2024〜2025年にかけて、日本企業を狙ったランサムウェア被害は「一部の大企業だけの話」ではなくなりました。ニュースで大きく報じられるケースの裏で、取引先やグループ会社、さらに規模の小さい企業にも被害が波及する例が増えています。
とりわけ近年の特徴は、メール添付のウイルス感染だけではなく、VPN機器やリモートアクセス(RDP)など“外部公開された入口”が主な侵入点になっている点です。
ランサムウェアは、ただ怖がるだけでは防げません。実際の現場では、「どこから入られるのか」「何が止まるのか」「まず何を優先すべきか」が整理できていないために、対策が後手に回ってしまうケースを多く見てきました。
今回は、攻撃者がどのように侵入し、どこで被害が拡大し、どこを塞げば現実的にリスクを下げられるのか、という視点で整理しています。
ランサムウェアの基本的な仕組みから、近年主流となっている二重脅迫型の特徴、VPNを起点とした侵入の実態、実際に企業が受ける影響、そして「今すぐ手を付けるべき対策」と「万が一の初動対応」までを、順を追って解説します。
ランサムウェアへの対策は事前の備えが重要です。CyberCrew では、脆弱性診断やペネトレーションテストを通じて、ホワイトハッカーが実際に攻撃者の立場で侵入可能性を検証し、セキュリティ対策をすることが可能です。
TABLE OF CONTENTS
ランサムウェアとは?概要を解説
ランサムウェアとは、PCやサーバー内のファイルを暗号化して使えなくしたり、システムをロックしたりして、復旧の見返りに金銭を要求するマルウェア(悪意あるソフトウェア)の一種です。
近年は「暗号化して終わり」ではなく、事前に情報を盗み出し、公開を盾に支払いを迫る“二重脅迫”が主流になっています。つまり、ITの問題にとどまらず、業務停止・信用毀損・法務対応まで含む経営課題として扱う必要があります。
ランサムウェアの意味と語源
ランサムウェアは Ransom(身代金) と Software(ソフトウェア) を組み合わせた言葉です。
日本語では「身代金要求型ウイルス」と呼ばれることもありますが、厳密にはウイルスに限らず、広くマルウェアの一形態です。一言でまとめるなら、「データやシステムを人質に取り、元に戻す代わりに金銭を要求する悪意あるプログラム」です。
企業の場合、人質になるのは売上や生産、顧客対応そのものです。だからこそ、感染は“情報システム部門だけの事故”ではなく、全社の危機管理テーマになります。
ランサムウェアの仕組み
ランサムウェアの典型的な流れは、(1)侵入、(2)権限取得、(3)横展開、(4)暗号化/ロック、(5)脅迫、の順で進みます。
侵入経路として多いのが、VPN機器の脆弱性、外部公開されたリモートデスクトップ(RDP)、漏えいした認証情報の悪用です。侵入後は管理者権限を奪うために設定不備やパスワード使い回しを突き、社内ネットワークに広がります。そのうえでサーバーや共有フォルダを一斉に暗号化し、ランサムノート(脅迫文)で身代金を要求します。
要求は暗号資産で行われることが多く、支払っても復号鍵が渡されない、あるいは復旧が不完全といったケースもあります。さらに近年は、暗号化前に情報を窃取し「払わなければ公開する」と脅す二重脅迫が増え、影響は復旧だけでは済みません。
マルウェア・ウイルスとの違い
マルウェアの代表分類
| 分類 | 主目的 | 代表的な挙動 | 企業への典型影響 |
|---|---|---|---|
| ランサムウェア | 金銭要求 | 暗号化/ロック/公開脅迫 | 業務停止、復旧費、漏えい対応 |
| ウイルス | 拡散・破壊など | 寄生して増殖 | 端末障害、データ破損 |
| ワーム | 自己拡散 | ネットワーク経由で急速拡散 | 大規模感染、帯域逼迫 |
| トロイの木馬 | 侵入・遠隔操作 | 正常ソフトを装う | 不正アクセス、追加侵害 |
| スパイウェア | 情報窃取 | キー入力・画面等の監視 | 認証情報漏えい、不正送金等 |
まず、マルウェアは「悪意あるソフトウェア」の総称で、その中にウイルス、ワーム、トロイの木馬、スパイウェア、そしてランサムウェアなどが含まれます。
ウイルスは自己増殖し他ファイルに寄生して広がるものを指すことが多い一方、実務では“マルウェア=全部ウイルス”と誤って呼ばれがちです。
ランサムウェアはマルウェアの一種で、特徴は「金銭要求(恐喝)」が目的である点です。感染端末を破壊するだけなら愉快犯でも起こりますが、ランサムウェアは企業の業務停止を利用して支払いを引き出します。
さらに最近は情報窃取もセットで行うため、復旧しても漏えいリスクが残り、法務・広報・取引先対応を含む“インシデント対応”が不可欠になります。
