ログイン
ログイン 会員登録
会員登録 お問合せ
お問合せ
MENU
MENU CLOSE

法人のサステナビリティ情報を紹介するWEBメディア coki

ランサムウェアとは?「身代金」要求マルウェア(RaaS・二重脅迫)の全貌と被害防止対策をわかりやすく解説

コラム&ニュース コラム
リンクをコピー
ランサムウェアとは?

「データが暗号化されて使えない」「身代金を払わなければ情報公開」—。あなたの会社の機密情報個人データが「人質」に取られ、高額な身代金を要求されるサイバー攻撃、それがランサムウェアだ被害報告件数が増えてきており、その手口は日々、巧妙化・組織化の一途を辿っている。大企業だけでなく、中小企業も標的となり、その被害は業務停止、情報漏洩、数千万円規模の金銭的損失にも及ぶ。この深刻な脅威から私たち自身や会社を守るにはどうすればいいのか。「人質」にされないための基礎知識と最新の防御策を解説する。

 

ランサムウェアとは?

ランサムウェア(Ransomware)とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語である。悪意のあるプログラム(マルウェア)の一種であり、感染したコンピューターやスマートフォンなどの端末のデータを暗号化するなどして利用不可能な状態にする。その上で、データの利用できる状態への復元と引き換えに金銭(身代金)を要求する不正プログラムを指す。

感染後の恐ろしい症状:2つの主要なタイプ

ランサムウェアに感染した際に確認される主な症状は、以下の2つのタイプに分類される。

  1. 暗号化型
    端末内のデータが暗号化され、使用できなくなる。復元のための金銭(身代金)を要求する画面が表示される。

  2. 画面ロック型
    コンピューターやスマートフォンの画面がロックされ、デバイスの操作自体ができなくなる。暗号化型と同様に身代金要求の画面が表示される。

いずれのタイプにせよ、システムがダウンしたり、データが利用不能になったりすることで業務がストップしてしまう。この間の損害は甚大であり、身代金を支払ったとしても、データが完全に復元される保証はないどころか、追加の身代金を要求されるリスクもある。

ランサムウェア攻撃の歴史:標的型への進化が被害を深刻化

世界で最初のランサムウェアは1989年に出現した「AIDSTrojan」だとされている。当時はインターネット経由ではなく外部媒体を通じて感染していた。

その後、2013年に登場した「CryptoLocker」以降、外部のコマンド&コントロール(C&C)サーバーと通信することで、復号が非常に困難な手口が主流になった。2017年にはWindowsの脆弱性を悪用して世界中に拡散した「WannaCry」が大流行し、セキュリティ対策の必要性が改めて認識される契機となった。

しかし、2018年頃からは特定の組織を狙う「標的型攻撃」の手法が出現し、ランサムウェアは再びセキュリティの重大な脅威となった。この標的型攻撃が、現在まで続く被害深刻化の大きな要因となっている。

最新の情勢と巧妙化する手口の全貌

 

ランサムウェア攻撃の手口は日々進化しており、その被害は増加の一途を辿っている。特に近年は「組織化」と「複合化」が大きな特徴だ。

最新の現状:令和7年上半期の被害報告件数

警察庁が公表した情報によると、令和7年上半期におけるランサムウェアの被害報告件数は116件であり、これは令和4年下半期と並び最多となった。

特に注目すべきは、中小企業を狙った被害の多さである。令和7年上半期のランサムウェア被害件数において、中小企業が77件と全体の約3分の2を占めており、件数・割合ともに過去最多となった。これは、大企業・中小企業に関わらず、攻撃しやすい脆弱な環境が狙われていることを示している。

業種別に見ても、特定の業種に偏らず、製造業が52件、卸売・小売業が16件、建設業が12件と、幅広い分野で被害が発生している。

攻撃の組織化:RaaSのビジネスモデル

ランサムウェアの被害拡大の背景には、ランサムウェアをサービスとして提供するRaaS(Ransomware as a Service)の存在がある。

RaaSでは、ランサムウェアの開発者・運営者が、マルウェアや攻撃インフラを攻撃の実行者(アフィリエイター)に提供し、実行者はその見返りとして身代金の一部を支払う。このビジネスモデルの確立により、攻撃者が高度な技術的専門知識を持たなくても容易に攻撃を実行できるようになり、攻撃者の裾野の広がりが被害増加の大きな要因となっている。

