ランサムウェアとは?感染経路と対策、被害事例をわかりやすく解説

2026-06-18

ランサムウェアとは
ランサムウェアとは

ランサムウェアとは、データを暗号化して身代金を要求する悪質なマルウェアです。2024年の日本国内における被害報告件数は222件、2025年は226件にのぼり、依然として高水準で推移しています。

近年では、データ暗号化に加えて機密情報の公開を脅迫する「二重脅迫」や、暗号化せずに情報窃取のみで脅す「ノーウェアランサム」など、手口はますます巧妙化してきました。

「自社は大丈夫」と思っていても、メール添付ファイルやWebサイト閲覧、取引先経由など、感染経路は多岐にわたり、誰もが被害者になる可能性があります。実際に、被害企業の約6割を中小企業が占めているとの報告もあり、企業規模を問わず深刻な脅威です。

本記事では、ランサムウェアの基礎知識から最新の被害事例、具体的な感染経路、実践的な予防策・対処法まで、企業のセキュリティ担当者や経営者が知っておくべき情報を網羅的に解説します。自社の大切なデータと事業を守るために、すぐに対策を始めましょう。

ランサムウェアは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、コンピューターやスマートフォンを標的とする悪意のあるマルウェアの一種です。

感染するとコンピューター内のデータが暗号化され、使用不能な状態に陥ります。攻撃者は暗号化したデータの復元と引き換えに、被害者に対して金銭や暗号資産(仮想通貨)などを要求してくるでしょう。

近年では、攻撃手法が多様化しています。データを暗号化したうえで情報公開も脅迫する「二重脅迫」、さらに取引先への脅迫や一斉に大量のアクセスやデータを送りつけるDDoS(ディードス)攻撃を組み合わせる「多重脅迫」、暗号化せずに情報窃取のみで脅す「ノーウェアランサム」など、被害者への圧力を高める手口が増加している状況です。

近年、ランサムウェアがもたらす被害は年々拡大し、社会的な脅威となっています。警察庁による最新の調査結果「令和7年における サイバー空間をめぐる脅威の情勢等について」から、日本企業が直面している脅威の実態を見ていきましょう。

2-1. 被害件数は依然多い

2025年に警察庁が公表したデータによれば、ランサムウェアによる被害件数は226件を記録し、前年からほぼ横ばいながらも高止まりの状態が続いています。

引用:警察庁サイバー警察局「令和7年上半期における サイバー空間をめぐる脅威の情勢等について」
引用:警察庁サイバー警察局「令和7年上半期における サイバー空間をめぐる脅威の情勢等について」
引用:警察庁サイバー警察局「令和7年上半期における サイバー空間をめぐる脅威の情勢等について

特に注目すべきは、組織規模別の被害状況です。前年と同様に中小企業が約6割を占めていました。業種別では製造業が約4割となっており、続いて卸売・小売業、サービス業、情報通信業が被害に遭っています。

引用:警察庁サイバー警察局「令和7年上半期における サイバー空間をめぐる脅威の情勢等について」
引用:警察庁サイバー警察局「令和7年上半期における サイバー空間をめぐる脅威の情勢等について」
引用:警察庁サイバー警察局「令和7年上半期における サイバー空間をめぐる脅威の情勢等について

2-2. サービス停止による事業への影響

ランサムウェア攻撃を受けると、業務システムが暗号化され、企業活動の中核機能が停止します。その影響は、IT部門にとどまらず、事業全体へと連鎖的に波及するでしょう。

実際の被害事例では、以下のような影響が報告されています。

影響 詳細
生産・製造ラインの停止 製造指示や在庫管理システムが使えず、生産活動が停止
受注・出荷業務の停滞 顧客からの注文を受けられず、製品の出荷もできない状態に
物流・サプライチェーンへの波及 取引先への納品遅延が発生し、関連企業にも影響が拡大
財務報告の遅延 決算処理や報告業務に支障をきたし、投資家や株主への説明責任が果たせなくなる

さらに、調査・復旧にかかる費用も高額化しています。ランサムウェア被害に遭った企業・団体などへのアンケート結果によると、1,000万円以上の費用を要した組織の割合は、全体の5割を超えていました。

