【2025年版】ランサムウェアの感染経路と効果的な対策法-企業が対策を必要とされる理由とは
企業を標的としたランサムウェア攻撃は、2025年現在も特に注意すべきサイバー攻撃の一つとして存在しており、巧妙化が進むなかで適切な対策が求められています。システム担当者は、システムの安全性を保つためにどのような対策が求められるのでしょうか。
この記事では、ランサムウェアの概要や最新動向と併せて、感染経路や対策方法を解説します。
■ランサムウェアとは
ランサムウェアは「ランサム(身代金)」と「ソフトウェア」を組み合わせた造語で、悪意のあるソフトウェア(マルウェア)の一種です。ランサムウェアに感染すると、コンピュータ内のデータやシステムが暗号化されたり、ロックされたりして利用できなくなり、復旧の見返りに身代金を要求されます。
ランサムウェアの歴史は古く、1989年にWHO国際エイズ会議の参加者に配布されたフロッピーディスクからの感染が最初の事例とされています。その後、現在に至るまで年々巧妙化、複雑化が進んでいる実情です。
2019年頃からは、従来のデータ暗号化だけにとどまらなくなり、「身代金を支払わなければデータを公開する」と脅す「二重脅迫型ランサムウェア」が主流となりました。近年ではDDoS攻撃(標的のサーバーにアクセスを集中させ、サービスを停止させる手法)を組み合わせた「三重脅迫」、被害者の顧客やパートナー企業も脅す「四重脅迫」など手法も多様化しています。
また、最新の傾向として、データを暗号化せずに情報を盗み出して公開すると脅す「ノーウェアランサム」と呼ばれる手法も報告されています。
■ランサムウェアの感染経路に応じた対策が重要な理由
ランサムウェアの感染経路は多様化しているため、リスクを回避するにはそれぞれの経路に応じた適切な対策が重要です。ここでは、その理由について解説します。
◇ランサムウェアが企業活動に与える影響が大きい
ランサムウェア攻撃を受けた企業は、業務停止やデータ喪失などの深刻な影響を受けます。
米国企業のIllumioが2025年1月に公開した調査によれば、ランサムウェア攻撃を受けた日本企業の51%が業務停止に追い込まれたとのことです。また、企業の重要システムの24%が影響を受け、平均で12時間もシステムがダウンする深刻な状況に陥ったことがわかりました。
さらに、ランサムウェア攻撃は一時的なシステム停止にとどまらず、企業の信頼低下や長期的な事業運営に深刻な影響をおよぼす可能性があります。
出典:illumio「Illumioがランサムウェアに関するグローバル調査レポートを発表。 ランサムウェア攻撃を受けた日本企業の51%が、 業務停止に陥ったことが明らかに」
◇テレワーク普及をはじめとする環境変化によるセキュリティリスクの変化
ランサムウェアの感染経路として最も多いものは「VPN機器からの侵入」と、「リモートデスクトップからのアクセス」です。これは警察庁が公表した「令和6年におけるサイバー空間をめぐる脅威の情勢等について」という調査結果からも明らかになっています。
コロナ禍を経て、テレワークの普及やクラウドサービスの業務利用拡大など、企業を取り巻く環境は大きく変化しています。攻撃手法もこのような環境変化に対応してきているため、守る側も対策の見直しが求められるのです。
参考:警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」
◇感染経路特定の重要性と復旧プロセスへの影響
ランサムウェアに感染した際の復旧プロセスにおいて、感染経路を特定することは重要です。なぜなら、復旧の際には感染原因への対処を優先し、その後システムの復旧やファイルの復元などを進めることになるからです。
感染経路を特定できていなければ、復旧後も同じ経路から再感染するリスクが残り、適切な対策・対応を行なうことができません。感染経路を特定すると、同様の感染を未然に防ぐ対策を講じられるようになります。
■ランサムウェアの主要な感染経路と手口
ランサムウェアの感染経路は多岐にわたり、攻撃者はさまざまな侵入経路を狙っています。ここでは、主要な6つの感染経路と、新たな攻撃手法であるノーウェアランサムについて解説します。
◇VPN(Virtual Private Network)
昨今、セキュリティが不十分なVPN機器を経由して、ランサムウェアが侵入するケースが増えています。警察庁が発表した「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によると、侵入経路で最も多いのはVPN機器からの侵入であり、全体の55%を占めています。
コロナ禍におけるテレワークの普及により、多くの企業がVPNを導入しましたが、十分なセキュリティ対策が取られておらず、攻撃者にとって格好の標的となってしまっています。
参考:警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」
◇リモートデスクトッププロトコル(RDP)
