IPA(情報処理推進機構)の「情報セキュリティ10大脅威」では、組織向け脅威の1位が「ランサム攻撃による被害」とされ、2026年版でも“11年連続11回目”の選出が明記されています。
ここまで継続して取り上げられていることは、ランサムウェアは「一部の大企業だけが狙われる特殊な事件」ではなく、組織規模に関係なく事業に直撃し得るリスクと言えます。
業務停止や取引先対応、復旧費用だけでなく、情報漏えいが絡めば信用や契約にも波及し、経営判断の問題になりやすいため事態が深刻化しやすいです。
本記事では、警察庁の統計資料を軸に、ランサムウェアの主な感染経路(=侵入口)とその割合を押さえたうえで、優先度の高い対策と、万が一感染したときの初動までを、分かりやすく解説します。
なお、ランサムウェア攻撃へは事前対策が重要となっており、脆弱性診断やペネトレーションテストが有効です。CyberCrewでは、複数名のホワイトハッカーが在籍し、攻撃者が実際に狙うポイントから現場感のあるテストでリスクを評価します。まずは無料でご相談ください。
TABLE OF CONTENTS
ランサムウェアとは?被害事例と最新の攻撃手口
ランサムウェアは、突然ファイルが暗号化されて身代金を要求されるだけの攻撃ではありません。侵入から暗号化までにはいくつかの段階があり、最近は「気づかれないまま準備を進め、最後に一気に業務を止める」やり方が目立ちます。
まずはランサムウェアの特徴と最新の攻撃手口、被害事例について解説します。
ランサムウェアの特徴(定義・被害の全体像)
ランサムウェア(Ransomware)は、Ransom(身代金)とSoftware(ソフトウェア)を掛け合わせた呼び名です。
感染すると、PCやサーバのファイルが暗号化され、業務データが読めなくなります。
そのうえで「復旧の鍵と引き換えに身代金を支払え」と要求され、業務継続そのものが人質に取られる形になります。
さらに近年は、単に暗号化して終わりではありません。警察庁の資料「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」では、調査対象の被害のうちデータの窃取(持ち出し)が確認された割合が74%とされており、暗号化に加えて情報公開をちらつかせる二重脅迫(ダブルエクストーション)が“当たり前の手口”になっている状況がうかがえます。
ランサムウェア対策の難しい点は、「バックアップがあれば大丈夫」と言い切れない点。同じ資料では、感染前の状態まで復元できたのは48件中7件と14.6%にとどまっています。つまり、データの復旧は難しく、時間も費用もかかりやすいということです。
被害報告件数も増加傾向が続いており、警察庁資料では令和7年上半期におけるランサムウェアの被害報告件数は 116 件と、令和4年下半期と並び最多となっています。企業・組織の規模の大小に関係なく、現実の経営リスクとして向き合う必要があります。
ランサムウェアの最新攻撃手口【2025-2026年の傾向】
ここ数年のランサムウェア攻撃は、「侵入の入口を突いて、静かに準備し、最後に大きく止める」という傾向があります。
ポイントは次の4つです。
- 「ばらまき」から「標的型」へ
手当たり次第に感染させるより、侵入しやすい入口(VPN/RDP/委託先接続)を見つけ、確実に止めに来るケースが増えています。これは“侵入口”の対策が最優先になる理由でもあります。 - 二重脅迫(ダブルエクストーション)の常態化
警察庁資料では、手口別報告件数として75件中70件(93.3%)が二重恐喝型とされています。。暗号化の復旧だけでなく、漏えい対応・取引先説明・法務対応まで広がり、企業経営への影響が大きくなります。 - 侵入後すぐ暗号化しない(準備期間がある)
認証情報の探索、権限昇格、横展開(社内で広げる動き)などを経て、最後に暗号化という流れが典型です。だからこそ「入口ログ」「認証ログ」「EDRの検知」が“途中で止める最後のチャンス”になります。 - 生成AIの普及で、フィッシングが“より自然に”
攻撃メールの日本語が不自然で見抜ける時代は終わりつつあります。生成AIの悪用により、文章の品質が上がり、偽装のハードルが下がることが指摘されています。
(だからといってメールが主経路に戻った、という話ではありません。後述の通り、統計上はVPN/RDPが中心です。)
加えて、RaaS(Ransomware as a Service)の拡大により「開発する人」と「侵入する人」と「交渉する人」が分業化し、攻撃の裾野が広がっています。
ランサムウェア被害事例5選
感染経路をイメージしやすいように「どこから入られて、何が起きたか」を軸に整理します。
① 大手ゲームメーカー(2020年)— VPN経由の侵入が疑われ、個人情報漏えい
大手ゲームメーカーCapcomは、2020年の不正アクセスに関する報告で、VPN機器経由の侵入の可能性に言及し、個人情報等の漏えいについて公表しています。
「VPN=安全な通路」ではなく、「VPN装置・認証が破られた瞬間に“社内入口”になる」ことが分かります。
② KADOKAWA/ドワンゴ(2024年)— サービス停止が連鎖し、社会的影響が拡大
2024年6月、KADOKAWAはグループ複数サイトの障害について、データ保全のため関連サーバを停止した旨を公表しています。(参照:株式会社ドワンゴ「当社サービスへのサイバー攻撃に関するご報告とお詫び」)
後日の公表では、ランサムウェア攻撃による情報漏えいに関する対応も継続していることが示されています。
③ 医療機関(病院)— 電子カルテ停止は「診療の停止」に直結
医療機関の被害例として、徳島県のつるぎ町立半田病院にて、ランサムウェア感染により電子カルテや会計などが使用不能となった事例があります。(参照:つるぎ町立半田病院「コンピュータウイルス感染事案有識者会議調査報告書について」)
医療は「止められない」「復旧を急ぐ」ため、攻撃者から見れば交渉が成立しやすい業種として狙われやすい現実があります。
