ランサムウェアとは、パソコンやサーバ、ファイル共有環境などに保存されたデータを暗号化し、元に戻す対価として金銭や暗号資産を要求する不正プログラムです。
近年は、単にファイルを暗号化するだけではありません。攻撃者が事前にデータを盗み出し、「身代金を支払わなければ情報を公開する」と脅す二重恐喝の手口も多く確認されています。
企業がランサムウェアに感染すると、ファイルが使えなくなるだけでなく、業務システムの停止、個人情報漏えい、取引先への影響、問い合わせ対応、復旧費用、ブランド信頼の低下など、事業継続に大きな影響が出る可能性があります。
本記事では、ランサムウェアの意味、感染時に起きる被害、主な侵入経路、企業が確認すべき対策をわかりやすく整理します。
ランサムウェアとは
ランサムウェアとは、マルウェアの一種です。
感染すると、パソコンやサーバに保存されたファイルを暗号化し、利用できない状態にしたうえで、復旧のために金銭を要求します。
「ransom」は身代金、「ware」はソフトウェアを意味します。つまり、ランサムウェアは、データやシステムを人質に取って金銭を要求する不正プログラムです。
企業で感染すると、以下のような画面やメッセージが表示されることがあります。
- ファイルを暗号化した
- 復号したければ暗号資産を支払え
- 支払わなければデータを公開する
- 支払い期限を過ぎると復旧できなくなる
- 連絡用サイトにアクセスしろ
ただし、身代金を支払っても、必ずデータが戻る保証はありません。
復号キーが渡されない、復旧できるのは一部だけ、再度脅迫される、攻撃者の資金源になる、といったリスクもあります。
ランサムウェアとウイルス・マルウェアの違い
ランサムウェアは、広い意味ではマルウェアの一種です。
用語の関係を整理すると、以下のようになります。
| 用語 | 意味 |
|---|---|
| マルウェア | 悪意のあるソフトウェア全般 |
| ウイルス | 自己増殖や感染拡大を行う不正プログラムの一種 |
| ランサムウェア | データを暗号化し、復旧と引き換えに金銭を要求するマルウェア |
| スパイウェア | 情報を盗み取ることを目的とするマルウェア |
| トロイの木馬 | 正常なソフトやファイルに見せかけて侵入するマルウェア |
ランサムウェアの特徴は、感染後の被害が非常にわかりやすいことです。
ファイルが開けない、システムが使えない、業務が止まる、脅迫文が表示されるなど、被害が表面化しやすい一方で、実際には感染前から攻撃者が社内ネットワークに侵入し、情報を盗み出しているケースもあります。
ランサムウェア感染で起きる主な被害
ランサムウェアの被害は、単に「ファイルが暗号化される」だけではありません。
企業では、以下のような複数の被害が同時に発生する可能性があります。
1. ファイルやデータが暗号化される
もっとも典型的な被害は、業務で使うファイルやデータが暗号化され、開けなくなることです。
暗号化される可能性があるものには、以下があります。
- 共有フォルダ
- 業務ファイル
- 顧客情報
- 会計データ
- 受発注データ
- 設計データ
- 医療・研究データ
- 画像・動画データ
- バックアップデータ
- ログファイル
ランサムウェアによって暗号化されたファイルは、一般的には簡単に復号できません。
そのため、バックアップが残っていない場合、データ復旧が難しくなる可能性があります。
2. 業務システムが停止する
サーバやファイル共有環境が暗号化されると、業務システムが利用できなくなることがあります。
たとえば、以下のような影響です。
- 受注処理ができない
- 出荷業務が止まる
- 予約システムが使えない
- 会員サイトにログインできない
- コールセンターが顧客情報を確認できない
- 医療機関で検査・予約・部門システムが使えない
- 社内メールやファイルサーバが停止する
ランサムウェア被害では、情報漏えいだけでなく、事業停止そのものが大きな問題になります。
3. 個人情報や機密情報が流出する
近年のランサムウェア攻撃では、暗号化の前にデータを盗み出す手口が多く見られます。
この場合、企業は「ファイルを復旧できるか」だけでなく、「情報が外部に流出したか」を調査しなければなりません。
流出する可能性がある情報には、以下があります。
- 顧客情報
- 従業員情報
- 取引先情報
- 本人確認書類
- 決済情報