ランサムウェアの種類【3つのタイプ】
ランサムウェアは一枚岩ではありません。従来から多い「暗号化型」、端末操作を不能にする「ロック型」に加え、近年の主流は「二重脅迫型(暴露型)」です。特に二重脅迫型は、復旧ができても情報漏えいリスクが残るため、被害の性質がより深刻です。
自社の対策を考えるうえでも、どのタイプを想定するかで優先順位(バックアップ、アクセス制御、ログ監視、漏えい前提の対応など)が変わります。
暗号化型ランサムウェア
暗号化型は最も一般的で、ファイルサーバーや端末内のデータを暗号化し、業務データを読めない状態にします。拡張子が変わったり、ファイル名が不自然になったりするのが典型的な兆候です。
代表例としてWannaCry、LockBit、Qilinなどが知られていますが、ランサムウェアは派生や改変が非常に多く、名称が異なるだけで挙動が共通しているケースも少なくありません。
暗号化型の怖さは、共有フォルダやバックアップ領域まで到達すると、復旧の選択肢が一気に狭まる点です。したがって、バックアップの保管設計(オフライン・別権限)と、侵入防止(VPN/RDP対策)が実効策になります。
ロック型(画面ロック型)ランサムウェア
ロック型は、端末の画面やOS操作をロックして「操作できない状態」を作り、解除と引き換えに支払いを要求します。スマートフォンを含む個人被害で話題になった時期もありました。
暗号化型と比べると、データ自体が暗号化されていないケースもあり、状況によっては復旧しやすいことがあります。ただし、企業環境でロック型が発生しても安心はできません。
ロックは“表に見える症状”にすぎず、裏では認証情報窃取や追加侵害が進んでいる場合があります。よって、単純に端末を初期化して終わらせず、ログ保全と侵入経路の特定が重要です。
二重脅迫型(暴露型)ランサムウェア【近年の主流】
二重脅迫型は、(1)暗号化で業務を止め、(2)盗み出した情報を公開すると脅す、という二段構えです。攻撃者は「支払わなければダークウェブに公開する」「取引先にも通知する」といった圧力をかけ、短期決断を迫ります。
ここで重要なのは、仮に支払って復号できても、盗まれた情報が“戻る”わけではないことです。情報は攻撃者の手元に残り、再度の恐喝や転売に利用されるリスクがあります。
したがって、対策はバックアップだけでは不十分で、侵入を防ぐ・早期検知する・漏えい前提の対応計画(連絡体制、法務、広報)を準備する必要があります。
ランサムウェアの感染経路【VPNが6割超】
ランサムウェアの侵入経路は年々変化していますが、近年は「外部公開されたリモートアクセス」が主な侵入口になっています。実際、。警察庁資料(令和7年)では、侵入経路の内訳として VPN機器 62% / リモートデスクトップ 22%とされ、VPNとRDPだけで全体の8割以上を占めています。
これは、「メール訓練をしていれば安心」という対策だけでは不十分であることを示しています。現実的な優先順位としては、VPNやRDPといった外部接点の更新・設定見直し・認証強化を、最優先で進める必要があります。
感染経路ランキング(提示データの整理)
| 順位 | 経路 | 割合(例) | 典型原因 |
|---|---|---|---|
| 1 | VPN機器からの侵入 | 62% | 脆弱性放置、サポート切れ、設定不備 |
| 2 | リモートデスクトップ(RDP) | 12% | 弱いPW、使い回し、MFA未導入 |
VPN機器の脆弱性が狙われる理由
VPNは「社内に入るための玄関」です。
テレワークや拠点間接続で利用が増えた一方、機器はネットワークの境界に置かれ、外部から到達できるため、攻撃者にとって極めて価値が高いターゲットになります。
問題は、VPN機器が“家電のように放置されがち”な点です。ファームウェア更新が後回しになり、サポート切れ機種が稼働し続けると、既知の脆弱性を突かれて侵入される可能性が上がります。
侵入されると、社内ネットワークに横展開され、ファイルサーバーやAD(Active Directory)まで到達する恐れがあります。結果として、暗号化範囲が広がり、復旧コストと停止期間が跳ね上がります。
リモートデスクトップ(RDP)経由の侵入
リモートデスクトップ(RDP)は利便性が高い反面、外部公開すると攻撃対象になりやすい仕組みです。
典型的には、インターネットから到達できるRDPに対して総当たり攻撃や認証情報の流用が行われ、弱いパスワードや使い回しが突破されます。
特に危険なのは、MFAなし・アクセス制限なしの状態です。RDPが突破されると、攻撃者は正規のログイン手段で内部に入り、検知が遅れがちです。対策は「そもそも外部公開しない」「踏み台+MFA」「接続元制限」「管理者権限分離」など多層化が重要になります。