実際に、ITに関する知見が少ない人物が生成AIを悪用してランサムウェアを作成した事例も報告されており、攻撃の敷居がさらに下がっていることが示唆されている。

悪質化する複合的な脅迫手口

近年のランサムウェア攻撃は、データを暗号化するだけでなく、脅迫の手口を複合化させている。

  1. 二重脅迫(ダブルエクストーション)
    データの暗号化に加え、事前に窃取した機密情報や個人情報などのデータを公開しないことと引き換えに金銭を要求する手口である。警察庁によると、この二重恐喝型の被害が最も多い手口となっている。身代金を支払っても復元が保証されないだけでなく、情報が暴露されるリスクが加わり、被害組織の信用失墜という深刻な問題をもたらす。

  2. ノーウェアランサム攻撃
    データを暗号化することなく、窃取した情報公開をちらつかせて金銭を要求する手口である。暗号化のプロセスがないため攻撃が迅速に行われ、被害者が攻撃に気づきにくいという特徴がある。

  3. 多重脅迫
    暗号化や情報暴露に加え、DDoS攻撃によるサービス妨害や、取引先などのサプライチェーン上にある他の企業への情報漏洩を通知すると脅迫するなど、様々な手段でビジネスの停止・妨害を図る手口である。

攻撃のプロセス:標的型ランサムウェアの4段階

標的型ランサムウェア攻撃は、計画的かつ組織的な4つの段階を経て実行される。

  1. 初期侵入
    VPN機器の脆弱性を突く、従業員へフィッシングメールを送るなどして、標的とする組織の内部ネットワークに不正にアクセスする。警察庁のアンケート結果(有効回答45件)では、VPN機器からの侵入が28件と最も多く、次いでリモートデスクトップ経由が10件であり、この2つで約8割を占めている。

  2. 内部活動
    侵入に成功した攻撃者が、遠隔操作ツール(RAT)を用いてネットワーク内の端末を操作し、より高い権限を獲得しようとする。検知や監視を逃れるため、OSに標準搭載されている正規の管理ツールを悪用する「環境寄生型(Living off the Land)」という手口が多く用いられる。また、確実に実行するため、セキュリティ対策ソフトを無効化するアンチEDRを駆使する攻撃者も登場している。

  3. データ持ち出し(窃取)
    十分な権限を取得した攻撃者は、企業のネットワーク内を探索し、顧客情報や機密情報といった情報暴露の脅迫に使える重要情報を盗み出す。窃取した情報は一か所に集約され、攻撃者側のサーバーにアップロードされる。この段階で、攻撃者は侵入の痕跡を消すため、被害企業のログやバックアップを消去することもある。

  4. ランサムウェア実行
    データ窃取が完了すると、最後に被害組織へランサムウェアを展開し、実行する。ファイルを暗号化した後、端末に身代金要求画面を表示させ、脅迫を行う。

ランサムウェアがもたらす深刻な被害

 

ランサムウェア攻撃は、企業・団体に対し、業務の停止、高額な金銭的負担、そして社会的信用の失墜という複合的なダメージを与える。

業務・サービスへの直接的な打撃

ランサムウェアに感染すると、データやシステムが暗号化・ロックされ、業務に必要なデータへのアクセスが困難になる。その結果、業務がストップし、サービスの提供が一時的に停止または長期的に制限される事態に陥る。警察庁のアンケート結果(有効回答53件)によると、ランサムウェア被害が業務に与えた影響は、「一部の業務に影響有」が43件、「全業務停止」が3件であり、9割近い組織で業務に影響が出ている。

復旧に要する期間と高額な金銭的損失

ランサムウェア攻撃は、復旧に多大な時間と費用を要する。警察庁のアンケート結果(有効回答39件)によると、1,000万円以上を要した組織の割合は59%に増加しており、復旧に要した期間も長期化する傾向にあり、1週間以上かかるケースが多数を占める。

