2026.03.27
ニュースで「ランサムウェア」という言葉を耳にする機会が増え、日本企業にも不安が広まっています。しかし、その仕組みや攻撃手法を正しく理解していなければ、有効な対策は打てません。
本記事では、ランサムウェアの基礎知識から、感染を未然に防ぐ防御策、さらには万が一感染した際の被害最小化と復旧の手順までを解説します。自社のセキュリティをより強固なものとするために、ぜひ役立ててください。
「ランサムウェア」は、身代金を意味する「Ransom」に、「Software」を組み合わせた用語です。その名の通り、企業の内部に侵入して金銭を要求してくるマルウェア(悪意のあるソフトウェア)です。
まずは、そのメカニズムとトレンドについて見ていきましょう。
ランサムウェアを使う攻撃者は、企業のネットワークに侵入すると、重要なデータを暗号化するなどの方法で使えない状態(人質)にします。そして復旧と引き換えに身代金を要求するというのが、ランサムウェアの基本的なメカニズムです。
ランサムウェアに感染してしまうきっかけは、特別なものではありません。例えば、次のような行動が侵入を許してしまうことにつながります。
●不審なメールの添付ファイルを開く
●偽物のWebサイトだと気づかずにアクセスする
●セキュリティが脆弱なリモートデスクトップを使う
こうしたセキュリティの隙をついて侵入した攻撃者は、社内のネットワークを移動しながら行動範囲を広げていきます。そして、ついには重要なデータを発見し、盗み出してしまうのです。
データを盗んだ後は暗号化が始まるため、ファイルが急に使えなくなるなどの異変が起こります。
ランサムウェアによる攻撃の手口は、年々進化しています。企業のセキュリティ強化のためにも、ランサムウェアのトレンドを押さえておきましょう。
単に復旧のための身代金を要求するだけでなく、事前に盗み出したデータを公開すると脅す「二重恐喝(Double Extortion)」の手口が増えてきました。この場合、たとえシステムを復旧できたとしても、データ漏洩のリスクが残ります。流出した個人情報が悪用されるなど、社会的に大きな問題にも発展しかねません。
従来のランサムウェアは、メールの添付ファイルなどで大量に拡散される無差別攻撃が主流でした。しかし、現在では特定の企業などを狙う標的型攻撃が増加しています。
近年は、大企業を標的としながらも、直接狙うのではなく、その取引先や保守ベンダーを経由してランサムウェアを仕掛ける「サプライチェーン攻撃」が深刻化しています。つまり、信頼している取引先が、攻撃者の侵入経路になってしまっているのです。
この場合、自社だけがセキュリティを強化しても被害を防ぎきれません。サプライチェーンの仕入れ先から納入先まで関連する企業や業界全体での、包括的な対策が必要となります。
ランサムウェアによる攻撃が増えている背景に、攻撃の「サービス化」とも言えるRaaS(Ransomware as a Service)モデルの拡大もあります。これは、高度な技術を持つ開発者が攻撃ツールをプラットフォームとして提供し、実行犯がそれを利用して攻撃を行うという分業体制のことです。
これにより高度なプログラミングスキルを持たない犯罪者でも、容易に攻撃を開始できるようになりました。結果として、攻撃の試行回数が増加し、あらゆる企業が標的となっています。
企業にとって、ランサムウェアはどれほど深刻な問題なのでしょうか。ここでは、ランサムウェアによる被害の具体例と、業種や規模による違いについて説明します。
ランサムウェアによる被害は、企業に多大な影響を及ぼします。金銭的な被害を受けるだけでなく、業務遂行や社会的な評判にまで深刻なダメージを与えかねません。
●金銭的損失
最も直接的な被害は、金銭的な損失でしょう。身代金を支払ったとしても、データやシステムの復旧にはコストがかかります。多くのユーザーを抱えるある決済サービス事業者が攻撃を受けたケースでは、原因究明のための調査費用に加え、旧システムの破棄と「決済基盤そのものの全面的な再構築」を余儀なくされました。このインフラ刷新だけで数億円規模の特別損失が発生しています。さらに、カードの再発行手数料の負担や、サービス停止期間中の利用客への補償、問い合わせ対応のためのコールセンター増設費用なども重なり、非常に大きな損失を生みました。
●業務停止による機会損失