復旧期間に関しては、1ヶ月未満での復旧を達成した組織が全体の約半数強にすぎず、相当数の組織で復旧の長期化が見られました。

引用:警察庁サイバー警察局「令和7年上半期における サイバー空間をめぐる脅威の情勢等について」
引用:警察庁サイバー警察局「令和7年上半期における サイバー空間をめぐる脅威の情勢等について」
引用:警察庁サイバー警察局「令和7年上半期における サイバー空間をめぐる脅威の情勢等について

特に中小企業では、この費用負担が経営に深刻な影響を与えています。

ランサムウェア攻撃は、あらゆる業種・規模の組織が標的となり得ます。国内における代表的な被害事例を紹介しますので、実際に起きた攻撃者の手口を知りましょう。

3-1. 事例1:グループ会社を経由した攻撃

2025年9月、飲料メーカーA社が管理する国内システムがランサムウェア攻撃の被害に遭い、個人情報など約191万件が流出した可能性があると同年11月に公表しました。

攻撃者による攻撃手順は、まずグループ傘下拠点のネットワーク機器を足がかりとしてデータセンターへアクセスし、その後一斉にランサムウェアを実行するというものです。サイバー攻撃に起因するシステム障害の結果、グループ国内各社の受発注・配送業務が機能停止に陥り、お客様相談窓口の対応業務も停止する状況となりました。

これに対し、同社が実施した内容は、感染の封じ込め対応とシステムの復旧作業、再発防止に向けたセキュリティ強化策の構築です。対応の結果、ランサムウェア感染からおよそ2ヶ月が経過した時点で、EOS(電子受発注システム)を用いた受注業務の復旧を果たすことができました。

この事例は、グループ会社のネットワーク機器が攻撃の侵入経路となり、組織全体に影響が広がる可能性を示しています。

3-2. 事例2:窃取した認証情報による不正アクセス

ある通販大手企業は、2025年10月19日にランサムウェア攻撃を受け、大規模なシステム障害が発生しました。この攻撃により物流システムが暗号化されて出荷業務が全面停止し、約72万件の顧客情報を含む業務情報が流出する事態となりました。

同年12月12日に公表された調査結果によると、攻撃者は多要素認証が適用されていなかった認証情報を窃取し、社内ネットワークへの不正侵入に成功していたことが判明しています。侵入後、攻撃者はEDRなどのセキュリティ対策ソフトを無効化しながら複数のサーバー間を移動し、必要な権限を奪取してネットワーク全体へアクセスできる状態を構築しました。

さらに、バックアップファイルも同時に削除されたため、システム復旧に長期間を要することとなりました。同社は2026年1月21日の第17報で、業務停止前に提供していたすべての商品購入が可能になったと復旧状況を報告しています。

以下のページでは、2025年にマルウェア攻撃で悪用されたゼロデイ脆弱性の検証を行っています。あわせてご覧ください。

HP Wolf Security ブログ:2025年にマルウェア攻撃で悪用されたゼロデイ脆弱性の検証(2026年3月2日)

ランサムウェアは、さまざまな経路から侵入を試みます。感染リスクをもたらす主なルートを特定し、それぞれに対して的確な措置を取ることが、被害を未然に防ぐうえで不可欠です。

主要な感染経路は、以下のとおりです。

感染経路 概要
メール 添付ファイルや本文中のリンクを開くことで感染
Webサイト 改ざんされたWebサイトの閲覧で自動的にダウンロード
ファイルダウンロード 不正なソフトウェアやファイルに潜む
外部記憶媒体 USBメモリーなどを介した感染

特に近年では、VPNやリモートデスクトップ(RDP)の脆弱性を突いた侵入も増加しています。テレワークの普及にともない、これらのリモートアクセス手段を狙った攻撃が活発化しているため、十分な注意が必要です。

4-1. メール添付ファイルやリンク経由

ランサムウェアの代表的な感染経路が、メールの添付ファイルやリンクを経由したものです。特に、有名企業や取引先、友人・知人になりすまして送られてくるフィッシングメールには注意が必要です。

メールによる感染は、以下のような手口で発生します。

不正な添付ファイルを開封する
メール本文内の不正なリンクをクリックし、マルウェアをダウンロードする
リンク先のWebサイトで不正なソフトウェアをインストールする

特に危険性が高いのは、実行形式ファイル(拡張子が「.exe」)やJavaScriptファイル(拡張子が「.js」)などです。これらのファイルを開くだけで、ランサムウェアがパソコン内に侵入し、ファイルの暗号化が始まってしまいます。