機密情報の漏洩と社会的信用の失墜

二重脅迫型攻撃の主流化により、データの暗号化だけでなく、機密情報や個人情報の漏洩リスクが伴う。情報漏洩による損害として、顧客情報、従業員の個人データ、契約書、財務情報などの機密情報が公開された場合、企業は社会的信用を大きく損なうことになる。これにより、ブランド価値の低下やビジネス機会の損失、さらには賠償金の発生など、長期的な経営ダメージにつながる。

ランサムウェア攻撃に「人質」にされないための防御策

ランサムウェアの脅威から身を守るためには、「侵入させないための予防策」と「侵入されても被害を最小限に抑える対策」の多層的な防御を講じることが必須である。

1. 侵入を防ぐ「予防の徹底」

攻撃の初期侵入を防ぐための基本的な対策は、従業員一人ひとり、そして組織全体で徹底する必要がある。

システム・機器の対策

  • OS・ソフトウェアの最新状態維持
    OSやアプリケーション、特にVPN機器やネットワーク機器のファームウェアの脆弱性を狙われないよう、常に最新の状態にアップデートし、修正プログラム(パッチ)を適用する。脆弱性の放置は極めて危険である。

  • 強固な認証の導入
    • 多要素認証(MFA)
      パスワードだけでなく、別の認証要素を組み合わせる多要素認証を導入することで、不正アクセスによる侵入を大幅に強化する。
    • パスワードの適切な管理
      最低10文字以上の複雑なパスワードを設定し、サービスごとの使いまわしをしない。

組織・従業員の意識対策

 
  • 不審なメール・リンクへの警戒
    不審なメールの添付ファイルを開封したり、本文中のURLリンクを安易にクリックしたりしないよう、注意喚起を定期的に行う。送信元や文面に少しでも不自然な点がないかを確認する。

  • アクセス権限の最小化
    各ユーザーアカウントの権限やアクセス可能範囲を必要最小限に限定する。これにより、万が一感染した場合でも、暗号化される範囲を最小限にとどめることが可能になる。

  • セキュリティ教育の実施
    攻撃手法は日々巧妙化しているため、従業員に対して定期的な情報セキュリティ教育を実施し、リテラシーを高めることが極めて重要である。

2. 被害を最小限に抑える「検知と復旧の体制」

侵入された後の「内部活動」や「データ持ち出し」を防ぎ、迅速に復旧するための体制構築が必要だ。

検知体制の構築

  • EDRなどセキュリティソフトの導入
    ランサムウェア感染を防止するEPP(Endpoint Protection Platform)や、感染後の対策を支援するEDR(Endpoint Detection and Response)などの総合的なセキュリティ対策ソフトウェアを導入し、常に最新の状態に保つ。

  • ネットワーク監視の強化
    ネットワーク内の不審な動き(攻撃者サーバーとの通信など)を早期に発見できるよう、振る舞い検知機能などを導入し、ログの監視を自動化する。

復旧のための備え(データ保護)

  • 「3-2-1ルール」に基づくバックアップ
    万が一の暗号化に備え、以下のルールでデータのバックアップを取得・保管する。
    • 3つ以上のバックアップデータを作成する。
    • 2種類以上のメディアで保管する。
    • バックアップデータのうち、最低1つはネットワークから切り離して(オフラインで)保管する。ネットワーク接続されたバックアップは、ランサムウェアに感染・暗号化されるリスクがある。実際、ランサムウェア被害にあった企業へのアンケートでは、「バックアップも暗号化」されたことが復元できなかった最大の理由となっている。

  • ログの取得・保管
    侵入の実態調査や復旧対応に不可欠なログ(通信記録)を日頃から取得・保管しておく。攻撃者によってログが消去される事例も確認されているため、ログの保全は極めて重要である。

BCP(業務継続計画)の策定

ランサムウェア被害による業務停止は後を絶たないが、サイバー攻撃を想定した業務継続計画(BCP)を整備済の組織は少ないのが現状だ。ランサムウェアによるデータ暗号化は地震などの物理的災害とは被害状況が異なるため、サイバー攻撃を想定したBCPを事前に準備しておくことが望ましい。

もしランサムウェアに感染したら?緊急時の対処法

 

