ランサムウェア攻撃とは？
被害事例から学ぶ最新ランサムウェア対策

ランサムウェアは、感染したコンピュータのデータを暗号化して使用不能にし、復旧の見返りに金銭を要求するマルウェアです。IPAの「情報セキュリティ10大脅威」でも上位にランクインするほど、企業にとって深刻なリスクとなっています。

近年では、データを暗号化するだけでなく、窃取した情報を公開すると脅す「二重恐喝」というタイプが主流であり、攻撃グループによる犯行も組織化されています。
その狙いは金銭だけでなく、事業妨害も含まれ、あらゆる業種・規模の組織がターゲットとなる傾向があります。

ランサムウェア攻撃を効果的に防ぐためには、攻撃者がどのような手口で組織のネットワークに侵入するのか、その感染経路を理解することが不可欠です。
以下では主な感染経路を紹介します。

テレワークの普及に伴い、社外から社内ネットワークへ安全に接続するためのVPN機器の利用が拡大しましたが、このVPN機器の脆弱性が攻撃の侵入口として悪用されるケースが増加しています。
近年の警視庁の調査※によると、ランサムウェア被害にあった企業・団体の感染経路の約6割が「VPN機器の脆弱性」で占めており、その危険性が浮き彫りになっています。

攻撃者は、インターネット上で脆弱性のあるVPN機器を探索し、セキュリティパッチが適用されていない古いファームウェアやソフトウェアの欠陥を突いて不正にアクセスします。 一度侵入を許してしまうと、社内ネットワーク全体へと感染を広げ、サーバーやクライアントPCにランサムウェアを仕掛けます。
VPN機器は企業の重要な入り口であるため、常に最新の状態に保つ管理体制が必要不可欠です。

テレワークでのセキュリティ対策について下記記事でもご覧いただけます。

テレワークのセキュリティ対策｜
セキュアな業務環境の構築方法・ツールの選び方

テレワーク導入が進み、さらに昨今では従業員がオフィス以外の場所で業務を行う機会も増えています。 その結果、自宅や外出先での作業に伴う情報漏洩リスクも格段に高まっています。 安全な業務環境を維持するには、単にツールを導入するだけでなく、組織全体での多層的なセキュリティ対策が不可欠です。 本記事では、テレワークに潜む具体的な危険性を整理し、企業が実践すべき対策をわかりやすく解説します。

※出典：令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について（警視庁）

2番目の感染経路として多いのが、リモートデスクトップ経由の侵入です。
リモートデスクトップは、遠隔地にあるサーバーやクライアントPCを操作するための便利な機能ですが、セキュリティ設定が不十分な場合、ランサムウェアの侵入経路となります。
特に、インターネットに直接公開されているリモートデスクトップのポートに対して、攻撃者がIDやパスワードを総当たりで試行する「ブルートフォース攻撃」を仕掛ける手口が一般的です。

推測されやすい安易なパスワードを設定している、あるいは多要素認証を導入していない場合、認証を突破されてシステムを乗っ取られ、ランサムウェアを展開されるリスクが非常に高まります。

その他の感染経路として、メールを悪用した手口があります。
取引先や公的機関、あるいは自社の管理者などを装った偽装メール（スパムメール）を送りつけ、受信者に不正な操作をさせる手口は、古くからある典型的な感染経路です。
メールに添付されたWordやExcelファイルに含まれるマクロを実行させたり、本文に記載されたURLをクリックさせて不正なサイトへ誘導し、マルウェアをダウンロードさせたりします。

最近では生成AIで自動生成された自然な日本語メールも増えており、見分けがつかないケースも多発しています。従業員が一人でも開封してしまうと、感染が全社に拡大する恐れがあるため、フィッシングメール訓練や添付ファイル制御の導入が必要になってきます。

普段利用している正規のWebサイトが攻撃者によって改ざんされ、マルウェアを拡散する踏み台にされることがあります。
OSやブラウザ、プラグインなどのソフトウェアの脆弱性を利用して、サイトを閲覧しただけでユーザーが意図しないうちにランサムウェアが自動的にダウンロード・実行されてしまう攻撃を「ドライブバイダウンロード攻撃」と呼びます。

定期的なセキュリティスキャンで自社サイトの安全性を確認するとともに、利用するPCのソフトウェアを常に最新の状態に保ち、脆弱性を解消しておくことが感染防止につながります。

ここまで主な感染経路を紹介しましたが、近年では新たなランサムウェア攻撃の手法が増えており、対策の必要性が急務となっています。その中でも代表的な2つの最新のランサムウェア攻撃を次章でご紹介します。

新たな攻撃の一つとして「ノーウェアランサム（Nowhere Ransom）」と呼ばれる新しいタイプの攻撃が確認されています。これは、従来のようにデータを暗号化して身代金を要求する手口ではなく、情報を窃取して直接脅迫するタイプの攻撃です。

