年々多様化しており、VPN機器やリモートデスクトップ、メールなどが主な侵入口です。
感染経路を把握しないまま対策を進めても、肝心の入口を塞げず被害は防げません。

本記事ではランサムウェアの主な感染経路6つと、経路ごとの予防策、感染時の初動対応までを整理します。
自社のどこが狙われやすいかを見直す材料としてお役立てください。

ランサムウェアの感染経路を知る重要性

ランサムウェアの感染経路は、攻撃手口の進化とともに大きく変化しています。
かつてはメール添付ファイルが主流でしたが、現在はVPN機器やリモートデスクトップ経由の侵入が最多です。

感染経路の最新動向を押さえることが、ランサムウェア対策の出発点になります。

国内のランサムウェア被害件数の推移

警察庁の集計では、国内企業・団体のランサムウェア被害報告は年々増加傾向にあります。
近年は年間200件超で推移しており、業種・規模を問わずあらゆる組織が標的となっています。

中小企業の被害比率も全体の半数以上を占め、もはや大企業だけの問題ではありません。

感染経路を理解する3つのメリット

感染経路を把握することで、対策の優先度を正しく設計できます。

1つ目は予算配分の最適化で、最も侵入される経路から重点的に防御を固められます。
2つ目は社員教育の的確化で、現場が何に気をつけるべきかを具体的に伝えられます。
3つ目はインシデント発生時の原因特定が速くなり、被害規模の縮小につながります。

関連記事：企業のサイバー攻撃対策とは？被害事例や主な種類、実施すべきセキュリティ対策を解説

ランサムウェアの主な感染経路6選

ランサムウェアの感染経路は、大きく次の6つに集約できます。
それぞれの侵入手口と狙われやすい弱点を順に整理していきます。

①VPN機器の脆弱性

現在最も多いランサムウェア感染経路がVPN機器の脆弱性です。
警察庁の調査では、感染経路が判明したケースの約6割がVPN機器経由と報告されています。

リモートワークの普及で社外からのアクセスを許可する機器が増えた一方、ファームウェアのアップデート漏れや既知の脆弱性が放置されたケースが狙われています。
VPN機器は社内ネットワークへの正面玄関であり、ひとたび突破されると一気に内部まで到達されてしまいます。

②リモートデスクトップ（RDP）

RDP（Remote Desktop Protocol）を経由した侵入も依然として多い感染経路です。
社外からの保守用にRDPポート（標準では3389）をインターネットに公開している企業が狙われます。

攻撃者は総当たり攻撃でログイン情報を試し、突破後にランサムウェアを送り込んで横展開させます。
VPN経由と合わせると感染経路全体の約7〜8割を占めており、ネットワーク機器の管理が現代の最重要論点になっています。

関連記事：脆弱性対策とは？発生原因や被害事例、対策手法を解説

③フィッシングメール・標的型メール

メールを起点としたランサムウェア感染は、長年定番でありながら現在も健在の感染経路です。
請求書や荷物配送、社内通知を装ったメールに添付されたファイルや本文中のURLが侵入の起点になります。

近年は生成AIで作成された自然な日本語の文面が増えており、ベテラン社員でも見破れない事例が報告されています。
添付ファイルを開いた瞬間に実行される従来型と、URL経由で偽サイトに誘導しマルウェアを取得させる型の双方が混在しています。

④Web閲覧（ドライブバイダウンロード）

改ざんされた正規サイトや不正広告を表示しただけで感染するパターンも増えています。
ブラウザやプラグインの脆弱性を突き、利用者がクリックや実行をしていないにもかかわらず侵入されるのが特徴です。

OSやブラウザのバージョンが古い端末ほど被害を受けやすくなります。
業務閲覧で利用する取引先サイトやニュースサイトが踏み台になる事例もあり、Web閲覧経路は対策が後回しになりがちな盲点です。

⑤USB・外部メディア

USBメモリや外付けHDD、SDカードなどの外部メディア経由の感染も根強く残っています。
社外の端末で利用したUSBを社内PCに接続した瞬間、自動再生機能で感染が広がるケースが代表的です。

工場・店舗・出張先などインターネット環境が限られる現場ほど、外部メディアの利用頻度が高く、感染リスクも高まります。
業務用端末のUSBポートを物理的・論理的に制御する対策が、対症療法ではなく根本対策となります。

⑥サプライチェーン経由

近年急増しているのが、取引先や委託先を踏み台にしたサプライチェーン攻撃です。
取引先のシステムに侵入した攻撃者が、信頼関係のあるネットワーク経由で自社へ到達する流れです。