- 口座情報
- 医療情報
- 契約書
- 見積書
- ソースコード
- 研究データ
- 社内メール
個人情報が漏えいした、または漏えいしたおそれがある場合、関係者への通知や行政機関への報告が必要になることがあります。
4. 二重恐喝を受ける
二重恐喝とは、データを暗号化するだけでなく、事前に盗み出した情報を公開すると脅して、金銭を要求する手口です。
従来のランサムウェアは、
ファイルを暗号化した。元に戻したければ支払え。
という形が中心でした。
しかし現在は、
ファイルを暗号化した。さらにデータも盗んだ。支払わなければ公開する。
という形が増えています。
この場合、バックアップからシステムを復旧できたとしても、情報流出リスクが残ります。
企業は、復旧対応と同時に、漏えい可能性のあるデータの範囲、外部公開の有無、関係者への説明、再発防止策を整理する必要があります。
5. 取引先や委託元に影響が広がる
ランサムウェア被害は、自社だけで完結しないことがあります。
委託先や取引先から預かったデータを保有している場合、その情報が暗号化・窃取されると、委託元や取引先にも影響が及びます。
たとえば、以下のようなケースです。
- 物流委託先のシステム停止で出荷が遅れる
- コールセンター委託先から顧客情報が流出する
- 開発会社の端末からソースコードが漏れる
- 予約システムの運用委託先が攻撃を受ける
- 医療・教育機関の研究データが外部に流出する
ランサムウェア対策では、自社システムだけでなく、委託先や外部パートナーを含めたサプライチェーン管理が重要になります。
6. 復旧費用・調査費用・問い合わせ対応が発生する
ランサムウェア被害では、復旧に大きなコストがかかります。
発生し得る費用には、以下があります。
- フォレンジック調査費用
- セキュリティ専門会社への対応費用
- システム再構築費用
- バックアップ復元費用
- 追加のセキュリティ対策費用
- 問い合わせ窓口の設置費用
- 顧客・取引先への通知費用
- 法務・広報対応費用
- 業務停止による売上機会損失
被害発生後の対応費用は、事前対策よりも高くなることが多くあります。
ランサムウェアの主な侵入経路
ランサムウェアは、さまざまな経路から企業環境に侵入します。
特に近年注意したいのは、VPN機器やリモートアクセス環境、認証情報の悪用です。
1. VPN機器やリモートアクセス機器の脆弱性
テレワークや外部接続で使われるVPN機器、リモートアクセス機器、ネットワーク機器の脆弱性が悪用されるケースがあります。
特に注意したいのは以下です。
- VPN機器の更新が止まっている
- 脆弱性へのパッチ適用が遅れている
- 管理画面が外部公開されている
- 初期設定のまま使っている
- 不要なリモート接続が残っている
VPNやリモートアクセスは、社内ネットワークへの入口です。
ここを侵害されると、攻撃者が内部へ侵入し、横展開してランサムウェアを展開する可能性があります。
2. 弱いパスワード・認証情報の流出
パスワードが弱い、使い回されている、外部に流出している場合も、侵入のきっかけになります。
たとえば、以下のような状態です。
- 管理者アカウントのパスワードが簡単
- VPNに多要素認証がない
- RDPの認証が弱い
- 共有アカウントを使っている
- 退職者のアカウントが残っている
- 委託先アカウントの管理が不十分
攻撃者は、盗まれた認証情報を使って正規ユーザーのようにログインすることがあります。
この場合、入口の通信だけを見ると、正規アクセスに見えるため発見が遅れることがあります。
3. メールの添付ファイルやリンク
メール経由でマルウェアに感染させる手口もあります。
攻撃者は、請求書、配送通知、取引連絡、採用応募、問い合わせなどを装い、添付ファイルを開かせたり、リンクをクリックさせたりします。
特に注意が必要なのは以下です。
- 不審な添付ファイル
- マクロ付きOfficeファイル
- 圧縮ファイル
- 偽のクラウドストレージリンク
- 偽のログインページ
- 取引先を装ったメール
- 返信メールのように見える攻撃メール
メール対策では、フィルタリングだけでなく、従業員教育と不審メール報告の仕組みも必要です。
4. 委託先・外部パートナー経由
委託先や外部パートナーのアカウント、端末、接続環境が侵害され、自社システムに影響する場合もあります。
たとえば、以下のようなケースです。