攻撃者は企業からデータを盗み出したうえで、「支払わなければ公開する」「取引先に流出を知らせる」などの恐喝型の情報リーク攻撃を行います。暗号化を伴わないため、従来のランサムウェア対策ソフトでは検知が難しく、被害が発覚しにくい点が大きな特徴です。

このようなノーウェアランサムは、企業の信頼やブランド価値を直接的に損なうリスクが高いため、データ漏洩対策やアクセス権限の最小化など、より包括的なセキュリティ対策が求められます。

もう一つの新しい脅威が、生成AI（Generative AI）を悪用したランサムウェア攻撃です。
攻撃者はAIを利用して、より自然で説得力のあるフィッシングメールやチャットメッセージを自動生成したり、マルウェアコードをAIで最適化・自動生成したりするなど、従来よりも短期間で高精度な攻撃を仕掛けられるようになっています。
実際に、トレンドマイクロ社の報告によると、AIが生成したフィッシングメールは文法や語彙の不自然さがほとんどなく、人間の目では本物と区別がつかないケースも増えています。

今後はAIの高度化により、攻撃の自動化・大規模化が加速するリスクが懸念されており、AIツール利用時のガイドライン整備や、情報漏洩対策の強化が急務となっています。

生成AIによる被害事例やリスクの詳細は下記記事で詳しく解説しています。合わせてご覧ください。

生成AIの情報漏えい事例｜
実例から学ぶ原因とセキュリティ対策

生成AIは業務効率化に貢献する一方、情報漏洩のリスクをはらんでいます。 実際に日本国内外で機密情報が外部に流出する事例が発生しており、その原因と対策を理解することが不可欠です。 本記事では、具体的な事例を基に生成AIによる情報漏えいの原因を整理し、企業が取り組むべきセキュリティ対策について解説します。

ランサムウェアによる被害は、単にデータが暗号化されるだけにとどまりません。近年、警察庁が報告する被害件数は依然として高い水準で推移しており、企業活動に与える影響は深刻化しています。
ここでは、企業が直面する具体的な3つの被害について解説します。

ランサムウェアの最も直接的な被害は金銭的損失です。攻撃者はデータ復旧と引き換えに高額な身代金を要求しますが、支払ってもデータが戻る保証はありません。
また、復旧作業や専門家への依頼費用など、総コストは身代金をはるかに上回ることがあります。

ランサムウェアに感染すると、サーバーやシステムを停止せざるを得ず、業務が中断します。
その結果、顧客対応や出荷、製造ラインが止まり、売上機会の喪失や取引停止などの深刻な影響が生じます。

実際に、2025年9月には大手飲料メーカーのアサヒグループホールディングスが攻撃を受け、一部の製造・出荷システムが停止したと発表しました。その影響で一時的に飲食店や小売店で一部商品の欠品が発生するなど、サプライチェーン全体にも影響が波及しています。

このように、１つの企業が攻撃を受けると、取引先・顧客へも影響が広がるため注意が必要です。

近年のランサムウェア攻撃では、データを暗号化するだけでなく、事前に情報を窃取し、「身代金を支払わなければ情報を公開する」と脅迫する「二重恐喝」が主流です。
これにより、顧客の個人情報や取引先の情報、自社の技術情報といった機密データが漏洩するリスクが生じます。

情報漏洩が発生すれば、被害を受けた顧客や取引先への対応、損害賠償、監督官庁への報告義務などが発生し、企業のITガバナンスに対する信頼は大きく揺らぎます。
一度失った社会的信用を回復するには長い時間と多大な労力を要し、企業の存続そのものを脅かす事態に発展しかねません。

巧妙化するランサムウェア攻撃から企業を守るには、インシデントの発生を前提とした事後対応の準備と同時に、被害を未然に防ぐための予防対策を徹底することが何よりも重要です。
効果的なセキュリティ対策を講じ、攻撃を防ぐには、技術的なアプローチと、従業員の意識や運用ルールといった人的なアプローチの両面から取り組む必要があります。

ここでは、具体的な予防策を解説します。

ランサムウェアへの対策として、技術的なセキュリティ対策は防御の土台を築く上で不可欠です。
侵入、検知、防御、復旧の各段階で多層的な防御策を講じることで、攻撃のリスクを大幅に低減できます。また、近年では、オンプレミス環境だけでなくクラウドサービスの利用も広がっており、それぞれの環境に応じたセキュリティ対策が求められています。

■OSやソフトウェアを常に最新の状態に保つ
ランサムウェアを含む多くのマルウェアは、OSやソフトウェアに存在する脆弱性を悪用してシステムに侵入します。 このリスクを軽減する最も基本的かつ重要な対策が、セキュリティパッチを迅速に適用し、システムを常に最新の状態に維持することです。