④ 大手メーカー(サプライチェーン経由)— “自社が堅くても”取引先・委託先が入口になる
小島プレス工業株式会社のサプライヤー側で発生したインシデントが連鎖し、トヨタの国内工場で生産が停止した事例があります。
直接狙われなくても、保守ベンダー接続、委託先VPN、子会社ITなどが弱点になり得ます。。
⑤ 海外大手メーカー— グローバル展開ほど「感染範囲」が経営損失に直結
海外では、拠点が多いほど影響範囲が広がり、復旧コストが跳ね上がる事例が繰り返されています(PC・サーバの大量再構築、操業停止、サプライチェーン影響など)。そして統計面でも、警察庁資料(令和7年)では、調査・復旧費用が1,000万円以上の割合が59%、さらに復旧期間については「1週間未満」21%に対し、1週間以上(復旧中を含む)が合計79%という結果が示されています。
ランサムウェアの感染経路6選(割合の大きい順)
ここからが本題です。警察庁の統計資料を基に、主な感染経路を“多い順”に6つ整理します。
結論から言うと、対策の中心は「VPNとRDP(リモートデスクトップ)」です。
警察庁資料(令和7年)では、侵入経路の内訳として VPN機器 62% / リモートデスクトップ 22%と示されています(残りは「その他」)。
① VPN機器からの侵入(62%)
VPNが狙われる理由は、VPNが外部から社内ネットワークへ入るための“扉”だからです。
テレワークや拠点間接続でVPNを使う企業が増えた結果、攻撃者側も「まずVPN装置を探し、穴があればそこから入る」という動きが定着しています。
入口が一本化されやすいぶん、狙われるリスクが上がります。
典型的なリスクは次の3つです。
- ファームウェア未更新:
既知の脆弱性が放置されやすく、更新漏れがそのまま侵入余地になります。更新作業が属人化していると、緊急対応が必要なタイミングほど抜けやすい点も要注意です。 - 旧型機器の放置:
サポート切れ・更新不能の機器は、見つかった弱点を塞ぐ手段がありません。運用でカバーしようとしても限界があり、“使い続けるほどリスクが大きくなる”状態になりがちです。 - 認証情報の漏えい・推測:
パスワードだけの運用だと、漏えいした認証情報の使い回しや推測が成立しやすく、入口としての侵入難易度が下がります。
対策としては、以下の方法が例として挙げられます。
- ファームウェアを常に最新に:
まずは機器の棚卸し(型番、設置場所、保守期限、担当者)と更新計画を整え、最新状態を保てるようにします。 - VPNにMFA(多要素認証)を導入:
漏れたパスワードだけでは突破できない状態を作れます。攻撃者の成功確率を下げられる、費用対効果の高い方法です。 - 古い機器は入れ替え:
更新ができない装置は、残す理由よりリスクが上回りやすいことがあります。更改が難しい場合でも、公開範囲の見直しや接続条件の厳格化をセットで検討しましょう。
統計上もVPNが主要な感染経路として挙がる以上、ここを後回しにするほど、他の対策に投じる費用対効果は下がってしまいます。
まずは入口を締める――VPNはその“最優先ポイント”です。
② リモートデスクトップ(RDP)からの侵入(22%)
RDP(リモートデスクトップ)は、外部からPCやサーバにログインして操作するための機能です。
保守運用やリモート作業に便利な反面、設定を誤るとインターネットに“直結した社内端末”を自分で用意してしまうのと同じ状態になります。
攻撃者から見れば、玄関の鍵を外に向けてぶら下げているようなもので、見つけられた瞬間に「試す価値がある入口」になりやすいのが実情です。
狙われる理由は主に次の通りです。
- 外部から直接接続できる構造になりやすい:
公開設定が残っていると、社外のどこからでも到達できる入口になります。特に、テレワーク対応で急いで開けたRDPが、そのまま残っているケースは少なくありません。 - デフォルトの3389番ポートが狙われやすい:
攻撃者は「まず見つける」ことから始めます。RDPは典型的な探索対象で、見つかれば次の攻撃(認証突破や脆弱性悪用)に進みやすくなります。 - 弱いパスワードが総当たり・パスワードスプレーの標的になる:
短いパスワードや使い回しはもちろん、誕生日や名前を用いたパターンは突破されやすく、アカウントロックが適切でないと成功率が上がります。
対策方法としては「RDPを消す」か「露出を極小化する」が基本です。
- インターネットへRDPを公開しない(最優先):
可能ならRDPの公開自体をやめます。ここができればリスクは大きく下がります。 - やむを得ず使うならVPN経由のみ許可:
RDP単体を外に出さず、まずVPNで社内側に入ってから使う構成にします。 - 接続元IP制限:
固定IPや特定拠点からのみ許可し、「社外のどこからでも入れる状態」をなくします。 - 強固な認証(長いパスフレーズ+MFA):
パスワードだけで守らない、という設計に寄せるのが現実的です。 - (補助策として)ポート変更:
探索の“当たりやすさ”は下げられますが、根本対策ではありません。公開している限り、いずれ見つかる前提で考えるべきです。
統計上もRDPが侵入経路の上位に挙がる以上、RDPは「便利な機能」ではなく、管理対象の入口として設計・運用する必要があります。
公開状態の点検と、接続条件の厳格化を“最初のチェック項目”に置くのが安全です。
③ メールの添付ファイル・リンク
メールは“昔ながら”の感染経路と言われますが、今でもゼロにはなりません。
特に厄介なのは、請求書・見積・配送通知・取引先連絡といった業務の文脈に自然に溶け込ませる形で、添付ファイルやリンクを踏ませる手口が継続している点です。
よくある侵入パターンは次の通りです。
- Office/PDFを装った添付で、「有効化」「許可」などの操作を促す:
開封後に追加操作を求められた時点で、一度手を止めるべきサインです。業務に必要な資料ほど、疑いにくいのが問題になります。 - リンク先が正規サイト風でも、ドメインが微妙に違う:
見た目が似ていても、送信元やリンク先の表記に小さな違和感が残ることがあります。URL短縮やリダイレクトが絡むと、さらに判別が難しくなります。 - 返信を急がせる(心理的に判断を鈍らせる):
「至急」「本日中」「至急対応」など、焦らせる要素が入ると判断精度が落ちます。急がせる連絡ほど、確認のワンクッションが必要です。
対策は「技術」と「運用」の両輪で考えるのが現実的です。具体的な方法を4つ挙げます。
- メールフィルタリング(添付・URLの検査):
入口で落とせるものは落とし、怪しい添付やリンクを自動で隔離・警告できる仕組みを用意します。 - マクロ自動実行の無効化(組織ポリシーで統制):
個々人の判断に任せず、仕組みとして実行されにくい状態を作ります。 - 不審メールの報告フロー:
誰に報告するか、何を添えるか(件名・送信元・スクリーンショット等)、どれくらい急ぐかを決めておくと、迷いが減ります。 - 従業員教育:
ポイントは“開かない”の徹底より、「迷ったら止めて報告」を習慣化することです。判断に自信がない人でも安全側に倒せる運用が強くなります。
なお、生成AIの普及でメール文面が自然化しているという指摘もあり、「文章が丁寧」「日本語がきれい」だけでは安全性を判断できません。
見た目の印象ではなく、送信元・リンク先・要求される操作といった構造で確認する癖を付けることが重要です。
④ Webサイト閲覧(ドライブバイダウンロード)
改ざんされた正規サイトや、不正広告(マルバタイジング)を踏み台にして、「閲覧したこと」そのものが被害の入口になるケースがあります。
VPNやRDPほど統計上は目立ちにくい一方で、厄介なのは「自分は怪しいサイトを見ないから大丈夫」という発想が通用しない点です。
業務で日常的に閲覧しているサイトでも、広告枠や外部スクリプト、委託先の更新などを経由して、意図せず危険なコンテンツが混入することがあります。
つまり、注意喚起をしても、最終的に“個人の注意”だけに寄せると必ず抜けが出ます。忙しいときほどクリックや閲覧の判断は速くなり、そこに攻撃が入り込む余地が生まれます。
対策方法としては、現場で回しやすいものに絞ると次の3点が現実的です。
- ブラウザ/プラグインを最新化:
攻撃は脆弱性を突く形で成立することが多く、更新が止まった環境は温床になります。OSだけでなく、ブラウザや拡張機能、関連コンポーネントの更新も含めて“当たり前に最新”の状態を維持することが基本です。 - 危険サイトへのアクセス制御(DNS/プロキシ/フィルタ):
利用者の判断に頼らず、組織側で危険なドメインやカテゴリをブロックできるようにします。完全にゼロにはできなくても、入口を減らすだけで事故確率は下がります。 - エンドポイント対策(不審挙動の検知・遮断):
すり抜けは起こり得る前提で、端末側で不審な挙動を検知し、隔離・遮断できる体制を用意します。感染後の拡大を止める“最後の防波堤”として効きます。
「気をつけましょう」だけでは守れない領域だからこそ、技術で“うっかり”を吸収する設計に寄せるのが、現実的なWeb閲覧対策です。
⑤ ソフトウェア・ファイルのダウンロード
海賊版ソフトや無料ツール、便利系ユーティリティを装った不正ファイルは、今も変わらず定番の侵入口です。特に中小企業では「業務を早く進めたいから」「経費をかけたくないから」という理由で、現場が自己判断でインストールしてしまい、結果として端末が“野良化”しやすくなります。
一度こうなると、どの端末に何が入っているのか把握できず、更新や削除も追いつきません。
攻撃者側から見れば、管理が行き届いていない環境ほど侵入の成功確率が上がります。
対策はシンプルで、まずはルールを徹底することが重要です。
- 正規サイト/正規ストアからのみ入手:
出所が不明な配布サイトや広告経由のダウンロードは避け、入手元を固定します。 - 管理者の許可なくインストールしない(申請フローを用意):
禁止だけだと現場は回避策を探します。必要なソフトを迅速に承認できる仕組みを作るのが現実的です。 - アプリ制御(ホワイトリスト等)を検討:
許可したアプリだけ実行できる状態に寄せると、そもそも不正ファイルが動きにくくなります。
「便利だから入れる」を放置しないことが、最もコスト効率の良い入口対策になります。
⑥ USBメモリなどの外部記録メディア
USBメモリなどの外部記録メディアは、“物理の感染経路”です。
出所不明のUSBを挿さないのは当然として、実務で見落とされがちなのが、取引先・委託先とのデータ受け渡しがUSB頼みになっている現場です。
「メールだと容量制限がある」「共有サービスが使えない」といった事情から、USBが常態化していると、そこが入口になり得ます。
さらに、誰がいつどの端末に挿したのか追跡しにくく、事故が起きたときに原因特定が難しくなる点もリスクです。
対策は段階的に進めるのが現実的です。
- 出所不明USBは接続しない(ルールとして明文化):
口頭注意だけでは徹底されません。社内ルールとして明文化し、迷ったときの判断基準(“不明なら挿さない”)を統一します。 - 外部メディア利用ポリシーの策定:
誰が、何目的で、どう持ち出し・持ち込みするかを決めます。例えば、使用申請、管理台帳、ウイルススキャン手順、保管方法まで決めておくと運用が安定します。 - 高リスク環境ではUSBポート制御/無効化も選択肢:
重要サーバや特定端末では、物理的な入口を閉じる方が確実です。業務影響とのバランスを取りながら、部門・端末単位で段階的に適用します。
“うっかり挿してしまうこと”を前提に、仕組みとルールで事故確率を下げるのがUSB対策の基本です。
ランサムウェアの感染経路を特定する3つの方法
すでに被害が疑われる場合、「何に感染したか」だけでなく「どこから入られたか」が分からないと再発防止につながりません。
復旧だけを急いで入口を放置すると、同じ弱点から再侵入される恐れが残ります。
まずは原因の当たりを付けるために、現場で実行しやすい確認方法から順に押さえておくと良いでしょう。
① ログ解析による侵入経路の特定
自社でまず着手しやすいのは、ログの確認です。