不審なメールを受信した際は、送信元のアドレスや本文の内容を慎重に確認し、少しでも違和感があれば添付ファイルを開かない、リンクをクリックしないという判断が重要です。

4-2. Webサイト閲覧経由

Webサイトの閲覧を通じてランサムウェアに感染する手口は、利用者が悪意のあるコードが埋め込まれたWebサイトにアクセスするだけで、自動的にランサムウェアがダウンロード・実行される仕組みです。「ドライブバイダウンロード攻撃」とも呼ばれています。

正規のWebサイトであっても、攻撃者によって改ざんされている場合があるため、信頼できるWebサイトを閲覧していても感染リスクがあります。特に、セキュリティパッチが適用されていないブラウザやプラグインの脆弱性を悪用されるケースもあるため、注意が必要です。

また、不正な広告(マルバタイジング)を経由した感染も増加しています。一見正常な広告バナーに見えても、クリックすることで悪意のあるサイトに誘導され、ランサムウェアに感染してしまうことがあります。

このような被害を防ぐためには、ブラウザやプラグインを常に最新の状態に保ち、怪しいWebサイトへのアクセスを避けることが重要です。

4-3. ファイルダウンロード経由

インターネット上からファイルをダウンロードする際、ランサムウェアが仕込まれたプログラムやソフトウェアのダウンロードにより感染するケースがあります。特に注意が必要なのは、フリーソフトウェアのダウンロードや、正規を装ったダウンロードサイトの利用です。

信頼できないダウンロードサイトから提供されるフリーソフトには、ランサムウェアが組み込まれている可能性があります。攻撃者は、不正なインストーラーにランサムウェアを仕込み、ユーザーがダウンロードして実行することで感染を狙ってくるでしょう。

また、一見正規のソフトウェアに見せかけたダウンロードサイトに誘導し、不正なファイルをダウンロードさせる手口も確認されています。

このような被害を防ぐために、ソフトウェアのダウンロードは必ず公式Webサイトから行い、出所不明のファイルはダウンロードしないことが重要です。

4-4. USBメモリーなどの外部記憶媒体経由

USBメモリーやSDカードなどの外部記憶媒体を介した感染も、重要な経路の一つです。この経路では、以下のような仕組みでマルウェアが侵入します。

マルウェア侵入の仕組み 詳細
自動再生機能の悪用 Windows の AutoRun機能により、USBメモリーを接続した瞬間に自動的にマルウェアが実行される
隠しファイルからの感染 通常のファイルを装ったマルウェアをユーザーが開くことで感染
取引先とのファイル共有時 外部とのデータ受け渡しの際、感染済みファイルが混入
個人用USBメモリーの無断使用 従業員が私物のUSBメモリーを業務で使用し、マルウェアを持ち込む

特に危険なのは、感染したUSBメモリーを社内ネットワークに接続されたパソコンに挿入することで、組織全体へ感染が拡大するおそれがあります。外部記憶媒体の管理ルールを明確にし、不明なUSBメモリーは使用しないことが重要です

ランサムウェアの感染経路については、以下の記事も参考にしてください。

HP Tech&Device TV:ランサムウェアの感染経路とは?RDPやVPN経由など5つの経路と対策(2022年11月2日)

近年では、データを暗号化するだけでなく、二重・三重・四重に脅迫する「多重脅迫」、暗号化をともなわない「ノーウェアランサム」など、新たな手口も増加傾向です。

5-1. 従来型:暗号化と身代金要求

ランサムウェア攻撃の基本的な手口が、従来型の暗号化と身代金要求です。攻撃者はまず企業のコンピューターやサーバーに侵入し、重要なファイルやデータベースを暗号化して使用不能な状態にします。

暗号化が完了すると、被害者の画面にはデータを復元する代わりに身代金支払いを求める脅迫メッセージが表示されます。支払期限や金額も明示され、期限を過ぎるとデータが永久に失われる、あるいは要求額が増額されるといった脅しが加えられることもあるでしょう。