- 委託先が管理画面へアクセスできる
- 開発会社がVPNアカウントを持っている
- 保守会社がリモート接続できる
- 外部の運用会社が顧客データを扱っている
- 委託先端末に重要データが保存されている
企業は、自社だけでなく、外部パートナーの接続権限やセキュリティ水準も確認する必要があります。
5. 管理されていない端末・部門管理端末
本社の情報システム部門が管理していない端末も、ランサムウェアの入口になることがあります。
たとえば、以下のような端末です。
- 部門が独自に管理するPC
- 研究室端末
- 検証用端末
- 古い業務端末
- サポート用端末
- 一時利用端末
- 退役予定のサーバ
- 外部ストレージ接続用端末
こうした端末に機微情報が保存されていたり、社内ネットワークに接続されていたりすると、被害が広がる可能性があります。
ランサムウェア感染が疑われる兆候
ランサムウェア感染時には、以下のような兆候が現れることがあります。
- ファイルが開けない
- ファイル名や拡張子が変わっている
- 身代金要求のメッセージが表示される
- デスクトップ壁紙が変わる
- 共有フォルダ内のファイルが一斉に暗号化される
- サーバやPCの動作が急に重くなる
- 不審な通信が発生している
- 管理者アカウントで見覚えのない操作がある
- 大量のファイルアクセスがある
- セキュリティソフトが停止されている
- バックアップやログが削除されている
こうした兆候がある場合、すぐに被害範囲を確認し、感染拡大を防ぐ必要があります。
感染時に企業が行うべき初動対応
ランサムウェア感染が疑われる場合、初動対応が非常に重要です。
焦って端末を初期化したり、ログを消したりすると、原因調査が難しくなることがあります。
1. 感染端末をネットワークから隔離する
まず重要なのは、感染拡大を防ぐことです。
感染が疑われる端末は、ネットワークから切り離します。
- LANケーブルを抜く
- Wi-Fiを切る
- VPN接続を切る
- 共有フォルダへの接続を止める
- 必要に応じてネットワーク単位で隔離する
ただし、証跡保全の観点から、むやみに電源を落とさない方がよい場合があります。
現場で迷わないように、事前に対応手順を決めておくことが重要です。
2. 被害範囲を確認する
次に、どの範囲まで影響が及んでいるかを確認します。
- どの端末が感染したか
- どのサーバが影響を受けたか
- どの共有フォルダが暗号化されたか
- どのアカウントが悪用されたか
- どのデータが窃取された可能性があるか
- バックアップは無事か
- ログは残っているか
- 外部公開やリークサイト掲載の兆候はあるか
被害範囲の確認は、自社だけで難しい場合があります。
必要に応じて、セキュリティ専門会社や外部機関に相談します。
3. ログと証跡を保全する
原因調査にはログが必要です。
以下の情報を保全します。
- 端末ログ
- サーバログ
- 認証ログ
- VPNログ
- ファイアウォールログ
- プロキシログ
- EDRログ
- クラウド監査ログ
- 管理者操作ログ
- 不審ファイル
- ランサムノート
- 暗号化されたファイルの拡張子
- 攻撃者との接触履歴
ログが暗号化・削除される可能性もあるため、日頃からログを安全な場所に保管しておくことが重要です。
4. 関係者へ連絡する
ランサムウェア被害では、社内外の関係者連携が必要です。
連絡先として想定されるのは以下です。
- 経営層
- 情報システム部門
- セキュリティ担当
- 法務
- 広報
- カスタマーサポート
- 委託先
- 取引先
- セキュリティ専門会社
- 警察
- JPCERT/CC
- 所管省庁
- 個人情報保護委員会
特に個人情報が漏えいした可能性がある場合は、法令やガイドラインに基づく報告・通知が必要になることがあります。
5. 復旧は原因対処後に行う
バックアップが残っていても、すぐに復元すればよいとは限りません。
原因を取り除かないまま復旧すると、再び暗号化される可能性があります。
復旧前には、以下を確認します。
- 侵入経路を塞いだか
- 攻撃者のアカウントやバックドアを排除したか
- 悪用された認証情報を変更したか
- 脆弱性にパッチを適用したか
- 感染端末を再構築したか
- バックアップ自体が感染・改ざんされていないか
- 復旧後の監視体制を強化したか