メール・フィッシング経由の感染
メール経由は今でも無視できません。
取引先や宅配業者、請求書を装ったフィッシングが代表的で、添付ファイル(Office文書、PDFに見せた実行形式など)や、本文中リンクのクリックで侵入を許します。
近年は文面の日本語が自然になり、差出人表示も偽装されるため、受信者が気づきにくいのが特徴です。
メール対策は「訓練」だけでなく、添付の無害化、URLフィルタ、認証(DMARC等)、そして“万が一踏んだ後の検知”まで含めて設計する必要があります。
ランサムウェアに感染するとどうなる?【被害の実態】
感染は単にファイルが開けなくなるだけではありません。
企業では、受注・出荷・生産・会計・顧客対応などの基幹業務が止まり、復旧作業が長期化します。
さらに二重脅迫型では、情報漏えい対応(事実確認、影響範囲の特定、社外説明、再発防止)が加わり、コストと負荷が跳ね上がります。つまり、ランサムウェアは「ITの障害」ではなく「事業継続の危機」です。
感染直後に起きること
感染直後は、端末やサーバーのファイルが次々に暗号化され、拡張子が変化する、ファイル名がランダム文字列になる、共有フォルダの更新が異常に増える、といった兆候が現れます。
端末の壁紙が変更されたり、デスクトップに脅迫文(ランサムノート)が置かれたりするケースもあります。
脅迫文には、支払い期限、支払い方法(暗号資産)、連絡先(Tor上のサイト等)が記載されるのが一般的です。ここで重要なのは、目に見える暗号化が始まった時点で、すでに侵入は前段階から進んでいた可能性が高い点です。したがって、端末を止めるだけでなく、ネットワーク切断とログ保全を同時に行う必要があります。
企業が受ける被害
企業被害は大きく「停止」「復旧費」「信用」「法務・取引」に分かれます。
まず、システム停止により受注・出荷・請求が止まり、直接売上が落ちるでしょう。
次に、復旧には調査・封じ込め・再構築・データ復元が必要で、外部支援も含めると費用は数千万円〜数億円規模になることがあります。
さらに、顧客情報や取引先情報が絡むと、説明責任・通知対応・問い合わせ対応が発生し、信用毀損が長期的な損失につながります。上場企業なら、適時開示や決算への影響、場合によっては決算発表延期といった経営インパクトも現実化します。
またサプライチェーン上の取引では、「取引先からの監査・再発防止要求」「契約条項に基づく対応」など、ITだけでは完結しない負荷が生じます。
身代金を支払っても復旧しない?
身代金を支払えば必ず復旧できる、という保証はありません。
攻撃者が復号鍵を渡さない、鍵が不完全で復号できない、復号に時間がかかり結局業務復旧が遅れる、といった事例は実務上も知られています。また、支払いは攻撃者の資金源となり、次の被害を助長します。
さらに深刻なのは、支払った企業が「支払う組織」として再度狙われるリスクです。二重脅迫型では、支払っても盗まれた情報が攻撃者の手元に残るため、公開や転売のリスクがゼロになりません。
従って、基本方針は「支払わずに復旧する」前提で、バックアップ・封じ込め・再構築・再発防止までを計画しておくことが重要です(法務判断が絡むため、最終判断は組織のガバナンスに従います)。
ランサムウェア被害事例【2024-2025年最新】
被害事例は、単なるニュースとして見るものではありません。実際の現場では、「自社でも同じ条件がそろっていないか」を確認する材料になります。近年は業界を問わず被害が発生しており、特にメディア、EC、製造といった基幹システムへの依存度が高い業種では、停止の影響がそのまま経営リスクに直結します。
実際に起きた事例を見ていくと、被害がどのように広がり、どの時点で食い止められた可能性があったのかが見えてきます。
KADOKAWA/ニコニコ動画(2024年6月)
KADOKAWA/ニコニコ関連のインシデントは、サービス停止が長期化し、動画配信にとどまらず周辺事業へ波及した点で象徴的でした。
大規模な組織であっても、侵入経路が成立し、横展開を許せば、復旧には相応の時間とコストが必要になります。
ここから得られる教訓は「大企業だから安全」ではなく、外部公開系の入口(認証・権限・端末管理・ログ監視)に弱点が残っていれば、規模に関係なく止まるということです。特にグループ会社や委託先を含めたID管理、特権IDの分離、バックアップの隔離など、“仕組み”の設計が重要になります。
(参照:株式会社ドワンゴ「当社サービスへのサイバー攻撃に関するご報告とお詫び」)
アスクル(2025年10月)