この従来型の手口は比較的シンプルですが、業務の停止や重要データの喪失という深刻な被害をもたらします。そのため、多くの企業が攻撃の標的となり続けています。

5-2. 多重脅迫型:複数の脅迫手段を組み合わせ

多重脅迫型ランサムウェアは、データの暗号化と情報窃取に加え、複数の脅迫手段を組み合わせて被害者への圧力を段階的に強めていく攻撃手法です。具体的には、以下の手法があります。

手法 詳細
二重脅迫(ダブルエクストーション) 従来の「データを取り戻したくば、身代金を払え」という脅迫に加えて、身代金の要求に応じなければ窃取したデータを暴露すると、二段階にわたって被害者を追い詰める手口
三重脅迫(トリプルエクストーション) 二重脅迫に加え、盗んだデータに含まれる顧客や取引先へ直接脅迫メールを送る手口
四重脅迫(クアドラプルエクストーション) 三重脅迫に加えてDDoS攻撃を仕掛け、企業のWebサイトやサービスを停止させる手口

二重脅迫では、データを暗号化する前段階で機密情報を窃取しておき、被害組織が身代金の支払いを拒否した場合には、盗んだデータを暴露サイトに公開したり、オークション形式で第三者に販売したりします。実際に、「Sodinokibi(別名 REvil)」などのランサムウェアグループが、窃取した情報などを販売するオークションサイトを立ち上げた事例も確認されています。

一方、三重脅迫は、これに顧客や取引先への脅迫が加わる手口です。被害企業だけでなく関係者全体へ圧力をかけ、企業の評判低下リスクを高めます。

そして、四重脅迫は三重脅迫に加え、DDoS(ディードス)攻撃を仕掛け、企業のWebサイトやサービスを停止させる手口です。DDoS攻撃とは、複数の端末(ボットネット)から標的のサーバーやWebサイトに大量のアクセスやデータを送りつけ、サービスをダウンさせるサイバー攻撃です。身代金を支払わなければ事業継続が困難になる状況を作り出します。

5-3. ノーウェアランサム:暗号化せずに脅迫

ノーウェアランサムは、データを暗号化せずに窃取し、情報漏えいをちらつかせながら金銭を要求する、いわゆる「暴露型恐喝」の攻撃スタイルです。

従来型との主な違いは、以下のとおりです。

項目 従来型 ノーウェアランサム
データ暗号化 あり なし
システム停止 発生する 発生しない
検知難易度 容易 困難

システムが正常に動作し続けるため、被害に気づきにくい特徴があります。警察庁の統計によると、被害件数は2024年に22件、2025年に17件でした。

引用:警察庁「令和7年における サイバー空間をめぐる脅威の情勢等について」
引用:警察庁「令和7年における サイバー空間をめぐる脅威の情勢等について」
引用:警察庁「令和7年における サイバー空間をめぐる脅威の情勢等について

ノーウェアランサムは、攻撃のスピードも速く、暗号化プロセスが不要なため短時間で完了します。業務が継続できることで、被害企業が風評被害をおそれて秘密裏に支払いに応じてしまうケースもあります。

ランサムウェア攻撃は年々進化しており、近年では標的型攻撃の増加、RaaS(Ransomware as a Service)の台頭、生成AIの悪用などの傾向が顕著になっています。最新動向の把握により、自社に迫る脅威を正確に理解し、より実効性の高い対策を講じることが可能です。

6-1. 標的型攻撃の増加傾向

近年、ランサムウェア攻撃は無差別型から標的型へと移行しています。

警察庁によると、近年は、標的型攻撃メールなどの添付ファイルによる感染は少なくなってきており、外部インターネットに公開されている機器や接続口を悪用し、攻撃者が遠隔からネットワーク内部へ不正に入り込む侵入手法が増加傾向にあるようです。具体的には、全体の感染経路の6割以上が、VPNやリモートデスクトップ用の機器からの侵入となっており、攻撃者は未修正の脆弱性、漏えいした認証情報や簡易なパスワード、設定不備などを悪用して組織のネットワークへ侵入しています。

特に注目すべきは、大企業だけでなく中小企業も標的になっている点です。中小企業はセキュリティ対策が手薄な場合が多く、大企業のサプライチェーンの一部として狙われるケースも増加しています。