自社のセキュリティ対策が万全でも、取引先の対策が手薄であれば被害を防ぎきれません。
業界全体の課題として、委託先選定や取引基準にセキュリティ水準を組み込む動きが広がっています。

関連記事：ネットワークセキュリティ対策とは？基本的な種類や対策方法を解説

経路別に見るランサムウェアの被害事例

ランサムウェアの感染経路は、被害事例を見ると具体的なリスクとして浮かび上がります。
代表的な経路ごとに、近年の被害事例から学べる教訓を整理します。

VPN機器経由で全社業務が停止した事例

ある国内大手食品メーカーでは、海外子会社のVPN機器の脆弱性が悪用され、グループ全体のシステムが暗号化されました。
復旧までに数週間を要し、出荷停止と機会損失で数十億円規模の影響が報告されています。

VPN機器のファームウェア更新が後回しになっていたことが原因と発表されており、機器管理の重要性を示す事例です。

標的型メール経由で社内全域に拡散した事例

中堅製造業の事例では、経理担当者が請求書を装った標的型メールを開封し、添付ファイルからランサムウェアに感染しました。
数時間で社内サーバーまで暗号化が広がり、生産管理システムが停止する事態に発展しました。

メール経由の感染では、初動の早さと最小権限の運用が被害規模を大きく左右します。

サプライチェーン経由で取引先まで波及した事例

ある自動車部品メーカーでは、取引先システムから侵入したランサムウェアが製造ラインを停止させ、完成車メーカーの工場稼働まで止まる事態となりました。
自社単独での防御では防ぎきれない経路であり、業界全体での対策強化が求められる事例です。

関連記事：ランサムウェア感染からの復旧方法は？正しい手順や費用相場、NG行動を解説

ランサムウェアの感染経路ごとの予防策

感染経路ごとに有効な予防策は異なります。
経路別に優先度の高い対策を整理し、自社で抜けがないか確認しましょう。

VPN・RDPに対する予防策

VPN機器とRDPは現在最も狙われる感染経路のため、最優先で対策を講じる必要があります。
機器ファームウェアの定期更新を必須化し、利用していないRDPポートはインターネットから完全に閉じてください。

加えて多要素認証（MFA）を導入すれば、ID・パスワードが漏えいしても侵入は阻止できます。
社外公開している機器のリスト化と棚卸しを四半期ごとに実施し、未管理機器を発生させない運用が決め手です。

メール経由に対する予防策

メール経由の感染は、技術対策と人的対策の両輪が必要です。
技術面では、添付ファイル無害化（CDR）やURLサンドボックスなどの機能を持つメールセキュリティゲートウェイの導入が有効です。

人的面では、年2〜4回の標的型メール訓練を実施し、現場の判断力を継続的に強化します。
開封してしまった社員を責めるのではなく、追加教育で全体の精度を底上げする運用が望まれます。

Web閲覧・USB・サプライチェーンに対する予防策

ドライブバイダウンロードへの対策はOSやブラウザ、プラグインの最新化が基本です。
USB・外部メディアについては、業務端末のUSBポートを論理的に制限し、許可された機器のみ接続できる構成が望まれます。

サプライチェーン対策では、取引先のセキュリティ水準を確認する仕組みづくりが欠かせません。
委託契約書にセキュリティ要件を明文化し、定期的なチェック体制を整えることで波及リスクを抑えられます。

感染経路を網羅的に塞ぐ3つの基本対策

経路別の対策に加え、すべての感染経路で共通して効く基本対策が3つあります。
技術・組織・人の3層を支える底力として、必ず実装したい仕組みです。

EDR・NGAVの導入で侵入後の被害を抑える

従来のシグネチャ型アンチウイルスだけでは、未知のランサムウェアや巧妙な手口は検知できません。
EDR（Endpoint Detection and Response）は端末の挙動を常時監視し、不審な動作を即座に検知・隔離する仕組みです。

NGAV（次世代アンチウイルス）と組み合わせることで、侵入を防ぐ守りと侵入後を抑える守りの二段構えが完成します。

バックアップの3-2-1ルールで最後の砦をつくる

どれだけ予防策を講じても、感染をゼロにすることは現実的に不可能です。
最後の砦となるのが、3つのコピー・2種類の媒体・1つはオフサイトという「3-2-1ルール」に基づくバックアップ運用です。