アスクルは法人向け・個人向けのECがあり、停止は売上や顧客体験に直結します。ECにおけるランサムウェアの怖さは、止まった瞬間に機会損失が発生し、復旧中も顧客問い合わせや補償対応が並行で増える点です。
また、会員アカウントや注文情報が絡む場合、影響範囲の説明責任が重くなります。
ここでのポイントは、「EC=WEBアプリの問題」ではなく、受注〜倉庫〜配送〜請求までの一連の業務プロセスがITに依存しているため、単一の暗号化でも連鎖的に止まることです。事業継続(BCP)の観点で、代替手段・復旧優先順位・外部連絡体制を事前に決めておく必要があります。
(参照:アスクル株式会社「【重要】ランサムウェア攻撃による情報流出に関するお詫びとお知らせ」)
アサヒグループホールディングス(2025年3月)
製造や物流を担う企業では、生産管理や出荷が止まると、影響は社内にとどまらず取引先や小売まで一気に広がります。ランサムウェア対応の現場でよく見かけるのは、「古いVPN機器が残っていた」という事実だけが原因として語られてしまうケースです。
しかし実際には、問題は個々の機器よりも、境界機器を定期的に把握し、更新し続ける運用が回っていなかった点にあります。VPNは常に外部から狙われる入口であり、更新の遅れは「気づかないうちに積み上がるリスク」になります。
だからこそ、VPN更新は後回しにする作業ではなく、事業を止めないための投資として位置付ける必要があります。
(参照:アサヒグループホールディングス「サイバー攻撃被害の再発防止策とガバナンス体制の強化について」)
中小企業も標的に【他人事ではない理由】
「うちは小さい企業だからから狙われない」という考えは危険です。
中小企業が狙われる理由は2つあります。
第一に、IT専任者が少なく、VPN機器やサーバーの更新が後回しになりがちで、攻撃者にとって“入りやすい”こと。
第二に、取引先や親会社への踏み台として価値があることです(サプライチェーン攻撃)。中小企業が侵害されると、取引先からの信頼を失い、最悪の場合、取引条件見直しや契約解除につながる可能性もあります。
つまり、守るべきは自社のデータだけではなく、取引関係そのものです。ここを経営課題として捉え、最低限の入口対策(VPN/RDP、ID管理、バックアップ)から着手することが現実的です。
ランサムウェア対策【今すぐできる5つの方法】
対策は「高価な製品を入れること」から始める必要はありません。重要なのは、侵入されやすい入口を塞ぎ、侵入されても横展開と暗号化を止め、最悪でも復旧できる状態を作ることです。
ここでは、企業規模や予算に関わらず実行しやすいものを、優先順位付きで5つに整理します。特にVPNと認証周りは、統計上も侵入経路の中心であり、投資対効果が高い領域です。
【最優先】VPN機器・ソフトウェアを最新に保つ
感染経路の多くがVPNを起点としている以上、対策の最優先はVPN機器と関連ソフトウェアの更新です。攻撃者の視点では、更新が止まっている境界機器は「いつ入ってもおかしくない入口」に見えます。
実務では、次の点を順番に整理していくことが基本になります。
- 機器の保守期限を確認し、サポート切れは計画的に入れ替える
サポートが終了した機器は、脆弱性が見つかっても修正されません。現場では、この状態が長く放置されているケースをよく見かけます。 - ファームウェア更新を“作業”ではなく“運用”に組み込む
不定期に思い出したときに対応するのではなく、定期適用を前提にスケジュール化することで、更新漏れを防ぎます。 - 外部公開設定や不要な機能を定期的に見直す
初期設定のまま残っている管理画面や使っていない機能が、侵入口になることも少なくありません。
更新作業は「業務を止められないから」と後回しにされがちですが、実際に止まるのは更新のタイミングではなく、侵入された後です。計画的にメンテナンスウィンドウを確保し、リスクを管理下に置くことが重要になります。
可能であれば、自動更新や更新通知の仕組みを活用し、「誰かが覚えているから大丈夫」という属人的な運用から脱却することが、長期的には最も安全です。
も安全です。
多要素認証(MFA)を導入する
実務の現場では、パスワードだけで認証を守り切れる前提は、すでに成り立たなくなっています。使い回しやフィッシング、流出した認証情報を使ったリスト型攻撃によって、正規のログインが突破されるケースは珍しくありません。
多要素認証(MFA)は、パスワードに加えてワンタイムコードや生体情報などを組み合わせることで、こうした攻撃の成功率を大きく下げる仕組みです。特に、管理者権限を持つアカウントや、VPN、クラウドの管理画面、業務メールといった“突破されると影響が大きい入口”には、優先して適用すべき対策になります。