6-2. RaaS(Ransomware as a Service)による攻撃の容易化

近年のランサムウェア被害急増の背景には、「RaaS(Ransomware as a Service)」と呼ばれるビジネスモデルの普及があります。RaaSは、ランサムウェアをサービスとして提供する仕組みで、攻撃ツールの「運営者」と、実際の攻撃を行う「実行者」に役割が分かれています。

RaaSの最大の脅威は、専門的な技術知識をもたない者でも、月額利用料を支払うだけで容易にランサムウェア攻撃を実行できる点です。手順書の配布や24時間体制の問い合わせ対応まで備えたRaaSも存在し、その洗練されたサービス品質は本物のITビジネスを彷彿とさせます。

攻撃が成功して身代金が支払われると、運営者と実行者の間で収益が分配される仕組みとなっており、双方に金銭的インセンティブが働きます。運営者は安定した収益源を確保できるため、より巧妙な攻撃手法の開発に集中でき、攻撃の高度化と被害拡大の悪循環を生み出している現状です。

6-3. 生成AIを悪用した新たな脅威

生成AIを攻撃者が悪用し、これまで高度な技術を要したサイバー攻撃が誰でも実行可能となり、脅威が急速に拡大しています。具体的には、以下のような形で悪用されています。

目的 AI活用方法
攻撃の準備 標的企業に関する情報収集や脆弱性の特定を生成AIが支援
攻撃の実行 マルウェアの作成や攻撃手順の自動化を生成AIが補助
フィッシング攻撃の高度化 不自然さのない日本語メールを大量生成し、標的型攻撃を容易に実施

特に注目すべきは、2025年8月に発見された「PromptLock」というランサムウェアです。このマルウェアは生成AIを活用して動的にコードを生成するため、従来型のセキュリティソフトでは検知しにくい性質をもっており、対策をより困難なものにしています。

また、音声合成や画像生成によるディープフェイク技術も深刻化しており、経営幹部になりすました不正送金指示などの被害が報告されています。

ランサムウェアにお悩みの方(無料試用キャンペーン)
ランサムウェアにお悩みの方(無料試用キャンペーン)
ランサムウェアにお悩みの方(無料試用キャンペーン)

ランサムウェア対策においては、「感染してから対処する」だけでなく、「感染させない環境を整える」という予防の視点が重要です。攻撃者は常に脆弱性を探しており、一度侵入を許してしまうと、被害の拡大を防ぐことは困難になります。

技術的な対策から組織的な取り組みまで、多層的なアプローチで防御体制を構築することが、ランサムウェアから組織を守る鍵となります。企業が今すぐ実践すべき5つの予防策を具体的に解説しますので、それぞれの対策を段階的に導入し、自社のセキュリティレベルを着実に向上させていきましょう。

7-1. セキュリティパッチの適用と脆弱性管理

OSやソフトウェアの脆弱性を放置すると、サイバー攻撃の侵入口となってしまいます。ランサムウェア被害の多くは、すでに修正パッチが提供されている既知の脆弱性を悪用されています。

実際、警察庁の調査では、2025年にランサムウェア被害を受けた企業71件のうち40件が未適用のセキュリティパッチがあったと報告されました。

ランサムウェアにお悩みの方(無料試用キャンペーン)
ランサムウェアにお悩みの方(無料試用キャンペーン)
引用:警察庁サイバー警察局「令和7年上半期における サイバー空間をめぐる脅威の情勢等について

効果的な脆弱性管理には、以下のプロセスが重要です。

  • ベンダーから提供される脆弱性情報とパッチ情報を継続的に収集
  • 自社のIT資産に該当する脆弱性を特定し、緊急度を判断
  • 本番環境への影響を確認するため、事前にテスト適用を行う
  • 段階的にパッチを展開し、適用状況を記録・管理

パッチ管理ツールの活用により、適用漏れを防ぎ、効率的な脆弱性管理が実現できます。

7-2. 次世代型エンドポイントセキュリティの導入

従来型のアンチウイルスソフトでは、パターンマッチング方式により既知のマルウェアしか検知できず、ファイルレス攻撃やゼロデイ攻撃といった新たな脅威には対応が困難です。こうした限界を補うために、AIや機械学習を活用した次世代型エンドポイントセキュリティの導入が効果的です。