ランサムウェア対策では、「復旧できるか」だけでなく、「再感染しない状態に戻せるか」が重要です。
企業が確認すべきランサムウェア対策
ランサムウェア対策は、感染防止、被害拡大防止、早期検知、復旧の4つを組み合わせる必要があります。
1. バックアップをオフラインまたは分離環境で保管する
ランサムウェア対策で最も重要な対策のひとつがバックアップです。
ただし、単にバックアップを取っているだけでは不十分です。
ランサムウェアは、ネットワーク上のバックアップやログまで暗号化することがあります。
そのため、以下を確認しましょう。
- 重要データを定期的にバックアップしているか
- バックアップをネットワークから分離しているか
- オフラインバックアップを保管しているか
- クラウドバックアップの権限を制限しているか
- バックアップから実際に復旧できるかテストしているか
- 世代管理をしているか
- バックアップの削除権限を制限しているか
バックアップは「ある」だけではなく、「戻せる」ことが重要です。
2. VPN機器・リモートアクセス環境を更新する
VPN機器やリモートアクセス環境は、ランサムウェア攻撃の入口になりやすい領域です。
以下を確認しましょう。
- VPN機器の脆弱性に対応しているか
- ファームウェアを更新しているか
- 不要なリモート接続を停止しているか
- 管理画面へのアクセスを制限しているか
- VPNアカウントに多要素認証を導入しているか
- 接続元IPを制限しているか
- 退職者・委託先アカウントを削除しているか
リモートアクセスは便利ですが、攻撃者にとっても入口になります。
定期的な棚卸しが必要です。
3. 多要素認証を導入する
ID・パスワードだけでは、認証情報が盗まれた場合に不正ログインを防ぎにくくなります。
特に以下には多要素認証を導入したいところです。
- VPN
- リモートデスクトップ
- クラウド管理画面
- メール
- ファイル共有
- 管理者アカウント
- 開発環境
- 委託先アカウント
ただし、多要素認証も万能ではありません。
フィッシングでワンタイムパスワードが盗まれるケースもあるため、重要な環境ではフィッシング耐性のある認証方式や、端末認証、条件付きアクセスも検討します。
4. 権限を最小化する
ランサムウェアは、侵入後に権限を広げ、ネットワーク内の複数端末や共有フォルダへ被害を拡大します。
そのため、権限管理が重要です。
確認すべき項目は以下です。
- 一般ユーザーに管理者権限を付与していないか
- 共有フォルダの権限が広すぎないか
- 退職者アカウントが残っていないか
- 委託先アカウントの権限が過剰でないか
- 管理者アカウントを日常業務で使っていないか
- 特権IDの利用ログを確認しているか
権限を最小化しておくことで、侵入された場合の被害範囲を抑えやすくなります。
5. EDR・ログ監視を導入する
ランサムウェアは、実行前や実行中に不審な挙動を見せることがあります。
たとえば、大量のファイル操作、不審な通信、セキュリティ機能の停止、管理者権限の悪用などです。
EDRやログ監視により、こうした挙動を早期に検知できる可能性があります。
確認すべきログは以下です。
- 端末ログ
- サーバログ
- 認証ログ
- VPNログ
- 管理者操作ログ
- ファイルアクセスログ
- クラウド監査ログ
- EDRアラート
- ファイアウォールログ
重要なのは、ログを取るだけでなく、見て判断できる体制を作ることです。
6. ネットワークを分離する
ひとつの端末が感染しても、組織全体に広がらないようにするには、ネットワーク分離が重要です。
たとえば、以下のような分離です。
- 事務系ネットワーク
- 基幹システム系ネットワーク
- 開発・検証環境
- バックアップ環境
- 研究・部門管理環境
- 委託先接続環境
- ゲストWi-Fi
ネットワークを分けるだけでなく、不要な通信を遮断し、例外的な接続を管理することが必要です。
7. 重要データの保存場所を把握する
ランサムウェア被害では、どの情報が暗号化・窃取されたかの確認が重要になります。
そのため、日頃から重要データの保存場所を把握しておく必要があります。
確認すべき情報は以下です。
- 顧客情報
- 従業員情報
- 取引先情報
- 契約書
- 本人確認書類
- 決済情報
- 医療・研究データ
- ソースコード
- ログデータ
- バックアップデータ