導入コストが低い選択肢も多く、費用対効果の高い対策ですが、それと同時に、管理者用と通常業務用のアカウントを分けて運用することで、万が一侵害された場合でも被害を局所化しやすくなります。
定期的なバックアップを取る
ランサムウェア対策を考えるうえで、バックアップは非常に重要です。基本として押さえておきたいのが、3-2-1ルールと呼ばれる考え方です。
これは、「バックアップを3つ用意し、2種類以上の媒体に分け、そのうち1つはネットワークから切り離して保管する」というシンプルなルールです。
実際、同じネットワーク内にあるバックアップは、侵入後に本番データと一緒に暗号化されてしまうケースも少なくありません。バックアップを一か所に集めているだけでは、「あるのに使えない」状態になりがちです。
さらに重要なのは、バックアップを取って終わりにしないことです。復旧手順や必要な権限、暗号化キーの所在を整理し、定期的に復旧を試しておくことで、被害発生時の停止期間を現実的な範囲に抑えられます。
バックアップは、単にデータを残すための仕組みではなく、事業を止めずに立て直すための備えとして考える必要があります。
セキュリティソフト・EDRを導入する
従来型のアンチウイルスだけでは、侵入後の横展開や不審な挙動を捉えきれないケースがあります。実際、攻撃者の立場から見ると、マルウェアを実行するよりも、正規の権限やツールを使って社内を移動した方が、検知されにくい場面が多くあります。
EDR(Endpoint Detection and Response)は、こうした前提のもとで、端末上の挙動を継続的に監視し、怪しいプロセスの動きや権限昇格、異常な暗号化動作などを検知・封じ込めする考え方です。中小企業向けにも導入しやすいプランが増えており、「侵入をゼロにできない」前提での検知と被害拡大の抑止に有効です。
ただし、実務では製品を入れただけで安心してしまうケースも少なくありません。アラートを誰が、どのタイミングで、どう判断するのかまで含めて運用を設計しておかなければ、いざというときに活かせない点には注意が必要です。
従業員へのセキュリティ教育を実施する
メール経由の攻撃や認証情報の窃取は、技術的な弱点よりも、人の判断の隙を狙ってきます。そのため、教育を「怪しいメールを開かない」という注意喚起だけで終わらせてしまうと、実際の攻撃には対応しきれません。
実務では、次のような行動レベルまで落とし込んでおくことが重要です。
- 添付ファイルやURLは、別の手段で送信元を確認する
表示名やメール本文だけで判断せず、電話や社内チャットなど、別経路で確認する習慣を持ちます。 - パスワードを使い回さない
一つ漏れただけで、他のシステムまで芋づる式に突破されるのを防ぐためです。 - 多要素認証(MFA)がなぜ必要かを理解する
パスワードが漏れる前提に立ち、どこで最後の防波堤になるのかを共有します。 - 少しでも違和感があれば、すぐに報告する
正解かどうかを考え込むより、早く共有する方が被害を小さく抑えられます。
併せて、定期的な訓練メール(フィッシング訓練)を実施し、引っかかった人を個人のミスとして責めないことも重要です。実際の攻撃は誰でも引っかかり得るため、結果を組織全体の改善につなげる運用を続けることで、対策の実効性は大きく変わってきます。
ランサムウェアに感染したら?【初動対応5ステップ】
感染が疑われた場合、初動の判断次第で被害の広がり方は大きく変わります。
実際の現場では、反射的に電源を落としてしまうよりも、まずは他の端末やサーバーに被害が広がらないよう通信を止め、状況が分かる情報を残したまま外部に相談できる状態を作ることが重要になります。
特に二重脅迫型では、暗号化だけでなく「情報が持ち出されていないか」が後から大きな問題になります。復旧を急ぐだけでなく、どこまで影響が及んでいるのかを見極め、同じことが起きないよう手当てを進める必要があります。
そのため、初動対応は現場で迷わず動ける形にしておくことが欠かせません。
ステップ1:ネットワークから即座に切断
最優先は拡大防止です。疑わしい端末はLANケーブルを抜く、Wi-Fiをオフにする、VPN接続を切るなどして、ネットワークから隔離します。
ここでの目的は、暗号化の横展開や、攻撃者による追加侵害(別端末への侵入、バックアップ破壊)を止めることです。
業務を止めたくない気持ちは理解できますが、拡大すれば停止期間はさらに伸びます。可能ならネットワーク機器側で該当端末の通信遮断を行い、同一セグメント内の被害拡大を抑えます。
ステップ2:感染範囲を特定する
次に、どの端末・サーバーが影響を受けているかを整理します。