次世代型エンドポイントセキュリティには、主に以下の技術が含まれます。

技術 詳細
NGAV(次世代アンチウイルス) シグネチャに依存せず、プログラムの「振る舞い」を監視することで、未知のマルウェアやファイルレス攻撃にも対応。侵入を未然に防ぐ事前防御型の対策として機能する。ただし、完全な侵入阻止を保証するものではなく、EDRとの併用が前提
EDR(Endpoint Detection and Response) マルウェアの侵入を前提とし、端末の挙動を常時監視。不審な動作を検知すると感染端末を自動的に隔離し、インシデント調査を支援。ただし、ソリューションによる

これらを組み合わせた多層防御により、侵入前と侵入後の両面から包括的な保護が実現します。

7-3. 従業員へのセキュリティ教育と意識向上

ランサムウェア対策において、従業員のセキュリティ意識向上は極めて重要です。どれほど高度なセキュリティシステムを導入していても、従業員が悪意あるメールを開いたり不審なリンクを踏んだりした瞬間に、その防御は崩れてしまいます。

効果的なセキュリティ教育を実施するには、以下の方法が推奨されます。

教育方法 特徴
eラーニングの活用
  • 時間や場所の制約がなく、各自のペースで学習可能
  • 理解度テストによる習熟度の確認ができる
  • 受講状況の一元管理が容易
定期的な訓練の実施
  • 標的型攻撃メールを模した訓練が可能
  • 最新の攻撃手法に関する情報共有ができる
  • インシデント発生時の対応フローを確認できる

定期的な教育と訓練を通じて、従業員一人ひとりが「最後の防衛線」としての役割を果たせる組織体制を構築しましょう。

7-4. 情報資産の棚卸しと把握

ランサムウェア対策として、まず自社にどのような情報資産が存在するかを正確に把握することが重要です。攻撃者は価値の高い情報を狙うため、守るべき資産を明確にしておかなければ、適切な防御策を講じられません。

情報資産の棚卸しでは、以下のような項目を洗い出します。

  • 顧客情報や取引先データ
  • 経営・財務に関する情報
  • 設計図や開発ソースコードなどの知的財産
  • 人事評価や給与情報
  • システム設定やログ情報

これらを一覧化し、それぞれの重要度や機密性を評価すると、どの情報を優先的に保護すべきかが明確になります。また、保存場所やアクセス権限もあわせて整理しておくことで、万が一の感染時にも被害範囲を迅速に特定できます。

情報資産の可視化は、セキュリティ対策の第一歩であり、ランサムウェアのリスクを最小化するための基盤となります。

7-5. アクセス権限の適切な管理

ランサムウェア攻撃では、特権IDが窃取されることで被害が拡大するケースが多く見られます。そのため、アクセス権限の適切な管理が重要です。

特に、以下のポイントを押さえた管理体制を構築しましょう。

ポイント 詳細
特権アカウントの管理
  • 管理者権限の付与は必要最小限に限定し、正式な認可プロセスを経て付与する
  • 特権IDは通常業務用のIDとは別に管理し、特権作業時のみ使用する
  • 特権アカウントの利用状況を定期的にレビューし、不要な権限は速やかに削除する
アクセス履歴の記録と監視
  • 特権アカウントの操作ログを取得し、改ざんできない形で保管する
  • ログを定期的にレビューし、不正なアクセスや操作がないか監視する
パスワード管理の徹底
  • 特権アカウントのパスワードは定期的に変更し、担当者の異動時には即座に更新する
  • パスワードは適切な方法で管理、共有し、漏えいリスクを最小化する

これらの対策は、情報セキュリティ管理基準やFISC安全対策基準でも規定されている基本的な管理項目です。

ランサムウェア攻撃を完全に防ぐことは困難ですが、万が一感染した場合でも被害を最小限に抑えるための備えが重要です。

事前の備えとして以下3つの対策を実施すると、攻撃を受けた際の影響を大幅に軽減できる可能性があります。

8-1. 「3-2-1-1-0ルール」に基づくバックアップ体制

ランサムウェア被害を最小化するには、従来の3-2-1ルールをさらに強化した「3-2-1-1-0ルール」に基づくバックアップ体制の構築が推奨されます。

具体的には、以下の要件を満たすバックアップ運用を行います。

要件 詳細
3つのコピー データはコピーして合計3つ作成する
2種類のメディア 異なる種類のメディアでバックアップを保管する
1つはオフサイト バックアップの1つは別の場所で保管する
1つはオフライン/イミュータブル バックアップの1つはオフラインで保管、もしくは不変ストレージを使用してデータ改ざんに備える
0エラー バックアップはエラーゼロで完了させる