近年のランサムウェアによる被害額は、被害を経験した法人組織1社あたり、平均で2億2,000万円(※1)といわれています。多くの中小企業にとっては、事業の継続が危ぶまれる数値です。継続できたとしても、システムが復旧するまでは業務を停止せざるを得ません。
例えば、国内の製造業の事例では、たった1社の仕入れ先が攻撃を受けたことで、メーカーの全工場が稼働停止に追い込まれるという事態も発生しています。
また、医療機関が狙われたケースでは、電子カルテが使えなくなることで救急外来の停止や手術の延期を余儀なくされ、地域医療が麻痺する事態となりました。
●レピュテーションリスク
ランサムウェア攻撃によって機密情報や個人情報が流出すると、企業の社会的信用は失墜します。一度漏洩や流出が発生すれば、既存顧客の離脱を招くだけでなく、被害者への損害賠償、事故調査のための費用など、膨大なコストが発生します。
さらに、低下したブランドイメージを回復し、離脱した顧客を補うための新規獲得コストも重くのしかかります。最悪の場合、これらの経済的損失が重なり、事業の存続そのものが危ぶまれるケースも少なくありません。
●法的リスク
ランサムウェア被害により個人情報が流出した(または流出した恐れがある)場合、企業は法的責任を負います。
2022年4月施行の改正個人情報保護法では、一定の条件を満たす漏洩が発生した際、個人情報保護委員会への報告と本人への通知が義務化されました。(※2)万が一、事実を隠匿したり報告を怠ったりした場合には、法律違反として社名の公表や、法人に対して罰金が科されるリスクがあります。
ランサムウェアの標的に選ばれやすいのは、どのような企業でしょうか。ここでは、業種や規模による傾向の違いを説明します。
●業種による違い
製造業や物流業のように業務停止がサプライチェーン全体に波及する企業が狙われやすいのが特徴です。納期や納入責任という弱みを突くことで、攻撃者は身代金の支払いを強硬に迫ります。
また、医療機関や公共インフラなど、停止が社会混乱や人命に直結する組織も、その公共性の高さゆえに優先的なターゲットとなっています。
●企業規模による攻撃の違い
現在は規模にかかわらず「データの暗号化」と「窃取した情報の暴露」を組み合わせた「二重脅迫」が主流です。
特に中堅・中小企業は、限られた予算ゆえにVPN装置の管理やネットワーク監視が手薄になりやすく、攻撃者にとって「侵入の成功率が高い格好の入り口」と見なされています。自社が被害を受けるだけでなく、大手取引先への足がかりとして悪用されるリスクが高まっています。
ランサムウェアに対抗するために企業ができる技術的な対策と、その効果を持続させる戦略について説明します。
ランサムウェア対策で重要な点は、まずは侵入を防ぐことです。その上で、たとえ侵入されたとしても被害が拡大しにくい多層的な防御を実装することです。
●セキュリティパッチの適用
侵入を防ぐには、セキュリティパッチを適用して既知の脆弱性をなくすことが重要です。OSや各種ソフトウェアのアップデート管理はこまめに行いましょう。
●バックアップの戦略的な実施
データが使えなくなってしまった状況から復旧するには、バックアップが必要です。「3-2-1ルール」(3つ以上のコピーを作り、2種類以上のメディアを使い、保管先の1カ所はオフサイトにする)の実践をおすすめします。
●エンドポイント保護ソリューションの導入
エンドポイント(ネットワークの末端に位置するパソコンやスマートフォンなど)を保護するために、マルウェア検知や不正な挙動の感知、端末隔離機能を備えたソリューションを導入しましょう。 このソリューションはEDR(Endpoint Detection and Response)などと呼ばれます。これにより、ランサムウェア感染などの異常を検出した際に該当のエンドポイントを即座にネットワークから切り離し、被害の拡大を防止できます。
●ネットワークセグメンテーション
「部署ごとにネットワークを分ける」「社内LANとサーバー群を分離する」など、ネットワークを複数のセグメント(区画)に分け、互いに通信を制限しましょう。これにより、ランサムウェアを使う攻撃者がネットワークを自由に移動しにくくなります。
●多要素認証の導入
多要素認証(MFA:Multi-Factor Authentication)は、ランサムウェア対策としても有効です。認証アプリや生体認証を組み合わせることで、万が一パスワードを盗まれても突破されにくいシステムになります。