暗号化されたファイルの拡張子、ランサムノートの文面、影響が出ている共有フォルダ、ログインが疑わしいアカウント、異常な通信先などを確認し、時系列でメモします。
復旧を急ぐあまり、手当たり次第に操作してしまうと、あとから何が起きていたのか分からなくなることがあります。侵入の手口や横展開の経路は、通信や操作の記録を追うことで見えてきます。
実際の調査では、サーバーやActive Directory、VPN機器、EDR、ファイアウォールに残るログが重要な手がかりになります。解析や証拠保全が必要な作業は専門業者に任せ、現場では状況を変えないことを優先すべきです。
ステップ3:警察・専門機関に相談する
インシデント対応でよくある失敗の一つが、社内だけで何とかしようとして時間を使ってしまうことです。
実際の現場では、状況を整理しながら早い段階で外部の知見につなげた方が、結果的に被害を小さく抑えられるケースを多く見てきました。
相談先としては、警察のサイバー犯罪相談窓口やIPA、JPCERT/CCのほか、加入している保険やSOC、そしてセキュリティ専門ベンダーが考えられます。CyberCrewでも、こうした初動段階からの相談を受け、侵入経路や影響範囲の整理、次に取るべき対応の優先順位付けを支援しています。
特に二重脅迫型が疑われる場合は、暗号化への対応だけでなく、情報が持ち出されていないかという観点で、法務や個人情報、取引先対応を並行して検討する必要があります。
初動の段階で「誰に連絡し、誰が判断するのか」が決まっていないと、現場は迷い、時間だけが過ぎていきます。
CyberCrewではセキュリティ事故が発生した際の法人向け緊急窓口を設置しています。インシデントの可能性がある場合はすぐにお問い合わせください。
平時のうちに連絡先と意思決定の流れを整理しておくことが、停止期間を現実的な範囲に抑えるための土台になります。
ステップ4:復号ツールを確認する
ランサムウェアの種類によっては、無料の復号ツールが公開されている場合があります。代表的な情報源としては、No More Ransom プロジェクトがあり、ランサムノートの文面や暗号化されたファイルの特徴から、該当するツールを探せるケースもあります。
ただし、対応の現場でよくあるのが、「復号ツールがあるなら何とかなるのでは」と期待してしまうパターンです。
復号できたとしても、侵入経路がそのまま残っていれば、再び同じ手口で入り直されます。
また、復号はできても、情報が持ち出されていなかったことの証明にはなりません。
復号ツールはあくまで選択肢の一つに過ぎません。実務では、封じ込めと原因の整理を優先したうえで、使えるかどうかを慎重に確認する、という位置付けで扱うのが現実的です。
ステップ5:バックアップから復旧する
バックアップから復旧する場合、作業を始める前に「もう侵入されない状態になっているか」を必ず確認します。侵入が継続している環境で復旧すると、データを戻した直後に再び暗号化されることがあるためです。
実務では、次の順番で整理してから復旧に進みます。
- 侵入経路を遮断する
まず、VPNやリモートアクセスなど、侵入に使われた可能性のある入口を閉じます。ここが残っている限り、復旧作業は安全に進められません。 - 不正利用の可能性があるアカウントを整理する
管理者権限や特権IDを中心に、不要なアカウントの無効化やパスワード変更を行い、正規の利用状態に戻します。 - 端末・サーバーをどこまで作り直すか判断する
感染状況に応じて、設定の修正で済むのか、再構築が必要かを切り分けます。判断を誤ると、復旧後に問題が再発します。 - 復旧の優先順位を決めて実行する
基幹システム → 周辺システム → 端末、という順で進めることで、業務影響を最小限に抑えながら復旧できます。
復旧が完了した後もしばらくは監視を強化し、不審な通信やログイン、暗号化の兆候が再び出ていないかを重点的に確認します。ここまで含めて初めて、「復旧が完了した」と判断できます。
【重要】身代金は支払わない
ランサムウェア対応の現場では、身代金を支払うべきかどうかという判断に直面することがあります。ただ、多くのケースを見てきた立場から言えるのは、身代金の支払いはリスクが高く、安定した解決策にはなりにくいという点です。
実際には、支払っても確実に復旧できる保証はなく、支払った事実そのものが「支払いに応じる組織」として認識され、再び狙われることもあります。二重脅迫型の場合は、復号に成功しても、持ち出された情報が戻るわけではありません。さらに、身代金が攻撃者の活動資金となり、被害を広げる結果につながる点も無視できません。