これはPCのOSだけでなく、サーバー、VPN機器などのネットワーク機器、業務で使用するアプリケーションなど、社内のあらゆるIT資産が対象となります。
パッチ管理を徹底することは、基本的なウイルス対策の第一歩であり、既知の脆弱性を放置する行為は攻撃者に侵入の機会を与えることに他なりません。

パッチ管理とは？運用サイクルにおける課題と解決策

OSやアプリケーションソフトウェアなどは、リリース後にセキュリティ上の脆弱性が発見されることが少なくありません。そうした脆弱性を放置しているとサイバー攻撃を受けやすく、重大なセキュリティリスクを招く可能性があるため、パッチ管理を通じた適切な対策が必須です。本記事では、パッチ管理の重要性や実施する際の流れ、パッチ管理の運用サイクルにおける課題と解決策を解説します。

■セキュリティソフトの導入で未知の脅威への防御を強化する
これまで一般的だったアンチウイルスソフトは、過去に発見されたウイルスの定義ファイルをもとに検知・防御を行う仕組みでした。
しかし、近年はAIを活用した新種のマルウェアやゼロデイ攻撃が増加しており、既知のウイルスだけでは防ぎきれないケースが増えています。

そのため、現在はEDR（Endpoint Detection and Response）やAIを活用したセキュリティ製品による未知の脅威検知が主流となっています。

なかでも、次世代ウイルス対策ソフト「Deep Instinct」はAIによるディープラーニング技術を活用し、未知のマルウェアを実行前に予測・防御できる先進的なソリューションです。
攻撃の兆候を検知し、被害を最小限に抑える仕組みが評価され、多くの企業が次世代型防御ソリューションとして導入を進めています。

■VPNやリモートアクセスの認証を強化する
テレワークの普及で利用が拡大したVPNやリモートデスクトップは、攻撃者にとって格好の標的です。 これらの外部からのアクセス経路を守るためには、認証の強化が極めて重要となります。
IDとパスワードによる認証だけに頼るのではなく、SMSや認証アプリなどを組み合わせた多要素認証（MFA）を導入することで、不正アクセスのリスクを大幅に低減できます。

また、ファイアウォールやVPN機器のファームウェアを常に最新の状態に保ち、脆弱性を解消しておくことや、不要なポートを閉鎖するといった基本的な設定の見直しも侵入防止に効果的です。

■定期的にバックアップを取得する（他セキュリティ対策で多層防除も必要）
バックアップは、ランサムウェア感染時の事業継続を支える重要な手段であり、万が一データが暗号化されてしまった場合に備える「最後の砦」です。しかし、バックアップだけで被害を完全に防げるわけではなく、万能な対策ではありません。
実際には、バックアップデータからの復旧には時間がかかり、業務再開が遅れる可能性があります。また、近年では攻撃者がバックアップ領域を狙い、データを暗号化・削除するケースも増えており、バックアップ自体が被害に遭うリスクも無視できません。

そのため、バックアップ運用ではアクセス制限や多層防御の仕組みを導入し、被害範囲を最小化する対策が不可欠です。具体的には、ネットワークから隔離されたストレージの活用や、異なる媒体で複数コピーを管理する**「3-2-1ルール」（3つのコピー／2つの異なる媒体／1つはオフサイト）**の徹底が推奨されます。

バックアップを適切に守りつつ他のセキュリティ対策と組み合わせた多層的な防御体制を構築することが重要です。

最新のセキュリティシステムを導入しても、それを利用する従業員のセキュリティ意識が低ければ、容易に攻撃の糸口を与えてしまいます。実際に、フィッシングメールの開封や不適切なパスワード管理など、人為的なミスが侵入の原因となるケースは後を絶ちません。
そこで、ここでは組織として取り組むべき人的・運用面の対策をご紹介します。

■不審なメールやSMSのリンク・添付ファイルを開かない
ランサムウェアの主要な感染経路である標的型攻撃メールへの対策として、従業員一人ひとりの注意が必要です。
送信元のメールアドレスが実在の組織のものか、件名や本文の日本語に不自然な点はないかなど、少しでも疑わしいと感じたら安易に添付ファイルを開いたり、URLをクリックしたりしないことを徹底しましょう。

特に、マクロ付きのOfficeファイルやZIP形式の圧縮ファイルには警戒が必要です。 技術的な対策として、メールゲートウェイで添付ファイルを自動的に検査するサンドボックス機能や、不正な要素を取り除くメール無害化ソリューションを導入することも有効な手段となります。

■推測されにくい複雑なパスワードを設定し使い回さない
不正アクセスを防ぐ基本は、強固なパスワードの管理です。
誕生日や名前など個人情報から推測されやすい文字列を避け、英大文字、小文字、数字、記号を組み合わせた、できるだけ長く複雑なパスワードを設定することが求められます。
さらに重要なのが、複数のサービスで同じパスワードを使い回さないことです。

