ランサムウェアとは?感染経路や手口、対策方法などを解説

ランサムウェアとは?感染経路や手口、対策方法などを解説

近年のサイバーセキュリティ領域において、重大な脅威となっているのがランサムウェアです。多くの企業や個人がランサムウェアによる被害を受け、重要なデータを暗号化されて閲覧・利用できない状態になったり、復号のために身代金を要求されたりしています。特に、近年はリモートワークの普及とクラウドサービスの拡大により、ランサムウェア被害はさらに深刻化しているため注意が必要です。

本記事では、ランサムウェアの感染経路や主な手口、具体的な対策方法について詳しく解説します。

ランサムウェアとは、データと引き換えに金銭を要求するサイバー攻撃のこと

ランサムウェアは、企業や組織のパソコン・スマートフォンといった端末をウイルスに感染させ、保存されているデータを暗号化することで使用できない状態にした上で、データの復号と引き換えに金銭を要求するサイバー攻撃を指します。ランサムウェアは、「身代金(Ransom)」と「ソフトウェア(Software)」を組み合わせた造語です。

企業や組織がランサムウェアの被害に遭うと、社内のデータが暗号化されて業務が停止し、金銭的な損失が発生します。また、多くのケースで機密情報が漏えいするなど、企業の評判や社会的信用を大きく損なうリスクもあります。攻撃者はデータの復号及び盗み出した情報を公開しないことと引き換えに身代金を要求しますが、たとえ支払ったとしても、復号されたり情報が公開されなかったりする保証はありません。そのため、身代金の要求に対して安易に応じることのないよう注意しましょう。

このようなサイバー攻撃は、個人から企業、政府機関に至るまで広範な対象に及びます。近年は特に、ランサムウェアによる被害が急増しているため、業種や企業規模を問わず適切な対策を講じておかなくてはなりません。

ランサムウェアとマルウェアの違い

マルウェアは、コンピューターに悪影響を及ぼすソフトウェア全般のことを指します。ランサムウェアはその一種で、データを暗号化し、復号と引き換えに身代金を要求するタイプのマルウェアです。

マルウェアには、ランサムウェア以外にもウイルスやトロイの木馬、スパイウェアなどさまざまなタイプが存在するほか、種類によって、感染後の動作や攻撃の目的もさまざまです。

主なマルウェアの種類と概要

マルウェアの種類 概要
ウイルス 自己複製能力をもつマルウェア。ファイルやプログラムに感染し、実行されることによってファイルが破損したり、システムが不安定になったりする被害をもたらす。ネットワークを通じて別のコンピューターへと感染範囲を拡大させていくケースもある。
トロイの木馬 正規のプログラムを装ってユーザーを欺き、インストールを促すマルウェア。感染した端末にはバックドアと呼ばれる侵入口が設けられ、攻撃者は端末に気づかれずにアクセスできるようになり、ファイルの盗み出しや操作の乗っ取りなど、遠隔操作が可能になる。
スパイウェア ユーザーの行動を監視することを目的としたマルウェア。キーボード入力履歴を追跡し、クレジットカード情報やパスワードなどを窃取する。

ランサムウェアは、深刻な被害をもたらしかねないマルウェアといえます。ランサムウェアをはじめとするマルウェアへの感染を防ぐには、多層的なセキュリティ対策を講じ、堅牢な防御体制を整えることが重要です。

ランサムウェアの脅威は深刻化している

ランサムウェアの脅威は、近年はますます深刻化しています。IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2025(組織)」では、企業や組織に大きく影響を及ぼしたセキュリティ脅威の第1位に「ランサムウェアによる被害」が挙げられました。ランサムウェアによる被害は、2016年以降10年連続で「情報セキュリティ10大脅威」にて取り扱われており、企業や組織のセキュリティ上の弱点を狙う脅威が、ますます顕在化していることがわかります。

また、警察庁が発表した「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、2024年上半期のランサムウェア被害報告件数は114件でした。流出した情報が、非合法の情報が集まるダークウェブ上のリークサイトに掲載されていたケースも報告されています。前年同期と比べて被害件数が増加傾向にあることからも、ランサムウェアの脅威が増しているのは明らかです。

ランサムウェアの感染経路と主な手口

従来、ランサムウェアを駆使したサイバー攻撃の手口は、不特定多数のユーザーを標的とした電子メールを送信するといったものが主流でした。特定の標的を想定していないことから、こうした攻撃手法は「ばらまき型ランサムウェア」とも呼ばれています。