感染が疑われる場面では「どの端末がやられたか」だけで終わらせず、入口から横展開までの流れを、手元に残っている記録で追いかけます。
最初の当たりを付けるなら、最低限、以下のログは押さえてください。
- 認証ログ:
VPN、AD、クラウド(見覚えのないログイン/失敗の連続/深夜帯のアクセスなど) - ネットワーク/FWログ:
外部からの接続、遮断イベント、想定外の通信(普段出ない宛先や通信量の急増など) - サーバ/アプリログ:
管理画面へのログイン、設定変更、未知の実行(通常運用では起きない操作がないか) - 端末イベントログ:不
審なプロセス、暗号化が始まった時間帯の痕跡(直前に何が動いたかの手掛かり)
ポイントは、「感染した端末だけ」を見ないことです。
実務では、入口になったVPN装置や認証基盤(AD)、踏み台にされやすいサーバを経由して被害が広がるケースが多く、周辺も含めて時系列でつなぐことで初めて筋が見えてきます。
なお、外部へ相談する場面でもログは重要な材料になります。警察庁も、相談時にログ等の保管を推奨しており、慌てて消したり上書きしたりしないよう注意が必要です。
② フォレンジック調査の依頼
「ログが残っていない」「何を見ればいいか分からない」「法的対応や対外説明が必要になりそう」――この条件が揃うなら、フォレンジック(デジタル鑑識)を検討する価値があります。
ランサムウェア事案では、復旧を急ぐほど環境を触ってしまい、後から「何が起きたのか説明できない」状態になりがちです。フォレンジックは、原因究明のためだけでなく、後の判断を守るための“土台づくり”でもあります。
メリットは主に3つです。
- 証拠保全:
ログや端末の痕跡は上書き・改変されやすく、通常の復旧作業だけでも消えてしまうことがあります。専門手順で押さえておくと、後から「いつ・何が・どう起きたか」を説明しやすくなります。 - 侵入経路・横展開の特定:
入口(VPN/RDP/委託先など)から、どこまで広がったかを追えると、再発防止の精度が上がります。復旧後に同じ入口を残してしまう、という最悪のパターンを避けられます。 - 説明責任への備え:
取引先への報告、監督官庁への説明、サイバー保険の手続きなどでは、事実関係の整理が求められます。根拠を持って説明できる状態にしておくことが重要です。
依頼タイミングの目安は、「業務影響が出た時点」ではなく、“漏えいの可能性がある”と判断した時点です。
二重脅迫が主流化しているため、暗号化が目に見えない段階でも、データが持ち出されている可能性があります。暗号化の有無だけで判断してしまうと、対外対応が後手に回りやすい点に注意してください。
③ セキュリティツールによる感染範囲の可視化
EDR(Endpoint Detection and Response)やSIEM(シーム:Security Information and Event Management)を導入している環境であれば、感染端末や影響範囲の把握は一気にやりやすくなります。
ランサムウェア対応で厳しいのは、目に見えて暗号化が始まった端末だけを見ていると、裏で進んでいる動きを見落としやすい点です。
EDRは端末の挙動を軸に、SIEMは各種ログを横断して、異常のつながりを捉えやすくしてくれます。うまく使えば「どこまで広がったか」「何を止めるべきか」の判断材料が揃います。
具体的には、次のような観点で状況を把握できます。
- 端末の不審挙動:
大量のファイル操作や、通常業務では起きにくい暗号化に関連するプロセスの実行など、端末側の“挙動の変化”を検知しやすくなります。 - 横展開の兆候:
認証情報の使い回し、権限変更、管理ツールの悪用といった「社内で広げる動き」は、被害を大きくする前段です。ここを早期に掴めるかどうかで、封じ込めの難易度が変わります。 - 影響範囲の特定:
どの端末・サーバに影響が及んだのかが見えると、隔離やネットワーク遮断を“狙って”実施できます。必要以上に止めず、必要なところは確実に止める判断につながります。
そして何より重要なのは、「暗号化された端末は一台だけ」と思い込まないことです。
侵入後に準備期間がある攻撃では、複数端末が踏み台として使われ、最後にまとめて暗号化が走ることがあります。
目に見える被害の裏側に、別の侵入経路や横展開が残っていないか――その前提で確認を進めることが、再発防止にも直結します。
今すぐできる!ランサムウェア対策8選【優先度順】
感染経路に偏りがあるなら、対策も同じ発想で組み立てたほうが無駄がありません。
あれこれ手を広げるより、まずは侵入に直結しやすい“入口”から潰していく方が、限られた予算でも効果が見えやすいのが実務です。
費用対効果が高いランサムウェア対策を8選紹介します。
① VPN機器・ネットワーク機器の脆弱性対策
統計上、VPN機器は主要な侵入経路として挙げられており、まずここを押さえるのが最短ルートです。
VPN対策でつまずきやすいのは「更新しようにも、そもそも何がどこにあるか分からない」状態です。
そのため、最初にやるべきは、運用を根性論にしないための土台づくりになります。
- 機器棚卸し(型番・設置場所・保守期限):
VPN装置だけでなく、関連するリモートアクセス機器も含めて一覧化します。担当者・管理方法・設定バックアップの有無まで押さえると、緊急時に動けます。 - 定期アップデート(緊急度に応じた運用):
四半期・月次などの定期更新に加え、「緊急性が高い脆弱性」が出たときに臨時対応できるルールを決めます。更新のたびに停止調整が必要なら、業務側との合意形成もセットです。 - サポート切れ機器の撤去・更改(“更新できない”は最大リスク):
更新不能な装置は、脆弱性が見つかった瞬間に守りようがありません。置き換えが難しい場合でも、公開範囲の見直しやアクセス制御の強化で暫定対応しつつ、更改計画を前倒しで進めることが重要です。
VPNは「導入しているから安心」ではなく、「更新と管理が回っているか」で安全性が決まります。ここを整えるだけでも、侵入リスクは現実的に下げられます。
② 多要素認証(MFA)の導入