リモートデスクトップもランサムウェアの主要な感染経路の一つです。攻撃者は不正に取得した資格証明情報(ID・パスワード)を利用して不正ログインし、ランサムウェアを侵入先のシステムに感染させます。
リモートデスクトップはWindowsの標準機能であり、多くの企業がWindowsを利用していることから狙われやすい傾向にあります。警察庁の調査によれば、リモートデスクトップからの侵入は全体の31%とVPNに次いで多いことがわかっています。
参考:警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」
◇フィッシングメールと添付ファイル
企業ではメールでのやり取りが多く、ランサムウェアが添付されたファイルから感染するケースも多く見られます。従来は不特定多数を対象としたばらまき型でしたが、近年では特定の企業や人物を狙い撃つ「標的型攻撃メール」が増加しています。
また、フィッシングメールを通じて偽のWebサイトに誘導し、そこから悪意のあるファイルをダウンロードさせるケースも増えているため注意が必要です。
◇悪意のあるWebサイト閲覧
悪意のあるWebサイトでは、広告やコンテンツなどにランサムウェアが仕込まれており、閲覧するだけで不正なスクリプトが実行されて感染することがあります。このような攻撃は「ドライブバイダウンロード攻撃」と呼ばれ、ユーザーが気付かないうちにマルウェアがダウンロードされる仕組みです。
また、特定の個人や企業が頻繁にアクセスするWebサイトを改ざんし、アクセスした際に感染させる「水飲み場型攻撃」にも注意が必要です。
◇ソフトウェア・ファイルのダウンロード
メールやWebサイト閲覧からのランサムウェア感染は、ソフトウェアやファイルをダウンロード、実行することで起こります。そのため、安易にソフトウェアやファイルを実行しないよう注意が必要です。
また、一見無害に見える文書ファイルに挿入されている画像や、音楽ファイル、動画ファイルに悪意のあるコードが仕込まれているケースも報告されています。
◇USBメモリやHDDなどの外部記録メディア
ランサムウェアに感染したUSBメモリや外付けドライブなどの外部記録メディアを接続することで、端末内にランサムウェアが侵入するケースもあります。外部記録メディアによる感染は古典的な手法ですが、現在でも注意が必要です。
実際に、意図的に感染させたUSBメモリを標的企業の駐車場や受付などに置き、従業員が拾って接続するように仕向ける「USBドロップ攻撃」も報告されています。このことからも、外部記録メディアは安易に接続しないように注意しましょう。
◇ネットワークへの侵入(ノーウェアランサム)
ノーウェアランサムは、データを暗号化するランサムウェアを使用せずに、機密データを盗み身代金を要求する新たな手口です。従来のランサムウェア対策として有効だったバックアップからのデータ復元では対応できないため、より深刻な脅威となっています。
ランサムウェア対策が広まってきている現在、バックアップでは対処できないノーウェアランサムによる攻撃が増加傾向にあるため注意が必要です。
■感染経路別のランサムウェアの対策方法
システムの安全性を保つには、多岐にわたるランサムウェアの感染経路に応じて適切な対策を講じることが重要です。ここでは、感染経路別の対策方法を解説します。
◇VPN機器のセキュリティ強化策
VPN機器を経由したランサムウェア攻撃への対策として特に重要なことは、定期的なアップデートとパッチの適用です。VPN経由でランサムウェアに感染するおもな原因はVPN機器の脆弱性であるため、最新のバージョンを保つことが重要です。
また、安全性の高いパスワードポリシーの導入や、多要素認証(MFA)の実装により、不正アクセスのリスクを低減することもランサムウェア感染の対策につながります。
◇リモートデスクトップ接続の安全な利用方法の徹底
リモートデスクトップを安全に利用するためには、強固なパスワード設定と多要素認証(MFA)の導入が効果的です。特にMFAの導入は不正アクセスのリスクを大幅に低減することに役立ちます。
また、不要なリモートデスクトップ接続の無効化や、接続元IPアドレスの制限などの対策も有効です。加えて、Windows Updateを定期的に実施し、Windowsの状態を最新に保つことも忘れないようにしましょう。
◇メールセキュリティとフィルタリングの導入
メール経由のランサムウェア感染を防ぐためには、高度なメールフィルタリングシステムの導入が有効です。高度なメールフィルタリングシステムは、悪意のある添付ファイルやフィッシングリンクを含むメールを検出し、ブロックする機能を持っています。
また、不審なファイルやプログラムを安全な仮想環境(サンドボックス)で実行・観察する「サンドボックス解析機能」を活用すれば、未知の脅威も検出できます。これらの機能を持つシステムを社内システムの前段階に配置することで、ユーザーのもとにメールが届く前に対策することが可能です。