最終的な判断は、法務や経営を含めた組織としての意思決定になりますが、重要なのは「支払うかどうか」を迫られない状態を平時から作っておくことです。バックアップの整備、侵入口対策、検知と封じ込め、そして初動時の連絡体制を備えておくことで、支払い以外の復旧ルートを現実的な選択肢として持てるようになります。
ランサムウェア対策ならCyberCrewの脆弱性診断・ペネトレーションテスト
これまで多くの調査やテストに関わってきましたが、ランサムウェアの被害は「たまたま感染した」というより、侵入しやすい入口が放置されていた結果として起きているケースがほとんどです。
VPNやRDP、公開サーバー、ID管理の抜けといった入口を起点に、攻撃者は段階的に権限を奪い、十分に内部を把握したうえで最後に暗号化を実行します。
攻撃は行き当たりばったりではなく、明確に計画されています。だからこそ、防御側も「どこから入れるか」を先に把握し、塞ぐことが、最も費用対効果の高い予防策になります。
CyberCrew では、脆弱性診断やペネトレーションテストを通じて、実際に攻撃者の立場で侵入可能性を検証し、「どこまで到達できるか」「どこで止められるべきだったか」を可視化します。そのうえで、限られた予算やリソースの中でも現実的に改善できるよう、対策の優先順位まで落とし込むことを重視しています。
なぜ脆弱性診断がランサムウェア対策になるのか
ご提示の統計でも、侵入経路の中心はVPN・RDPです。これらは設定不備や既知脆弱性、認証強度不足が原因になりやすく、脆弱性診断で“入口の穴”を早期に発見できます。
さらに重要なのは「見つけた脆弱性が、実際に侵入・横展開につながるか」を評価することです。
そこでペネトレーションテスト(侵入テスト)を実施すると、攻撃者がどこまで到達できるか、暗号化に至る現実的な経路があるかを検証できます。結果として、対策が“網羅”ではなく“優先順位”で実行でき、限られた予算でも効果の高いポイントに投資できます。
攻撃者に先回りして弱点を潰すことが、ランサムウェア対策の本質です。
CyberCrewの脆弱性診断・ペネトレーションテストの特徴
CyberCrewは、攻撃者視点(オフェンシブセキュリティ)の専門家が在籍し、単なるツールスキャンでは拾いにくい「設定・権限・運用の穴」まで踏み込みます。
特にランサムウェアで問題になりやすいVPN、リモートアクセス、認証基盤、ネットワーク境界、共有ストレージ周りは、侵入後の横展開に直結するため重点的に評価します。
レポートは技術者向けの詳細だけでなく、経営層にも説明できるように、リスクの理由、想定される影響、優先度、具体的な改善案(短期・中期)まで整理します。
また、対策は“理想論”ではなく、現場の運用制約(停止できない、担当者が少ない、予算上限がある)を前提に、実装可能な落としどころを提案することを重視しています。
攻撃者より先に弱点を見つけ、塞ぐための現実的な支援が強みです。
料金プラン・費用感
脆弱性診断・ペネトレーションテストの費用は、対象範囲(VPN機器、外部公開資産、Webアプリ、クラウド、内部ネットワーク等)、資産数、深度(シナリオ型か、網羅型か)、実施期間によって変動します。
そのためCyberCrewでは、ヒアリングで目的(ランサムウェア対策、取引先要請、監査対応など)と優先度を整理し、過不足のない範囲で見積もりを提示します。
いきなり大規模にせず、「まず外部公開資産とVPN/RDPの入口を重点的に」という進め方も可能です。まずは現状把握からでも、無料相談で方向性を固められます。
ランサムウェアに関するよくある質問(FAQ)
ここでは、読者の方が検索で抱きやすい疑問を、短く正確に整理します。社内説明や稟議資料の補足としても、そのまま使える形を意識しています。
Q1:ランサムウェアとマルウェアの違いは?
マルウェアは一言でいえば「悪意のあるソフトの総称」で、ウイルスやワーム、トロイの木馬、スパイウェアなど色々な種類をまとめた呼び方です。
ランサムウェアはその中の一つで、データを暗号化したり端末をロックしたりして、元に戻す代わりに身代金を要求します。
最近は暗号化だけで終わらず、先に情報を盗み出して「公開する」と脅す手口も増え、復旧だけでは片付かない被害になりがちです。
Q2:ランサムウェアの感染経路で最も多いのは?
最近のランサムウェアは、メールよりもVPN機器やリモートアクセス(RDP)といった“外部に開いた入口”が狙われやすいのが実態です。
警察庁資料(令和7年)では、侵入経路の内訳として VPN機器 62% / リモートデスクトップ 22%とされています。
だからこそ、メール訓練やフィルタだけで安心せず、VPN/RDPの更新・MFAの必須化・接続元の制限など、入口を固める対策を最優先で進めることが重要です。
Q3:ランサムウェアに感染したら身代金を払うべき?