VPN/リモートデスクトップ(RDP)を使っているなら、入口の認証はMFA(多要素認証)を前提に考えるべきです。
パスワードだけの運用は、使い回し・フィッシング・推測(スプレー攻撃)・情報窃取マルウェアなどで突破されやすく、1度でも漏れると“侵入する扉”が開きます。
重要なのは「どこにMFAを掛けるか」を先に決めることです。
- VPN:
機器側のMFA機能を使うか、SAML/IdP連携(例:Microsoft Entra ID等)やRADIUS連携で、ログイン時に追加認証を必須化します。 - RDP:
インターネットに直で公開せず、VPN経由またはRD Gateway経由に寄せ、ゲートウェイ側でMFAを必須にします(RDP単体を外に出さないのが基本です)。
認証方式は可能ならFIDO2/パスキー、次に認証アプリ(ワンタイム/プッシュ)を優先し、SMSは例外に留めるのが安全です。
加えて、例外アカウントを作りすぎない、管理者ほど厳格にする、端末紛失時の再登録手順を用意する――この運用まで整って初めて“入口対策”として機能します。
③ バックアップの「3-2-1ルール」
バックアップは「取っている」だけでは不十分で、復元できる設計になっているかが勝負です。
基本はよく言われる3-2-1ルールで、考え方はシンプルですが、運用に落とすとリスク対策に差が出ます。
- 3つのコピー:
本番データに加え、少なくとも2つのバックアップを用意します。1つだけだと、破損や暗号化で同時に失うリスクが高まります。 - 2種類のメディア:
同じ種類(同じストレージ製品や同じ仕組み)に偏ると、同じ障害や攻撃の影響をまとめて受けます。別系統の保管先を組み合わせるのが基本です。 - 1つはオフライン(または隔離/不変)保管:
ここが最重要です。バックアップがネットワークに常時ぶら下がっていると、ランサムウェアに“バックアップごと”暗号化される可能性があります。オフライン保管や、隔離(アクセス経路の分離)、不変(イミュータブル)など、攻撃者が触れにくい形にします。
そして最後に必ず押さえたいのが、復元テストです。
バックアップは「いざ戻せるか」を試して初めて意味があります。復旧手順、復元にかかる時間、必要な権限や鍵、復元後に業務が動くかまで含めて定期的に確認し、机上の安心で終わらせないことが重要です。
④ OS・ソフトウェアの定期アップデート
更新が止まっている=既知の脆弱性が残りやすいため、“更新を止める理由”がある環境ほど、攻撃者にとっては狙う価値が高くなります。
しかも脆弱性は「知られていない穴」より、「既に公表され、攻撃手法も出回っている穴」の方が悪用されやすく、攻撃者はコストをかけずに侵入できる入口を優先します。
更新を先送りにするほど、その入口が長期間開いたままになります。対策としては、まず自動更新の適用を基本に据え、例外が必要な端末やサーバだけを明確に管理することが重要です。
業務影響を理由に更新を止める場合でも、「いつまで止めるのか」「代替策(隔離、アクセス制限、監視強化)は何か」をセットにしないと、単なる放置になります。
さらに深刻なのがサポート終了製品です。サポートが切れた時点で、脆弱性が見つかってもパッチが出ないため、運用で守り切るのは現実的に難しくなります。
だからこそ、計画的な更改(入れ替え)を前提に、資産管理と更改スケジュールを作っておくことが、ランサムウェア対策の土台になります。
⑤ 従業員へのセキュリティ教育
従業員教育は「怪しいメールは開くな」だけだと、どうしても対策方法が形骸化してしまいます。
現実には、業務メールの体裁を取った連絡も多く、毎回“怪しいかどうか”を個人の判断に委ねると、忙しいときほど事故が起きます。
セキュリティ教育で実行力のある対策をするには、完璧な見分け方ではなく、迷った瞬間に安全側へ倒れる行動を組織として揃えることです。
最低限、次の3点はセットで回してください。
- 迷ったら止める:
判断に自信がないときほど、クリックや開封を続けない。そこで止められる文化を作るのが第一です。 - 報告先を明確にする(上長/情シス/外部窓口):
誰に、何を添えて(件名・送信元・スクリーンショット等)、どれくらい急いで報告するかまで決めておくと、迷いが減ります。 - 初動でやってはいけない操作を共有する:
感染が疑われる状況で、再起動やログイン操作を続けるなど“状況を悪化させる行動”は意外と多いです。禁止事項を事前に明文化しておくと、パニック時でも誤操作が減ります。
加えて、年1回の座学で終わらせず、短時間の訓練や定期リマインドで「止める→報告する」を習慣化すると、メール経由だけでなく、端末異常の早期発見にもつながります。教育は“知識”より“行動”を揃えるもの、という前提で設計するのが効果的です。
⑥ セキュリティソフト・EDRの導入
未知の攻撃をゼロにするのは現実的ではありません。入口対策を強化しても、どこかの抜けや人的ミス、委託先経由などで侵入が起きる可能性は残ります。だからこそ重要になるのが、侵入後に早く気づき、被害が広がる前に封じ込めるという考え方です。
特にランサムウェアは、侵入してすぐ暗号化するとは限らず、準備期間を経て最後に一気に被害が出ることがあります。この“準備の時間”を捉えられるかどうかが、復旧コストや停止期間を左右します。
その意味で、セキュリティソフトやEDRは「予防」だけでなく、検知と封じ込めのための投資です。製品選定では、機能の多さよりも運用で回るかを重視してください。具体的には、
- 検知ログの見やすさ:
何が起きたかを現場が理解できなければ、初動が遅れます。アラートの根拠や端末の状況が追えるかが重要です。 - 隔離操作のしやすさ:
疑わしい端末をすぐネットワークから切り離せるか。操作が複雑だと、緊急時に使い切れません。 - 運用負荷:
誤検知対応や設定調整に追われると形骸化します。担当者の体制に見合った運用ができるかを基準にします。
「入られないこと」だけを目標にせず、「入られても止められる」状態を作ることが、現実的なランサムウェア対策になります。