この方式により、物理的に接続されているHDDやネットワーク接続されたNASがランサムウェアで暗号化されても、オフラインまたは不変のバックアップからデータを復旧することが可能です。業務データだけでなく、システム稼働に必要な設定ファイルやプログラムも含めてバックアップ対象を選定することが重要です。

8-2. EDRによる監視体制の構築

ランサムウェア攻撃は侵入を完全には防げないという前提に立ち、侵入後の異常な挙動を早期に検知する体制が重要です。EDRは、各端末の操作ログや通信履歴を常時収集し、不審な動きをリアルタイムで検知・対応できるセキュリティツールです。

EDRを導入することで、以下のような監視体制が実現できます。

既知のマルウェアだけでなく、ファイルレス攻撃など未知の脅威も振る舞い分析により発見
被害拡大を防ぐため、疑わしい端末をネットワークから即座に切り離し
侵入経路や影響範囲を時系列で把握し、原因究明と再発防止に活用

特にランサムウェアは、暗号化が始まる前の初期段階で検知できれば、被害を最小限に抑えられます。EDRによる常時監視体制は、事後対応の要となる重要な備えです。

8-3. インシデント発生時の報告体制整備

ランサムウェア被害が発生した際、迅速かつ適切な対応を行うためには、事前に明確な報告体制を整備しておくことが重要です。

最初のステップとして、社内の連絡体制を整備し、異常を察知した担当者がセキュリティ責任者や経営層へ迅速に報告できる経路を明確にしておきましょう。経営者は報告を受けた後、即座に対応方針を指示できるよう、判断基準を事前に定めておく必要があります。

また、社外への報告先や被害者本人・取引先への通知、必要に応じた問い合わせ窓口の開設なども体制に含めておくと、被害拡大の防止と信頼維持につながります。

ランサムウェアへの感染が発覚した際、感染直後にどのような行動をとるかによって、その後の被害の広がり方が大きく変わってきます。ネットワーク隔離、関係機関への報告、原因究明など、段階的な対処法を詳しく説明します。

9-1. 即座にネットワークから隔離

ランサムウェアの感染が疑われる場合、最初に行うべきことは、感染したデバイスをネットワークから即座に切り離すことです。これにより、マルウェアが他のパソコンやサーバー、NAS(ネットワークストレージ)などへ横展開することを防ぎます。

具体的な隔離手順は、以下のとおりです。

有線LANケーブルを物理的に抜く
Wi-Fi接続を無効化する
可能であれば電源を切らずに隔離する(証拠保全のため)

特に注意すべきは、ローカルネットワーク内での感染拡大です。1台のパソコンが感染すると、同じネットワークに接続された他のデバイスにも次々と感染が広がる可能性があります。

NASに保存されたファイルも暗号化されるおそれがあるため、迅速な隔離が被害の最小化につながります。

また、感染が疑われる段階で、むやみにファイルを開いたり、USBメモリーなどの外部記憶媒体を接続したりしないことも重要です。感染が疑われる端末は、再起動しないようにしてください。

9-2. 関係機関への報告

ランサムウェアに感染した場合は、被害の拡大を防ぐためにも速やかに関係機関へ報告することが重要です。主な報告先としては、以下の機関が挙げられます。

個人情報が漏えいしたおそれがある場合:個人情報保護委員会
業法で求められる場合:所管省庁
犯罪性がある場合:警察
ウイルス感染や不正アクセスの場合:独立行政法人情報処理推進機構(IPA)