結論から言うと、身代金の支払いは基本的におすすめできません。
払ったとしても確実に復旧できる保証はなく、相手が復号鍵を渡さない・復号が不完全といったケースもあります。
さらに「支払う組織」と見なされて再び狙われたり、資金が犯罪組織の活動を後押ししてしまうリスクもあります。
二重脅迫型では、仮に復号できても盗まれた情報が戻るわけではありません。
最終判断は法務や経営の領域ですが、平時から“払わなくても立て直せる体制”を用意しておくのが現実的です。
Q4:ランサムウェアの代表例は?
代表的なランサムウェアとしては、WannaCry、LockBit、Qilin、8Baseなどがよく挙げられます。
ただ、ランサムウェアの世界は入れ替わりが激しく、同じ名前でも中身が少し違う亜種が出たり、摘発や内紛で“看板”が変わって別名で復活したりするのも珍しくありません。
だからこそ、名前を暗記するよりも、どこから入られるのか(VPN/RDP/漏えいした認証情報)と、どう防ぐか(更新・MFA・バックアップ・検知と運用)を押さえておく方が、実務では確実に役に立ちます。
Q5:ランサムウェアはどこの国から攻撃されている?
ニュースでは「どこの国からの攻撃か」が注目されがちですが、実務では発信元を国名で断定できないケースが多いです。
今はRaaS(Ransomware as a Service)のように、攻撃手口やツールが“サービス化”していて、実行役が世界中から参加できてしまいます。
だから「どこから来たか」を追うより、VPN/RDPなどの入口を塞ぐ・侵入の兆候を早く検知する・バックアップで復旧できる体制を作る――この3点を固める方が、現実的で効果が出やすい対策になります。
Q6:ランサムウェアの復旧にはどれくらい時間がかかる?
復旧にかかる時間は、「どこまでやられたか」と「どれだけ準備できていたか」で大きく変わります。
たとえば端末が数台だけ暗号化された程度なら、切り分けと復元で数日で立て直せることもあります。
一方で、AD(認証基盤)やサーバー、さらにはバックアップまで影響が及ぶと、復旧は一気に重くなり、数週間〜数ヶ月単位になるケースも珍しくありません。
結局のところ、オフラインを含む健全なバックアップがあるか/復旧テストをしているか、そして初動で被害の拡大を止められたかが、停止期間を決める最大の分かれ目になります。
Q7:中小企業もランサムウェアに狙われる?
中小企業も普通に狙われます。
むしろ現場では、IT専任者が少なくて更新が追いつかなかったり、VPNやサーバーが「動いているから」と放置されがちだったりして、攻撃者から見ると入りやすい条件がそろってしまうことがあります。
さらに厄介なのが、取引先や親会社へ入るための“踏み台”として狙われるサプライチェーンのリスクです。
「小さい会社だから安全」ではなく、入口(VPN/RDP)と日々の運用が弱いと狙われる――これが実態に近い見方です。
まとめ:ランサムウェア対策は「今すぐ」始めよう
ランサムウェアは、データ暗号化やシステムロックによって業務を停止させ、身代金を要求するマルウェアです。
近年は情報窃取と公開脅迫を組み合わせる二重脅迫型が主流となり、復旧しても漏えいリスクが残る点が深刻です。
侵入経路はメールだけではなく、VPNやRDPなど外部公開の入口が中心であり、優先順位の最上位は「更新」「設定」「認証強化(MFA)」です。
最後に、今すぐ着手できるチェックリストを提示します。
今すぐできるチェックリスト(実行順)
- VPN機器の保守期限・ファームウェア更新状況を確認する
- 外部公開RDPを棚卸しし、必要なら停止/MFA/接続元制限を実施する
- 管理者アカウントにMFAを必須化し、通常業務アカウントと分離する
- バックアップをオフライン含む形にし、復旧テストを実施する
- 端末の検知(EDR等)と、アラート対応の運用(誰が何をするか)を決める
- 感染時の連絡網(警察、IPA、専門ベンダー、取引先)を文書化する
参考情報として、平時に確認しておく先は IPA、警察庁、NISC、No More Ransom Project などです。
そして「自社の入口が本当に塞がれているか」を最短で把握する方法が、脆弱性診断・ペネトレーションテストです。攻撃者より先に弱点を見つけ、塞ぐために、必要であればCyberCrewにご相談ください。
参考:確認しておきたい公的窓口・一次情報
- CyberCrew:企業組織向け サイバーセキュリティ相談窓口 (初動の相談・整理)
- 警察庁:サイバー事案に関する相談窓口 (都道府県警の相談窓口案内)
- JPCERT/CC:インシデント報告フォーム (技術的な報告・相談)
- NISC:サイバーセキュリティポータルサイト (注意喚起・基礎情報)
- No More Ransom (復号ツールの有無を確認)