⑦ ネットワークのセグメント化
同じネットワークに重要サーバと一般PCが混在していると、侵入された瞬間に横展開が一気に進みます。
一般PCは外部と接点が多く、感染の起点になりやすい一方で、そこから重要系に“一本道”で届く構造は危険です。結果として、被害が端末単体で収まらず、暗号化や情報窃取の対象が短時間で増えます。
重要系(基幹/バックアップ/認証基盤)は、最初から分離を前提に設計するのが基本です。
- 分離を優先すべき重要系の例:
基幹システム、バックアップ基盤、認証基盤(AD等)、管理用サーバ、重要データ保管領域 - 段階的にできる分離のやり方:
重要サーバへの通信を必要最小限に絞る(許可制)、管理用端末を専用化する、サーバ管理は踏み台(ジャンプサーバ)経由に統一する - 考え方のポイント:
「全部つながっていて便利」を捨て、侵入されても“広がりにくい構造”を作る
ネットワーク分離は手間に見えますが、侵入後の被害拡大を抑える効果が大きく、復旧コストや停止期間を現実的に下げる対策になります。
⑧ アクセス権限の最小化
管理者権限が広いほど、ランサムウェア被害の“広がり”は大きくなります。
攻撃者の目的は、1台を壊すことではなく、共有フォルダやサーバ、バックアップまで含めて一気に業務を止めることです。
そこに強い権限が絡むと、暗号化できる範囲が増え、復旧の難易度も跳ね上がります。
だからこそ、権限は「必要だから付ける」ではなく、増やさない設計に寄せて管理するのが基本です。
- 権限の棚卸し:
誰が何の権限を持っているかを可視化し、不要な管理者権限や共有フォルダの過剰権限を削ります。退職者・異動者の権限が残るのも典型的な穴です。 - 管理者IDの分離:
通常業務用アカウントと管理者アカウントを分け、普段は管理者権限でログインしない運用にします。メール閲覧やWeb閲覧を管理者権限で行うのは、それ自体がリスクです。 - 使うときだけ昇格(JIT:Just-In-Time):
管理作業が必要な時間だけ権限を付与し、終わったら自動で戻す仕組みに寄せます。常時管理者をやめるだけでも被害範囲は現実的に縮みます。
権限管理は小さい取り組みに感じられますが、横展開と暗号化の“効き具合”を直接下げられる対策です。
入口対策と合わせて、被害を小さく止めるための土台として整えてください。
【緊急対応】ランサムウェアに感染したらやるべきこと
緊急対応の場合は、いまこの瞬間の判断が、被害規模を左右します。
復旧を急ぐ前に、被害拡大を止める動きと証拠を残す動きを優先してください。
ランサムウェア感染の直後にやること/やってはいけないことの一例を紹介します。
感染の兆候チェックリスト
次の項目に当てはまるものがある場合、ランサムウェア感染の可能性があります。
すべてが揃わなくても油断は禁物です。
まずは「状況を悪化させないこと」を優先し、疑いがあればネットワーク切断や関係者への連絡、セキュリティ会社をはじめとする専門家への相談を検討してください。
- □ ファイルが開けない/急にエラーが増え、拡張子が見慣れないものに変わっている
- □ 画面上に身代金要求メッセージ(支払い指示・期限・連絡先など)が表示される
- □ PCやサーバが異常に重い/ファンが回り続けるなど、大量のファイル処理が走っているように見える
- □ 見覚えのないプログラムやプロセスが動いている/管理者権限を求める不審な挙動がある
【即座にやること】初動対応5ステップ
初動は「操作を増やさず、止血と証拠保全」が最優先です。
復旧を急いで触り続けるほど、被害が広がったり、後から原因が追えなくなったりします。まずは次の順で動いてください。
初動から間違った行動をとると事態を深刻化させてしまいます。不安が残るなら、セキュリティ会社の緊急相談窓口ですぐに連絡するのがおすすめです。
- ネットワークから切断(LANケーブルを抜く/Wi-Fiをオフ)
まず“外と社内”を切り離し、暗号化や横展開の進行を止めます。可能なら共有フォルダやVPN接続も遮断します。 - むやみに再起動しない(状況を変えない/証拠保全のため)
再起動や電源断で痕跡(ログやメモリ上の情報)が失われることがあります。状況が落ち着くまで、判断なく操作を増やさないのが安全です。 - 感染拡大の有無を確認(他端末・サーバ/共有フォルダ)
「この1台だけ」と決めつけないことが重要です。複数端末が踏み台になっている可能性を前提に、同様の異常がないか広めに当たります。 - 関係者へ連絡(上長/情シス/経営層)
対外連絡や業務判断が必要になるため、意思決定を一元化します。現場が独断で復旧を進めると、対応が分断されがちです。 - 証跡を保存(画面写真/ログ/時刻/異常の内容)
画面表示、異常が出た時刻、端末名、影響範囲などを残します。後からの原因特定や説明責任に直結します。
警察庁も、被害時は保存した通信ログ等を持参して、最寄りの警察署またはサイバー犯罪相談窓口へ通報・相談するよう案内しています。
必要な資料を事前に確認するため、電話で調整すると進めやすい、という趣旨の記載もあります。
【絶対にやってはいけないこと】
感染が疑われる状況では、良かれと思ってとった行動が裏目に出ることがあります。
特に次の3つは、被害拡大や証拠喪失につながりやすいため避けてください。
- ❌ 身代金を支払う:
支払っても復号される保証はありません。追加の要求を受けたり、再攻撃の対象として“支払い実績”が悪用される恐れもあります。犯罪を助長してしまう点も含め、原則として推奨されません。 - ❌ 再起動を繰り返す:
状況が変わって原因特定が難しくなるほか、ログやメモリ上の痕跡が失われる可能性があります。暗号化が再開・加速するなど、結果的に悪化するケースもあるため、判断なく操作を増やさないことが重要です。 - ❌ 感染端末でログイン操作を続ける:
入力したID・パスワードが追加で漏えいするリスクがあります。管理者アカウントやクラウドアカウントでログインしてしまうと被害が一気に広がるため、認証操作は控え、必要な対応は別端末から、かつ担当者間で方針を揃えた上で行ってください。