◇Webブラウジングにおける防御策
Webサイトの閲覧による感染を防ぐためには、Webフィルタリングの導入が効果的です。Webフィルタリングは、フィッシングサイトやランサムウェアが潜むWebサイトの情報をデータベースとして持ち、それらへのアクセスを自動的に遮断する機能を持っています。
また、ブラウザ自体のセキュリティ設定を強化することも重要です。ブラウザの自動更新を有効にし、常に最新バージョンを使用することでセキュリティを向上できます。
◇ファイルダウンロードの安全性確保
ファイルのダウンロードによる感染を防ぐためには、セキュリティ対策ソフトの導入が基本です。アンチウイルスやアンチマルウェアを導入し、常に最新状態に保つことで、ランサムウェアを含むマルウェアを検出・ブロックできます。
また、侵入後の対策として、脅威を検知して対処することを目的とした「EDR(Endpoint Detection and Response)」の導入も検討するとよいでしょう。EDRを導入すれば、端末上での不審な挙動を監視し、ランサムウェアの活動を早期に検出して対応できるようになります。
◇セキュリティポリシーの策定とセキュリティ教育
外部記録メディアからの感染を防ぐためには、企業内での使用に関する明確なポリシーを策定し、安全なメディアのみを使用するよう徹底することが重要です。セキュリティポリシーの策定と併せて、従業員へのセキュリティ教育の徹底も欠かせません。
どのような感染経路であっても、最終的には従業員の操作や判断が感染の原因になるケースが多いため、システムだけでなく人的な対策も必要不可欠です。
◇ID管理の厳格化、ネットワークセグメンテーションによる被害局所化
ID管理の厳格化とネットワークセグメンテーションは、ランサムウェア対策の重要な柱となります。これらは、ノーウェアランサムのような高度な攻撃に対しても有効です。
ID管理においては、必要最小限の権限のみを付与する「最小権限の原則」を徹底します。万が一アカウントが乗っ取られたとしても、攻撃者の横展開(ラテラルムーブメント)を防げます。
また、ネットワークセグメンテーションは、ランサムウェアの拡散を防ぐ効果的な手段です。ネットワークを機能や重要度に応じて複数のセグメントに分割し、セグメント間の通信を制限することで、感染時の被害を局所化できます。
特に、近年注目されているマイクロセグメンテーションは、より細かい単位でのセグメント分割が可能です。セグメント間の通信をより厳密に制御することで、効果的なランサムウェア対策を講じられます。
無料で使える「トラスト・ログイン(旧 SKUID)」の資料請求はこちら
■ランサムウェア対策には正しいパスワード管理が重要
ランサムウェアへの感染は、VPNやリモートデスクトップ経由が多く、ノーウェアランサムに対しても「不正アクセスを防ぐ」ことが重要です。しかし、厳格なID・パスワード管理はVPNやリモートデスクトップだけでなく、クラウドサービスの業務利用が増えている昨今、多くの従業員の負担となっています。
一人ひとりの従業員が複数のID・パスワードを取り扱うと管理が煩雑になり、結果として簡易的で推測されやすいパスワードを設定してしまいかねません。このような脆弱性をなくすことは、ランサムウェア対策にもつながります。
GMOトラスト・ログインなら、利便性の高い強固なパスワード管理を簡単に実現できます。クラウドサービスとしてID管理ができるIDaaSであるため、導入が容易でさまざまなサービスと連携することが可能です。
また、一度のログインで複数のシステム・サービスを利用できる「シングルサインオン(SSO)」も容易に実現でき、利便性を向上させながらセキュリティを強化できます。多要素認証(MFA)にも対応しており、より強固なセキュリティ対策も可能です。
基本料0円のプランもあるため気軽にお試しいただけます。ランサムウェア対策だけでなく、ID管理の統合や効率化を検討されている場合は、導入を検討してみてはいかがでしょうか。
■まとめ
コンピュータ内のデータやシステムを暗号化・ロックし、身代金を要求するランサムウェアは、企業にとって対策すべきサイバー攻撃の一つです。ランサムウェアが企業に与える影響は非常に大きく、年々巧妙化・複雑化が進んでいるため、対策が難しいと感じる方も多いかもしれません。
しかし、ランサムウェアの手法や感染経路について理解を深め、適切な対策を講じることで、リスクを大幅に低減できます。特に、ランサムウェアにおいてはID・パスワード管理が重要になるため、対策を進めることをおすすめします。
この記事を書いた人
GMOグローバルサイン株式会社
トラスト・ログイン事業部
プロダクトオーナー
森 智史
国内シェアNo.1のSSL認証局GMOグローバルサインで10年間サポート部門に従事。抜群の知識量と分かり易い説明で多くのお客さまからご支持いただく。
現在は自社IDaaSのプロダクトオーナーとしてお客さまの意見を伺いながら使いやすくセキュリティの高いサービスを開発者たちと共に作成中。