特に、ローカルPC、共有フォルダ、部門管理サーバ、クラウドストレージ、委託先環境に重要情報が分散していないかを確認しましょう。
8. インシデント対応手順を整備する
ランサムウェア被害では、発生後に慌てて対応を考えると遅れます。
事前に以下を決めておきましょう。
- 感染疑い時の連絡先
- 端末隔離の手順
- 電源を落とすかどうかの判断基準
- ログ保全の手順
- 外部専門家への連絡先
- 警察・JPCERT/CCへの相談手順
- 個人情報漏えい時の報告・通知手順
- 顧客・取引先への説明方針
- 復旧優先順位
- 代替業務の手順
- 広報対応の文面
机上演習や復旧訓練を行っておくと、実際の被害時に動きやすくなります。
モバイル不正対策ラボの見解
ランサムウェアは、モバイルアプリそのものを狙う攻撃とは少し違います。
しかし、金融アプリ、決済アプリ、会員サービスを運営する企業にとっても、決して無関係ではありません。
なぜなら、モバイルアプリの裏側には、必ずサーバ、API、管理画面、カスタマーサポート環境、本人確認データ、ログ分析環境、委託先運用環境があるからです。
たとえば、以下のような環境がランサムウェア被害を受けると、モバイルアプリ事業にも大きな影響が出ます。
- 会員情報を扱う管理画面
- 本人確認書類を扱う審査端末
- 決済・送金データを扱う業務端末
- カスタマーサポート端末
- APIサーバ
- ログ分析基盤
- 開発・検証環境
- 委託先の運用端末
- ファイル共有環境
つまり、モバイル不正対策では、アプリ利用者の不正ログインやアプリ改ざんだけでなく、アプリ事業を支える業務環境そのものの保護も重要です。
アプリのセキュリティと、社内・委託先・運用環境のセキュリティは分けて考えるのではなく、一体で設計する必要があります。
企業向けランサムウェア対策チェックリスト
最後に、企業が確認すべき項目を整理します。
| 項目 | 確認ポイント |
| バックアップ | オフラインまたは分離環境で保管しているか |
| 復旧テスト | バックアップから実際に戻せるか確認しているか |
| VPN対策 | VPN機器の脆弱性を修正しているか |
| 認証強化 | VPN・管理画面・クラウドに多要素認証を導入しているか |
| 権限管理 | 管理者権限や共有フォルダ権限を最小化しているか |
| 端末管理 | 業務端末、開発端末、委託先端末を管理しているか |
| EDR | 不審挙動を検知できる仕組みがあるか |
| ログ保全 | 認証ログ、VPNログ、操作ログを安全に保管しているか |
| ネットワーク分離 | 重要システムと一般端末を分離しているか |
| データ管理 | 重要データの保存場所を把握しているか |
| 委託先管理 | 外部パートナーの接続権限を棚卸ししているか |
| 初動対応 | 感染時の連絡・隔離・調査手順を整備しているか |
| 通報・相談 | 警察、JPCERT/CC、外部専門家への相談先を整理しているか |
| 教育 | 不審メールや添付ファイルへの注意喚起を行っているか |
| BCP | システム停止時の代替業務を決めているか |
まとめ
ランサムウェアとは、パソコンやサーバ内のデータを暗号化し、復旧と引き換えに金銭を要求する不正プログラムです。
近年は、データを暗号化するだけでなく、事前に情報を盗み出し、公開をちらつかせて脅す二重恐喝の手口も増えています。
企業が感染すると、ファイルが使えなくなるだけでなく、業務停止、個人情報漏えい、取引先への影響、復旧費用、ブランド毀損など、事業継続に大きな影響が出る可能性があります。
対策では、バックアップ、VPN機器の脆弱性対策、多要素認証、権限最小化、EDR、ログ監視、ネットワーク分離、委託先管理、インシデント対応手順を組み合わせることが重要です。
ランサムウェアを完全に防ぐことは簡単ではありません。
だからこそ、侵入されにくくする対策、侵入されても早期に気づく仕組み、被害を広げない設計、確実に復旧できるバックアップ、迷わず動ける初動対応を準備しておく必要があります。
参考情報
- 警察庁「ランサムウェア被害防止対策」
- IPA「ランサムウェア対策特設ページ」
- JPCERT/CC「侵入型ランサムウェア攻撃を受けたら読むFAQ」
- JPCERT/CC「インシデント相談・情報提供」
- IPA「中小企業の情報セキュリティ対策ガイドライン」