報告・届出先一覧
ランサムウェア等のサイバーインシデントが疑われる場合、社内だけで抱え込まず、公的機関や専門窓口へ早めに相談することが重要です。
特に二重脅迫が一般化しているため、暗号化の有無だけで判断せず、「漏えいの可能性がある」と感じた段階で連絡できるよう、連絡先を手元に置いておきましょう。
- 警察庁:サイバー事案に関する相談窓口(最寄りの警察署・相談窓口案内)
https://www.npa.go.jp/bureau/cyber/soudan.html - 警察庁:ランサムウェア被害防止対策(被害時の通報案内・注意点)
https://www.npa.go.jp/bureau/cyber/countermeasures/ransom.html
連絡の際は、可能な範囲で「発生日と気づいた時刻」「影響範囲(端末・サーバ・共有フォルダ)」「表示されたメッセージや拡張子」「実施した対応(ネットワーク切断など)」「保管できているログの有無」を整理しておくと、相談がスムーズになります。
原因の調査や緊急対応が必要な場合はセキュリティ会社へ連絡するのがおすすめです。CyberCrewでは無料で相談できるので、まずは専門家の意見をあおぎましょう。
復号の可能性を探る(No More Ransom)
復号ツールが公開されているケースもあり、代表的な取り組みとして No More Ransom が知られています。
ランサムウェアの種類によっては、暗号化に使われた方式や実装の問題を突く形で復号ツールが提供されており、条件が合えばデータを取り戻せる可能性があります。
復号ツールは一覧ページから探せます。
ただし、ここで注意したいのは「ツールがある=必ず戻る」ではない点です。ランサムウェアは同じ名称でも亜種が多く、感染時期や設定、暗号方式の違いで、復号できる条件が変わります。
ツールが見つかっても、対象外のバージョンだったり、特定の状況でしか成功しなかったりすることは珍しくありません。焦って復号を試みる前に、対象ファイルや環境を保全し、必要なら専門家に相談しながら慎重に進めてください。
また、復号や復元は「データを戻す作業」だけで終わらせないことが重要です。
感染端末の駆除や入口(VPN/RDP等)の是正、アカウントの見直し、バックアップの安全性確認など、再発防止とセットで進めないと、復旧直後に再侵入されるリスクが残ります。
復号ツールは有力な選択肢の一つですが、最終的な目的は“安全に業務へ戻る”ことだと捉えてください。
ランサムウェア対策ならCyberCrewの脆弱性診断・ペネトレーションテスト
ここまでを一言で言えば、ランサムウェア対策は「入口(VPN/RDP)を締め、侵入後に気づける状態を作り、復旧できる備えを持つ」ことです。
特に入口は、侵入されてから慌てるより、事前に“穴”を見つけて塞ぐほうが最短で、費用対効果も高くなります。
なぜ脆弱性診断・ペネトレーションテストがランサムウェア対策になるのか
統計上、感染経路の上位にVPN/RDPが挙がる以上、対策の出発点は「入口に侵入に直結する弱点が残っていないか」を攻撃者視点で洗い出すことです。
ここでいう弱点は、単なる設定ミスだけではありません。
ファームウェア未更新のVPN装置、サポート切れ機器、インターネットに露出したRDP、例外アカウントの存在、MFA未導入、不要な公開サービス――こうした“入口のほころび”が、侵入のきっかけになります。
重要なのは、見つけた問題を同列に扱わず、侵入に直結するものから優先度を付けて潰すことです。すべてを一度に完璧にするのは難しくても、攻撃者が最初に狙うポイント(外部から到達できる/既知の脆弱性がある/認証が弱い)を先に塞ぐだけで、被害に遭う確率は現実的に下げられます。
逆に、入口が開いたままの状態で内部対策や教育だけを厚くしても、攻撃者にとっては「入ってしまえば勝ち」の構図が残ります。VPN装置や公開資産は、普段は目立ちませんが、攻撃者にとっては最初に見る“地図”です。
だからこそ、定期的に棚卸しを行い、脆弱性と露出状況を点検し、直す順番まで決めることが、ランサムウェア対策の土台になります。
CyberCrewの脆弱性診断・ペネトレーションテストの特徴
CyberCrewはホワイトハッカーが在籍し、攻撃者視点で「入口になり得る弱点」を、実務上の優先順位に沿って検証します。
単にツールで網羅的に洗い出すだけではなく、侵入に直結しやすいポイントから当たりを付け、現場が“直せる順番”まで落とし込むことを重視しています。
ランサムウェア対策で効くのは、派手な施策よりも、入口の穴を確実に塞ぐ地道な整備です。
その最短ルートを、検証と改善提案の両面から支援します。
- VPN/リモートアクセス/公開資産など、侵入に直結する面の優先調査:
攻撃者が最初に探す入口に焦点を当て、露出状況や設定、更新状況を含めて評価します。 - “見つけるだけ”ではなく、事業影響と修正優先度で整理:
重要度の高い弱点から潰せるよう、影響範囲・悪用可能性・再発リスクを踏まえて優先順位を付けます。 - 情シス・経営層が説明しやすい形で、改善の順番まで落とし込み:
技術的な指摘で終わらせず、社内稟議や対外説明に耐える形で、次に何をすべきかが伝わるレポートを意識します。
「どこが危ないか」だけでなく、「何から直せば効果が出るか」まで明確にすることで、限られた予算でも対策を前に進めやすくなります。
料金プラン・費用感
診断費用は、対象範囲(拠点数・システム数・公開資産の量)、実施期間、テストの深度(脆弱性診断/侵入テスト/再診断)によって変動します。
まずは現状把握として、VPN機器の型番や運用状況、外部公開資産の一覧、リモート接続方式(VPN/RDP/クラウド等)をヒアリングし、侵入リスクに直結するポイントから優先順位を付けたうえで、最小構成でのお見積りをご提示します。
ご予算に合わせた無料相談も可能ですので、お気軽にお問い合わせください。
ランサムウェアの感染経路についてよくある質問(FAQ)
ランサムウェアは個人のPCにも感染しますか?