一つのサービスからパスワードが漏洩した場合、他のシステムへも連鎖的に不正アクセスされる「パスワードリスト攻撃」の被害に遭うリスクが高まります。
パスワード管理ツールなどを活用し、サービスごとに固有のパスワードを設定するよう注意が必要です。

■全従業員を対象としたセキュリティ教育を定期的に実施する
セキュリティ対策は、情報システム部門だけの課題ではありません。
全従業員が当事者意識を持つためには、継続的なセキュリティ教育が不可欠です。
組織のセキュリティポリシーやインシデント発生時の報告ルールを周知するだけでなく、最新のサイバー攻撃の手口や事例を紹介し、脅威を身近なものとして理解させることが重要です。

また、実際に攻撃メールを模したメールを送信する「標的型攻撃メール訓練」を定期的に実施することで、従業員の対応力を高め、実践的な知識を身につけさせることができます。 訓練を通じて、組織全体のセキュリティ意識を向上させる取り組みが求められます。

どれほど入念な予防策を講じても、攻撃を100%防ぎきることは困難です。
そのため、万が一ランサムウェアに感染してしまった場合に、いかに被害を最小限に食い止め、迅速に事業を復旧させるかという事後の対応（インシデントレスポンス）が極めて重要になります。

パニックに陥らず、冷静かつ的確な対処を行うためには、事前に対応手順を定め、関係者間で共有しておく必要があります。 ここでは、感染が発覚した際に行うべき具体的な対処のステップを解説します。

ランサムウェアの感染が疑われる、あるいは身代金要求画面が表示された端末を発見した場合、最初に行うべき最も重要な初動対応は、その端末をネットワークから即座に隔離することです。
このステップの目的は、ランサムウェアが他のサーバーやPC、ファイルサーバーなどへ感染を拡大させるのを防ぐことです。
具体的には、有線LANであればLANケーブルを引き抜き、無線LAN（Wi-Fi）であれば接続をオフにします。

自己判断で電源をシャットダウンすると、調査に必要なメモリ上の情報（ログ）が失われる可能性があるため、まずはネットワークからの物理的な切り離しを優先します。

感染端末を隔離した後は、被害の全体像を把握することに努めます。
どの端末が感染したのか、どの範囲のファイルが暗号化されたのか、ファイルサーバー上の共有フォルダに影響は及んでいるかなどを確認します。
また、表示されている身代金要求メッセージのスクリーンショットを撮るなど、状況を記録しておくことも重要です。

把握した情報は、事前に定められたエスカレーションルートに従い、速やかに情報システム部門の責任者や経営層、CSIRT（ComputerSecurityIncidentResponseTeam）などの担当部署へ報告します。 状況によっては、顧客や取引先への報告も必要になります。

被害状況を把握したら、バックアップデータからの復旧を試みます。
感染端末やサーバーを初期化し、クリーンな状態でOS・アプリを再インストールした後、正常なバックアップデータを使って復旧します。
バックアップ自体が感染していないか確認することも忘れないでください。

社内での対応と並行して、外部の専門機関へ相談することも重要です。
ランサムウェアによる被害はサイバー犯罪であるため、速やかに管轄の都道府県警察のサイバー犯罪相談窓口へ通報し、被害届の提出を検討します。 警察に相談することで、捜査に関する情報提供や、今後の対策に関する助言を得られる場合があります。

また、より詳細な被害調査や原因究明が必要な場合は、デジタルフォレンジックの専門知識を持つセキュリティベンダーに調査を依頼します。 専門家による調査は、侵入経路の特定や被害範囲の正確な把握、そして再発防止策の策定に不可欠です。

身代金の支払いは避けるべきです。
データを人質に取られ、事業が停止している状況では、身代金を支払ってでも早期に復旧したいという判断に傾きがちです。
しかし、支払ってもデータが復旧される保証は一切ないため、攻撃者を資金面で支援することになり、再攻撃のリスクも高まります。

ランサムウェアの脅威は日々巧妙化しており、既知の対策だけでは防ぎきれない時代になっています。
特に、AIを悪用した攻撃やゼロデイ攻撃に対応するには、“未然に防ぐ”仕組みの導入が不可欠です。

本記事で紹介したDeep Instinctは、AIによるディープラーニングを活用し、未知のマルウェアを実行前に予測・防御できる次世代セキュリティ製品です。EDRの導入を検討中の企業にとって、有力な選択肢となるでしょう。
詳細を詳しく知りたい方は、お問い合わせください。

また、より詳しいセキュリティ策のポイントや、セキュリティ体制の見直し方法を知りたい方は、以下のお役立ち資料「情報セキュリティガイド」もぜひご覧ください。