どんなに高度なセキュリティツールを導入しても、それを運用する「人」の意識や「組織」の体制が不十分であれば、ランサムウェアの侵入を許してしまいます。技術的な対策を形骸化させず、組織全体の防御力を高めるための施策を紹介します。
●セキュリティポリシーの策定と周知
データやデバイス、パスワードなどの扱いをルール化し、周知しましょう。これにより、技術的なランサムウェア対策が明確になり、形骸化を防ぎやすくなります。また、サプライチェーンに参加する際の信頼性も向上します。
●従業員向けセキュリティ教育プログラム
全ての従業員を対象に、セキュリティ教育を行いましょう。現在、業務を装った「不審なメール」の添付ファイルを開かせてマルウェアに感染させたり、巧妙に偽装された「怪しいWebサイト(フィッシングサイト)」へ誘導してIDやパスワードを盗み取ったりといった手口が主流となっています。定期的な研修や「標的型メール訓練」を実施し、最新の攻撃事例を共有しましょう。
「心当たりのないメールのリンクはクリックしない」「不自然なログイン画面には情報を入力しない」といった一人ひとりの適切な判断が、ランサムウェアなどの感染リスクを低くします。
●インシデント対応計画の策定
ランサムウェアも含めて、インシデント発生時のプロセスを決めておきましょう。報告や隔離・復旧の手順を明確にしておけば、万が一の際も迅速な対応が可能です。
●定期的なセキュリティ訓練の実施
定期的に社内訓練を実施して、セキュリティの形骸化を防ぎつつ、インシデント対応計画の有効性を確認しましょう。外部の専門機関に依頼して模擬的に攻撃してもらうなど、より本格的な訓練方法もあります。
ランサムウェアは、最悪のケースでは事業の継続を危うくしかねない損害を与えます。そうさせないためには、万が一の際の迅速で適切な対応が重要です。
ランサムウェアに感染してしまった際に重要な初動対応のポイントを説明します。
【ステップ1】感染機器の隔離
まずは、これ以上被害を拡大させないことが先決です。感染してしまったパソコンなどの機器を、ネットワークから物理的に遮断しましょう。具体的にはLANケーブルを抜き、Wi-FiやBluetoothなどの無線通信もオフにします。
【ステップ2】インシデント対応チームの編成
次は、意思決定できる体制が必要になります。インシデント対応チームを招集し、すぐに動ける状態にしましょう。誰が全体の指揮を執るかなどの役割分担は、あらかじめ決めておくことが重要です。
【ステップ3】外部専門家との連携判断
感染経路や操作履歴を把握するため、当事者や関係者への聞き取りを行います。被害の範囲や状況を確認し、セキュリティベンダーなどの専門家に支援を要請すべきか判断しましょう。自社単独では対処しきれないと感じたら、専門家と連携すべきタイミングです。
【ステップ4】法執行機関・公的機関への報告判断
個人情報漏洩の恐れがあるときや、社会的に重要なインフラが被害を受けた場合は、個人情報保護委員会や警察などに状況を報告する必要があります。これらに当てはまらないケースでも、社会への被害拡大を防ぐ観点から各機関への情報提供を検討しましょう。
【ステップ5】ユーザーへの告知と二次被害の防止措置
被害が顧客やユーザーに及ぶ可能性がある場合、状況の概要と注意喚起を速やかに告知します。また、被害拡大やさらなる情報の流出を防ぐため、「特定の機能やサービスの停止」「全ユーザーのパスワード強制リセット」といった緊急的な措置を、被害範囲の把握ができた段階で実施します。なお、詳細な原因や影響範囲が確定した後に、改めて正式なリリースを行います。
ランサムウェアに感染後、業務再開に必要となる復旧プロセスについて説明します。
●バックアップからの復元とプライオリティ
復旧作業を開始する前に、バックアップデータそのものが暗号化や破壊を免れているか、またウイルスが混入していないかを厳密に確認します。
復元に際しては、事業継続計画(BCP)等に基づき、企業の核となる基幹システムから優先順位をつけて段階的に再構築を行います。
●業務再開の判断と二次被害の防止
業務再開は、全機器のウイルススキャンによる安全確認が完了し、脆弱性の修正(パッチ適用やパスワード変更)が済んだ段階で、慎重に判断する必要があります。
再開後も、再感染を防ぐため、先述のEDR等を用いた高度なネットワーク監視を継続し、異常を即座に検知できる体制を維持することが重要です。