個人のPCでも感染は起こり得ます。
企業のようにVPN/RDPが入口になるケースは相対的に少ない一方で、フィッシングメールの添付・リンクや、不正サイト/改ざんサイトの閲覧をきっかけに被害につながる可能性があります。
特に「請求」「配送通知」「アカウント確認」など日常的な文脈に紛れると判断が鈍りやすく、うっかり操作が入口になりがちです。
まずは更新とバックアップを基本に、怪しいと感じたら止める習慣が有効です。
身代金を払えばデータは戻りますか?
身代金を支払っても、データが戻る保証はありません。
実際には復号されない、追加の要求で脅され続ける、支払い実績を理由に再攻撃される――といったリスクがあります。
まずはネットワーク隔離と証拠保全を優先し、警察やIPA、専門家へ早めに相談することが安全です。
感染経路を特定する方法は?
侵入経路の特定は、まずログ解析が基本です。認証ログ(VPN/AD/クラウド)、FWやネットワークログ、端末イベントログを突き合わせ、時系列で「最初の侵入」と「横展開」の痕跡を追います。
ログが不足している、説明責任が必要、漏えいの可能性がある場合は、フォレンジック調査を含めて専門家の関与を検討するのが確実です。
中小企業でもランサムウェアに狙われますか?
中小企業も十分に標的です。
警察庁が公表した令和7年(2025年)上半期の統計では、ランサムウェア被害の報告は116件で、そのうち中小企業が77件(約3分の2)と、件数・割合ともに高い水準が示されています。
攻撃者にとっては「対策が手薄で侵入しやすい」「取引先へ波及しやすい」入口になり得るため、企業規模に関係なく、まずVPN/RDPなど外部から入れる経路の対策を優先するのが現実的です。
バックアップがあれば大丈夫ですか?
バックアップがあっても、オフライン(隔離/不変)でなければ安全とは言えません。
ネットワークに常時つながったバックアップは、感染時に一緒に暗号化されることがあります。
警察庁資料でも「感染前の状態まで復元できた」が48件中7件(14.5%)にとどまっており、保管方式の設計(隔離・不変)と、復元テスト/復元訓練まで含めた備えが重要だと分かります。
VPNを使っていれば安全ですか?
VPNは便利な一方で、統計上はVPN機器が主要な侵入経路として示されており、「VPNを使っているから安全」とは言えません。
重要なのは、VPN“を使うこと”ではなく、VPN“を安全に運用できているか”です。
具体的には、機器の棚卸しと更新、サポート切れの更改、MFA必須化、不要な公開の削減まで回せているかが、本質的な差になります。
まとめ
ここまで見てきたとおり、ランサムウェア対策は「何でもかんでも強化する」ではなく、侵入されやすい入口から潰すのが最も合理的です。
警察庁資料(令和7年)でも、侵入経路の上位は VPN機器とRDPとされ、まずVPNやリモート接続の運用を見直すことが最優先だと分かります。
加えて近年は二重脅迫が主流化(手口別報告件数として75件中70件(93.3%)が二重恐喝型)し、暗号化だけを止めれば終わり、という時代ではありません。
復旧にも時間がかかりやすく、1週間以上(復旧中含む)が76% といった数字が示す通り、経営インパクトは「停止期間×信用×対応コスト」で大きく膨らみます。
そのため、VPN/ネットワーク機器の棚卸しと更新(サポート切れ更改を含む)、入口の突破を難しくするMFA、そして暗号化されても戻れる復旧できるバックアップ(3-2-1+復元テスト)を対応することが重要です。
さらに、万が一に備えて「切断→再起動回避→拡大確認→連絡→証跡保全」の初動を社内で共有し、警察・IPA・JPCERT/CCなどの相談先を平時に決めておくと、緊急時でも迷いません。
「うちのVPNやリモート接続、公開資産に“侵入に直結する弱点”が残っていないか」を早めに把握できれば、ランサムウェアの被害確率は現実的に下げられます。
CyberCrewでは、攻撃者視点で入口になり得るポイントを実務優先で検証し、リスクの明確化・改善の順番まで整理します。実践的な対策を進めたい方は、まずは無料でご相談ください。