オフサイトのバックアップはネットワークから物理的に切り離し（エアギャップ）、ランサムウェアから到達できない状態にしておきます。
イミュータブル（書き換え不可）機能を併用すれば、仮にバックアップ先まで攻撃されても削除や暗号化を防げます。

従業員教育とインシデント報告体制の整備

技術対策が整っていても、現場の判断ミスひとつで全体が崩れます。
年1〜2回のセキュリティ研修、年2〜4回の標的型メール訓練を全社必修とし、感染兆候があった際の報告ルートを社員全員に周知してください。

自分が感染源かもしれないと感じた瞬間に躊躇なく情シスへ連絡できる文化づくりが、初動の速さを決めます。

ランサムウェアに感染してしまった場合の初動対応

万一感染が確認された場合、最初の数時間の動きが被害規模を大きく左右します。
冷静に進めるための初動対応を3ステップで押さえておきましょう。

ステップ1：感染端末をネットワークから物理的に切り離す

感染が確認されたら、まず行うべきは感染端末のネットワーク切断です。
有線LANケーブルを抜き、Wi-FiもOS操作ではなく物理スイッチや設定から完全にオフにしてください。

電源は切らず、メモリ上の証跡を残しておくのが鉄則です。
電源オフによってフォレンジック調査に必要な情報が消失し、原因特定が困難になります。

ステップ2：証拠保全と社内報告

脅迫メッセージや感染状況の画面はスクリーンショットや写真で記録します。
事前に定めた連絡網に沿って、情シス・経営層・必要に応じて法務・広報まで即時に共有してください。

報告を躊躇すると初動が遅れ、被害が広がります。
判断は個人で行わず、組織として動かす運びを徹底しましょう。

ステップ3：専門家・関係機関への連絡

社内対応のみで完結できる事例はほぼありません。
セキュリティベンダーやフォレンジック専門業者、サイバー保険の窓口、警察（サイバー犯罪相談窓口）への連絡を並行で進めます。

個人情報漏えいの可能性があれば、個人情報保護委員会への報告と本人通知の準備も必要です。
関連記事は本記事中盤のランサムウェア感染からの復旧方法をご参照ください。

ランサムウェアの感染経路に関するよくある質問（FAQ）

最後に、情シス担当者から寄せられがちな疑問にまとめて答えます。

Q1.ランサムウェアの感染経路で最も多いものはどれですか？

現時点で最多はVPN機器の脆弱性経由です。
警察庁の集計では、感染経路が判明したケースの約6割がVPN由来と報告されています。

次いでRDP経由が多く、VPNとRDPだけで全体の7〜8割を占めます。

Q2.メールセキュリティを強化すれば安心ですか？

メール対策だけでは不十分です。
現在主流の感染経路はネットワーク機器経由のため、VPN・RDPの管理を並行して強化する必要があります。

メール・ネットワーク・端末の3つを同時に防御する多層防御が前提です。

Q3.中小企業でもサプライチェーン経由の感染は起きますか？

頻発しています。
中小企業は大手取引先への攻撃の踏み台として狙われやすく、被害規模が自社単独にとどまらない点が深刻です。

取引先のセキュリティ要件確認と、自社の対策強化を両輪で進めてください。

Q4.EDRを入れれば感染経路は塞げますか？

感染経路そのものを塞ぐ役割ではありません。
EDRは侵入後の挙動を検知して被害を抑えるためのツールです。

感染経路を塞ぐにはVPN・RDPの管理、メール対策、社員教育などを組み合わせる必要があり、EDRはあくまで最後の砦として位置づけてください。

Q5.感染経路が特定できない場合どうすればよいですか？

社内対応だけで原因を突き止めるのは困難です。
フォレンジック調査の専門業者やセキュリティベンダーに依頼し、ログ解析・侵入経路の特定を並行で進めましょう。

感染経路が分からないまま復旧すると再感染のリスクが残り、結果的に被害が拡大します。

まとめ｜感染経路を理解しランサムウェアの侵入口を一つずつ塞ごう

ランサムウェアの主な感染経路は、VPN機器・RDP・メール・Web閲覧・USB・サプライチェーンの6つに集約されます。
特にVPNとRDPの管理は、現代のランサムウェア対策の最重要論点です。

経路を把握したうえで、EDR導入・3-2-1バックアップ・従業員教育の3つを土台として、経路別の対策を積み上げていくことが王道となります。

すべてを情シスだけで抱える必要はありません。
棚卸しや運用負荷の大きい部分は外部サービスやアウトソーシングも活用し、自社の戦略業務に時間を割ける体制を目指しましょう。