ランサムウェアとは？仕組み・感染経路・企業がとるべきセキュリティ対策をわかりやすく解説

ランサムウェアとは？

ランサムウェア（Ransomware）とは、感染したPCやサーバーのデータを暗号化して使用不能にし、その復旧（複合）と引き換えに「身代金（ランサム）」を要求するマルウェアの一種です。

近年は、単にデータを暗号化するだけでなく、機密情報を盗み出し「身代金を支払わなければデータを公開する」と脅す**「二重恐喝（ダブルエクストーション）」**の手口が主流となっており、企業にとって最大級の経営リスクとなっています。

 

ランサムウェア攻撃の仕組み（4つの段階）

ランサムウェアの被害は突然発生するわけではなく、攻撃者は時間をかけて準備を行います。

一般的な攻撃フローは以下の通りです。

1. 1.侵入（Initial Access）: メールやVPN機器の脆弱性を突き、社内ネットワークへ侵入する。
2. 2.潜伏・探索（Discovery）: ネットワーク内を探索し、管理者権限の奪取や重要データの特定を行う。
3. 3.窃取・暗号化（Exfiltration & Encryption）: 情報を外部へ持ち出した後、一斉にデータを暗号化する。
4. 4.脅迫（Impact）: システムを使用不能にし、画面上に脅迫文を表示して身代金を要求する。

 

主な感染経路

企業における主な感染経路は、以下の3つに大別されます。

• ・VPN・リモートデスクトップの脆弱性: テレワーク普及に伴い増加。VPN機器の更新漏れや、安易なパスワード設定が狙われます。
• ・標的型攻撃メール: 業務連絡や請求書を装ったメールの添付ファイルやURLを開かせる手口です。
• ・脆弱性の放置: OSやソフトウェアのアップデートを行わず、既知の脆弱性が残っている端末が入り口となります。

 

企業が実施すべきランサムウェア対策

対策は「侵入を防ぐ技術的対策」と「被害を最小限にする運用的対策」の両面が必要です。

 

技術的対策（侵入を防ぐ）

• ・OS・ソフトの最新化: 脆弱性を塞ぐため、更新プログラムを迅速に適用する。
• ・認証の強化: VPN等の外部接続には多要素認証（MFA）を導入する。
• ・セキュリティ製品の導入: EDR（Endpoint Detection and Response）等を導入し、侵入後の不審な挙動を検知できるようにする。

運用的対策（被害軽減と復旧）

• ・オフラインバックアップ: バックアップデータをネットワークから切り離して保管し、ランサムウェアによる暗号化を防ぐ。
• ・復旧訓練の実施: バックアップから実際にシステムを戻せるか定期的にテストする。
•  

よくある質問（FAQ）

Q. ランサムウェアに感染したらどうすればいいですか？

A. まずは感染端末をネットワークから切り離し（LANケーブルを抜く、Wi-Fiを切る）、被害の拡大を防ぎます。その後、警察やセキュリティ専門機関へ相談してください。身代金の支払いは推奨されません。

Q. バックアップがあれば大丈夫ですか？

A. バックアップデータ自体が暗号化されるケースが増えています。ネットワークから物理的に隔離した「オフラインバックアップ」や、書き換え不可能なストレージへの保存が重要です。

Q. なぜセキュリティソフトを入れているのに感染するのですか？

A. 設定の不備や更新漏れ、または正規の管理ツールを悪用して検知をすり抜ける手口があるためです。「侵入されることを前提」とした多層防御が必要です。