ランサムウェアに感染した場合、企業には迅速かつ適切なインシデント対応が求められる。組織的に適切な順序で対応を進めることが、被害の抑制と早期の業務復旧につながる。

感染拡大を防ぐための「封じ込め」

感染が疑われる、または確認されたら、何よりも優先すべきは感染拡大の防止である。

  1. 感染端末のネットワークからの隔離
    ランサムウェアがネットワーク上に接続されている他の端末にも感染を広げるため、感染したPCやサーバーのLANケーブルを抜くなどして、ネットワークから直ちに隔離する。無線LANの場合は、端末を機内モードにするか、Wi-Fiルーターの電源を落とす。

  2. 端末の電源は切らない
    感染原因や復元に必要な情報が残っている可能性があるため、感染した端末の電源は切らない。

  3. 組織全体への通知と対応
    ランサムウェアは他の端末に感染を広げるため、組織全体で状況を把握し、場合によっては支店や提携会社にも速やかに連絡することで、感染拡大の防止につながる。

  4. 侵害範囲の隔離
    影響範囲が特定できている場合は、組織ネットワーク全体をインターネットから切断するのではなく、侵害を受けているセグメントのみを切り離すなどの対処も有効である。

2. 警察・外部専門機関への相談と身代金支払いのリスク

被害に遭った場合は、速やかに警察への通報・相談を行うことが重要である。

  • 警察への通報
    被害に遭ったら、最寄りの警察署、または警察庁ウェブサイトのサイバー事案に関する通報・相談窓口に通報・相談する。

  • 身代金支払いのリスク
    犯人の要求どおり金銭を支払っても、データが復号される保証も、盗み取ったデータの公開をやめてくれる保証もない。また、支払いは犯罪グループの活動資金となり、さらなる犯罪を助長することになる 。警察は、身代金の支払いには応じず、捜査への協力を求めている。

  • 外部専門機関の活用
    対応の緊急性が高く専門的な知識が必要なため、セキュリティベンダーやJPCERTコーディネーションセンター、IPA(情報処理推進機構)の情報セキュリティ安心相談窓口などの外部の専門機関に相談する。

  • ステークホルダーへの対応
    感染が確認された場合、影響範囲の特定と確認を行い、経営陣への第一報、関係する行政機関への報告、取引先への状況説明など、ステークホルダーへの適切な対応を速やかに行うことが、信頼維持と二次被害の防止に直結する。

3. 国際的な連携による復旧支援

日本の警察は、国際的なサイバー犯罪グループに対し、EUROPOLやFBIなどと連携した国際共同捜査を推進している。また、警察庁は、ランサムウェアグループ「Phobos/8Base」により暗号化されたデータを復号するツールを開発し、広く周知している。このツールは、日本国内において少なくとも14の被害企業が約87万件の被害データの復号に成功するなど、実際の被害回復に貢献しているようだ。

まとめ:ランサムウェアに「人質」にされないための意識と行動

ランサムウェア攻撃は、その手口が巧妙化・組織化し、被害報告件数も高水準で推移するなど、極めて深刻な脅威であり続けている。特にRaaSの普及により攻撃者の敷居が下がり、中小企業を含むあらゆる組織が標的となっている。ランサムウェア攻撃に対し、「正しく知って、正しく恐れる」意識と、技術と人の両輪での継続的な対策こそが、最も有効な防御策である。

【関連記事】

「Qilin(キリン)」とは何者か──アサヒグループを襲ったサイバー攻撃と“ビールが消えた日”の真相
コラム&ニュース コラム
「Qilin(キリン)」とは何者か──アサヒグループを襲ったサイバー攻撃と“ビールが消えた日”の真相
保険見直し本舗で個人情報510万件漏洩か ランサムウェア被害の深層と金融業界への波紋
コラム&ニュース ニュース
保険見直し本舗で個人情報510万件漏洩か ランサムウェア被害の深層と金融業界への波紋

Tags

ライター:

ライターアイコン

森田 啓介

> このライターの記事一覧

システムエンジニアとしてキャリアをスタートし、大手ITベンダーで勤務しつつ、副業でIT系の記事を執筆。2010年よりフリーライターとして独立。IT業界での経験を活かし、エンタープライズからコンシューマー向けテクノロジー、AI、SaaS、DXなど幅広いテーマで執筆

関連記事

タグ

To Top