一方、近年では企業のVPN機器やネットワーク機器の脆弱性を悪用してコンピューターやサーバーに侵入し、ランサムウェアに感染させる手口が増加しています。こうした特定の企業や組織が標的にされる手口が「標的型ランサムウェア」です。さらに、データを暗号化するだけでなく、盗み出したデータを「対価を支払わなければ公開する」と脅迫する、いわゆる「二重恐喝(ダブルエクストーション)」と呼ばれる手口も見られるようになりました。

さらに、データの暗号化を用いない手口による被害も確認されています。標的とする企業や組織からデータを窃取し、データの公開を差し止める見返りとして対価を要求する「ノーウェアランサム」と呼ばれる手口です。このように、ランサムウェアの感染経路は多岐にわたることに加え、その手口も細分化しているのが実態といえます。

ランサムウェアによる攻撃の流れ

ランサムウェアによる攻撃は、「初期侵入」「内部活動」「情報の持ち出し」「ランサムウェアの実行」の4段階で行われるケースが多く見られます。ここでは、ランサムウェア攻撃の流れと、それぞれの段階における主な手口を紹介します。

1. 初期侵入

ランサムウェアによる攻撃は、はじめに、企業や組織が運用しているネットワークへの侵入を試みます。
ランサムウェアを感染させる標的となるコンピューターやサーバーを探ることが初期侵入の主な目的です。侵入経路の一例として、下記のものが挙げられます。

<ランサムウェアの主な侵入経路>

  • フィッシングメール:偽装サイトのURLや悪意のあるプログラムを含む添付ファイルをメールで送る
  • 脆弱性の悪用:VPN機器などに潜む脆弱性を突く
  • リダイレクト:インターネットトラフィックを悪意のあるWebサイトへ強制的に転送する
  • サイト改編:正規のWebサイトに悪意のあるコードを埋め込む

これらの経路から侵入に成功すると、コンピューターやサーバーにランサムウェアが仕掛けられます。この時点では端末や機器類に何ら異常が確認されないケースがほとんどです。一定の潜伏期間を経て、組織内のネットワークを介して感染が広がっていくことも少なくありません。

2. 内部活動

次に、攻撃者はツールを用いてネットワークに接続されているコンピューター等を遠隔操作し、管理者権限などの取得を試みるといった内部活動に着手します。
内部活動の動きを検知されないよう、攻撃者は標的とする企業や組織が利用しているクラウドツールなどの正規サービスを悪用し、監視を逃れようとします。標的にされた企業や組織にとっては、セキュリティ対策として導入しているサービスのため、攻撃者が偽装していることを検知できないこともめずらしくありません。この段階においても端末や機器類に異常は確認されないため、平常どおり業務が行えるでしょう。攻撃者は時間をかけて組織内の権限を奪取し、内部ネットワークを探索可能な状況を築いていくのが特徴です。

3. 情報の持ち出し

組織内の権限奪取によって正規ユーザーと同等の振る舞いができるようになった攻撃者は、企業や組織が保有する重要データを持ち出し始めます。
攻撃者は持ち出したデータを、身代金を要求する材料として利用するため、窃取されたデータは、攻撃者のサーバーにアップロードされ、集約されていきます。

4. ランサムウェアの実行

窃取したデータのアップロードを終えると、攻撃者は標的とする企業や組織へランサムウェアを展開して実行します。
その際、セキュリティ対策ソフトウェアを強制的に停止させるケースも少なくありません。ランサムウェアは企業や組織が保有するデータを暗号化し、対象となる端末に身代金要求画面を表示させ、データ復号と引き換えに身代金を支払うよう脅迫します。この段階で企業や組織は初めてランサムウェアの感染に気づくケースがほとんどです。すでに業務遂行に必要なデータはすでに暗号化されているため、業務の継続が困難になります。

二重脅迫と呼ばれる手口では、データの復号と引き換えに身代金を要求するだけでなく、身代金を支払わなかった場合は窃取したデータをダークウェブなどに公開するとしてさらに脅迫を重ねます。攻撃者に身代金を支払ってもデータの復号は保証されず、さらなる脅迫を招く恐れもあるため、身代金の支払いには決して応じないよう注意しましょう。