ランサムウェア対策を含めた包括的なセキュリティ体制は、段階的な計画に基づいて構築する必要があります。具体的な内容や実施時期は企業ごとに異なりますが、基本施策として主に以下の項目が挙げられます。
●セキュリティポリシーの策定
●セキュリティ研修の導入
●保護すべきデータの特定と定期バックアップの導入
●脆弱性を管理できる体制の構築(月次スキャンやパッチ適用など)
●インシデント対応のマニュアル化
これらの施策を企業の成熟度レベルに応じて段階的に高度化していくことをめざします。
自社に適したロードマップを策定し、外部サービスも活用しながら計画的に実施することで、長期的かつ持続可能なセキュリティ強化が可能になります。
セキュリティ強化のロードマップを策定する際には、「自社のセキュリティ成熟度を把握すること」と、「リスクの大きい領域から優先的に投資すること」の2つの軸を組み合わせて検討することが重要です。
●セキュリティ成熟度の自己評価方法
企業がセキュリティの成熟度を自己評価するには、CMMI(Capability Maturity Model Integration)などの成熟度モデルが適しています。自社が現在どのレベルにあるのかを認識し、段階的な強化の指針としましょう。
●リスクベースのセキュリティ投資判断
すべての脅威に等しく予算を投じることは現実的には困難です。インシデントのリスクを「発生の可能性(脆弱性の有無)」と「発生時の影響(ビジネスへの打撃)」の掛け合わせで評価し、リスクの大きい領域から優先的に投資を行います。これにより、根拠に基づいた納得感のあるセキュリティ予算の策定が可能になります。
セキュリティの強化には、高度な専門知識や、トレンドに合わせた対策が求められます。セキュリティベンダーのサービスも活用しながら、常に最新の技術を取り入れましょう。
以下は、企業が導入を検討すべきセキュリティ技術の一例です。
先述のとおり、EDR(Endpoint Detection and Response)はエンドポイントを監視・保護するソリューションです。XDR(Extended Detection and Response)は、対象をネットワーク全体にまで拡張します。
例えば、日立ソリューションズが提供する「Halcyon」は、「事前阻止」、「被害拡大の防止」、「迅速な復旧」の3つの機能を有し、エンドポイントやサーバーをランサムウェアの脅威から守ることができるソリューションです。
自社の監視業務を外部の専門家チームに委託することで、常時監視が可能です。業務時間外や週末にインシデントが発生した場合でも、適切な初動を期待できます。
「ゼロトラスト」は、内部ネットワークは安全という前提を捨てて、全てのアクセスを検証する考え方です。テレワークやクラウドサービスを活用する職場などでは、ゼロトラストアーキテクチャへの移行によりセキュリティを強固にできます。
技術で防ぎきれない残余リスクをカバーします。損害賠償や調査費用を補填できますが、身代金そのものは補償されないのが一般的であるため、あくまで「復旧と賠償」の備えとして活用します。
高度なセキュリティは一朝一夕に実現できるものではありませんが、ランサムウェア対策は今日からでもできます。以下を参考に、セキュリティ強化の取り組みを始めてみてはいかがでしょうか。
●即日実施すべき緊急対策
・重要なデータのバックアップ状況を確認
・最新のセキュリティパッチを適用
・不審な添付ファイルやURLを開かないよう周知・徹底
●1カ月以内に取り組むべき短期対策
・より戦略的なバックアップ:「3-2-1ルール」の導入や、削除不能なオフライン保管の検討など。
・多要素認証(MFA)の導入:VPNやクラウドサービスなど、外部との接点に優先的に実装。
・有効な外部サービスの導入:エンドポイント保護やゼロトラストアーキテクチャなど。
●半年以内に構築すべき中期的対策フレームワーク
・セキュリティ強化ロードマップの策定:経営戦略と連動した長期的な投資計画を立てる。
・セキュリティポリシーと対応計画の策定:組織的なルールと有事の初動フローを固める。
・継続的なセキュリティ教育と訓練:社員の意識を定着させ、形骸化を防ぐ仕組みを作る。
実際にセキュリティを強化するには、リスクを定量的に評価して投資対効果の高い施策を見極め、自社に適したロードマップを策定することが重要です。また、継続的な改善のために定期レビューを実施して、自社のセキュリティ成熟度を確認しましょう。