ランサムウェアの対策方法

ランサムウェアの被害を防ぐには、事前に適切なセキュリティ対策を講じる必要があります。ランサムウェアに有効な対策方法について見ていきましょう。

最新のセキュリティツールの導入

最新のセキュリティツールの導入はランサムウェアの対策に不可欠といえます。
ランサムウェアをはじめ、サイバー攻撃の手口は多岐にわたっており、従来のウイルス対策ソフトウェアでは検知できないケースもめずらしくありません。近年のサイバー攻撃に対応したセキュリティ対策を講じるには、最新のセキュリティツールを導入するのがおすすめです。

具体的な対策として、AIを活用したEDR(Endpoint Detection and Response)や、次世代ファイアウォールの導入が挙げられます。こうしたセキュリティツールは既知の脅威への備えに役立つだけでなく、未知の脅威についても対応できる点が大きな特徴です。エンドポイント(ネットワークに接続された端末・機器など)の挙動を監視し、異常なトラフィックなど何らかの不審な挙動が確認された際にはすみやかに通知します。結果として、サイバー攻撃が実行される前に脅威を検知し、システムを防御することが可能です。

AI駆動EDRツールの一例として「SentinelOne」が挙げられます。脅威をミリ秒単位で自動検出・隔離するとともに、脅威により発生した被害を修復することにより、企業や組織をリアルタイムでサイバー攻撃から保護します。万が一、サイバー攻撃の被害を受けたとしても、自動修復機能が即時回復するため、業務への影響を最小限に抑えられる点が大きな特徴です。

「SentinelOne」の詳細はこちら

OSやアプリケーションを最新に保つ

OSやアプリケーションを常に最新の状態に保ち、脆弱性を解消することもランサムウェアの対策方法の1つです。
OSやアプリケーションには、リリース時点では発見されていなかった脆弱性が潜んでいるケースが少なくありません。リリース後、期間を経てから脆弱性が発見された場合、都度セキュリティ対策パッチが配布されます。OSやアプリケーションの最新バージョンがリリースされるごとにアップデートを実施し、最新のセキュリティパッチを適用することが大切です。

セキュリティパッチの適用漏れを防ぐには、自動更新をオンにすることをおすすめします。これにより、OSやアプリケーションの最新バージョンへとタイムラグなくアップデートできます。なお、OSやアプリケーションのサポート期限にも注意しましょう。サポート期間が終了すると、アップデートプログラムの配布も停止します。未知の脆弱性への対策も講じられなくなるため、サポート期間がすでに終了しているOSやアプリケーションを利用し続けないようにしなければなりません。最新版へと移行する時期をあらかじめ決めておくなど、計画的な運用が求められます。

従業員向けのセキュリティ教育を実施する

ランサムウェアの対策方法として、従業員向けのセキュリティ教育を定期的・継続的に実施していくことも大切です。
ランサムウェアの対策を目的としたセキュリティツールの導入など、技術的な対策のみでは被害を未然に防ぐことはできません。従業員一人ひとりのセキュリティ意識を高めるとともに、脅威への正しい理解を促すための働きかけが求められます。

前述のとおり、ランサムウェアの侵入経路は多種多様です。フィッシングメールのように、ユーザーの知識不足や認識不足を狙ったサイバー攻撃が存在することも知られています。不審なメールの見分け方を周知したり、個人情報や企業情報を安易に入力しないよう徹底したりするなど、従業員自身がランサムウェアの脅威に備える必要性を理解し、みずから行動できるようにすることが重要です。

また、定期的にセキュリティ研修やサイバー攻撃を受けた際のシミュレーションを実施するなど、知識を適切に活かすための実践の場を設けましょう。過去に判明しているランサムウェアの被害事例を共有し、感染経路や攻撃者の手口について理解を深めておくのも効果的です。ランサムウェアの脅威に対して従業員に当事者意識をもってもらい、各自の判断や行動が被害の防止につながることを十分に認識してもらう必要があります。

データをバックアップする

業務に不可欠なデータは定期的にバックアップし、万が一ランサムウェアに感染しても復元可能な体制を整えておくことも、ランサムウェアの対策方法として挙げられます。
前述のとおり、ランサムウェアによるサイバー攻撃では端末・機器に保存されていたデータが強制的に暗号化され、閲覧・活用ができない状態となります。攻撃者はデータの復号と引き換えに身代金を要求しますが、データがバックアップされていれば身代金の要求に応じるべきか迷う必要はありません。ランサムウェアによるサイバー攻撃の手口は年々巧妙化しているため、被害を完全に防ぐのは困難です。そのため、万が一、被害に遭ったとしても自社でデータを復元できるよう準備を整えておくことをおすすめします。

バックアップには外部ストレージやクラウドサービスを活用し、システムと隔離された場所に保管することが推奨されます。攻撃者によっては、窃取する対象データを暗号化すると同時に、バックアップデータの破壊を試みるケースも想定されるためです。バックアップ先を物理的に隔離し、外部からのアクセスが不可能な状態にするのが望ましいでしょう。

なお、重要なデータが定期的にバックアップされる仕組みを整えておくことは、ランサムウェアをはじめとするマルウェアへの備えに役立つだけではありません。従業員の操作ミスや機器の故障によるデータの消失も防ぐことができます。

セキュリティガイドラインを策定する

自社のセキュリティガイドラインを策定し、ランサムウェアによるサイバー攻撃を想定したルールを明文化することも不可欠なランサムウェアの対策です。
データの取り扱い方法やアクセス権の設定、アプリケーションの使用制限など、業務に関連するセキュリティポリシーを明確に定義することで、効果的かつ客観性の高いセキュリティ対策を講じられます。

具体的には、出所不明の記憶媒体には、マルウェアが潜んでいる可能性があるため、「自社の管理下にないUSBメモリやSDカードの使用を原則として禁止する」といったガイドラインの条項が考えられます。自社が認証した記憶媒体以外を使用しないよう徹底したり、USBメモリそのものを使用できない設定にしたりすることで、こうした脅威を未然に防ぎましょう。

また、外出先でノートパソコン・タブレット端末を利用するシーンを想定し、公衆Wi-Fiへの接続可否や接続方法についてもセキュリティガイドラインに明記することもおすすめします。公衆Wi-Fiのセキュリティレベルはさまざまで、中にはセキュリティ対策が講じられていないものも存在します。「公衆Wi-Fiの利用を原則禁止とする」または「VPN接続のみに限定する」などを明記し、従業員への周知も徹底することも大切です。

さらに、セキュリティガイドラインは策定後も定期的に見直し、常に最新の状態を維持することが求められます。最新のランサムウェアのサイバー攻撃の実態を踏まえ、必要に応じて変更していくのが望ましいといえます。セキュリティガイドラインを更新する際には、変更点とその理由を分かりやすく共有することが大切です。

SOCなどの専門機関と協力し、対策を強化する

ランサムウェアをはじめとするサイバー攻撃の検出と分析を行い、企業に対策の提言をしている専門組織である「SOC(Security Operation Center)」に依頼するのも、ランサムウェアへの有効な対策方法です。
自社内にセキュリティ対策の専門部署を設置していない場合や、人的リソースが限られている場合には、こうした専門機関と連携し、積極的に支援を受けることが有効になります。

特に、近年のランサムウェアのサイバー攻撃は手口が巧妙化していることから、対策には専門的な知識やノウハウが求められます。外部の専門機関と協力することで、より実効性の高いセキュリティ対策が実現できます。SOCについては下記の記事で詳しく解説していますので、こちらも併せてご参照ください。

SOCとは?CSIRT・MDRとの違いや主要業務と役割を解説

重大な脅威となりえるランサムウェアへの対策を講じておくことが重要

ランサムウェアによるサイバー攻撃への備えは、企業の事業継続において欠かせない対策の1つです。ランサムウェアの被害に遭った場合、正常に業務を進められなくなるだけでなく、金銭的損失や社会的信頼の失墜といった甚大な被害を受けることにもなりかねません。さらに、二重脅迫を受けるリスクもあることから、データのバックアップを徹底するとともに、仕組み(ハード)と運用(ソフト)の両面からランサムウェアの対策を講じていくことが大切です。

万が一ランサムウェアに感染しても、攻撃者の脅迫に屈して身代金を支払うことは避けなければなりません。身代金を支払っても、データが復号されるという保証はないからです。むしろ、再度同じ攻撃者やほかの攻撃者による標的になるリスクが高まる可能性があります。そのため、平時からの備えとして、定期的なデータバックアップの実施、セキュリティソフトの最新状態の維持、従業員への教育や訓練など、多層的な対策を組み合わせることが重要です。本記事で紹介したポイントを踏まえ、自社の状況に応じた現実的かつ継続的なセキュリティ対策を進めていきましょう。