取引先や顧客に影響が及ぶ場合は、速やかに状況を説明し、二次被害の防止に努めましょう。報告を怠ると、被害の拡大だけでなく、法的責任を問われる可能性もあります。

9-3. 原因の究明と影響範囲の特定

ネットワークから隔離した後は、速やかに感染原因と影響範囲の特定を行います。この調査は、二次被害の防止と再発防止策の策定に不可欠です。

具体的には、以下の項目を調査します。

項目 詳細
感染経路の特定 メール、Webサイト、外部媒体など、どこから侵入したかを確認
感染端末の範囲 何台の端末が感染しているか、どのシステムに影響が及んでいるかを調査
データの暗号化状況 どのファイルやサーバーが暗号化されたかを把握
情報漏えいの有無 攻撃者によるデータ窃取の痕跡を確認

この調査は専門的な知識が必要となるため、セキュリティベンダーやフォレンジック専門家への依頼を推奨します。調査結果は、関係機関への報告や被害拡大防止の判断材料となります。

また、調査内容は詳細に記録し、今後の対策強化に活用することが重要です。

9-4. 身代金支払いは推奨されない

ランサムウェア被害に遭った場合でも、身代金の支払いは推奨されません。その理由として、以下の点が挙げられます。

犯罪組織の資金源となる
復旧の保証がない
法的リスクの可能性が生じる

安易な支払い判断は、経営判断として不合理と評価され、役員の善管注意義務違反に問われるリスクもあります。一方で、支払わないという判断が責任を問われる可能性は極めて低いとされています。

ランサムウェアは、企業にとって深刻な脅威であり続けています。感染すると事業停止や情報漏えいなど、重大な被害をもたらす可能性があるため、予防と備えの両面から対策を講じることが不可欠です。

メール添付ファイルやWebサイト閲覧など、日常的な業務の中に感染経路が潜んでいるため、従業員一人ひとりのセキュリティ意識向上が重要となります。同時に、セキュリティパッチの適用や次世代型エンドポイントセキュリティの導入といった技術的対策も欠かせません。

特に、未知の脅威に対しても有効な「脅威の封じ込め」技術を持つエンドポイントセキュリティの活用が効果的です。例えば、HP Wolf Pro Securityは、マルウェアの攻撃をパソコンから隔離し、ランサムウェアの侵入を防ぎます。さらに、ディープラーニングAIによる未知の脅威検出や、クラウドベースの一元管理機能により、IT部門の負担を軽減しながら強固なセキュリティ体制を構築することが可能です。

また、万が一の感染に備えたバックアップ体制の整備も忘れてはなりません。日頃からの備えが、企業の事業継続を守る鍵となります。

今なら、あなたの組織のサイバー攻撃リスクを無料で確認できます
今なら、あなたの組織のサイバー攻撃リスクを無料で確認できます

今なら、あなたの組織のサイバー攻撃リスクを無料で確認できます

HP Wolf Pro Security のクラウドベースの管理コンソールを実際にお試しいただき、お使いのPCがウイルスに感染していないか、今なら無料で確認することができます。
今すぐ無料で確認する

HPは、ビジネスに Windows 11 Pro をお勧めします。

Windows 11 は、AIを活用するための理想的なプラットフォームを提供し、作業の迅速化や創造性の向上をサポートします。ユーザーは、 Windows 11 のCopilotや様々な機能を活用することで、アプリケーションやドキュメントを横断してワークフローを効率化し、生産性を高めることができます。

組織において Windows 11 を導入することで、セキュリティが強化され、生産性とコラボレーションが向上し、より直感的でパーソナライズされた体験が可能になります。セキュリティインシデントの削減、ワークフローとコラボレーションの加速、セキュリティチームとITチームの生産性向上などが期待できる Windows 11 へのアップグレードは、長期的に経済的な選択です。旧 Windows OSをご利用の場合は、AIの力を活用しビジネスをさらに前進させるために、Windows 11 の導入をご検討ください。

※このコンテンツには日本HPの公式見解を示さないものが一部含まれます。また、日本HPのサポート範囲に含まれない内容や、日本HPが推奨する使い方ではないケースが含まれている可能性があります。また、コンテンツ中の固有名詞は、一般に各社の商標または登録商標ですが、必ずしも「™」や「®」といった商標表示が付記されていません。

ハイブリッドワークに最適化された、Windows 11 Pro+HP ビジネスPC

ハイブリッドなワークプレイス向けに設計された Windows 11 Pro は、さらに効率的、シームレス、安全に働くために必要なビジネス機能と管理機能があります。HPのビジネスPCに搭載しているHP独自機能は Windows 11 で強化された機能を補完し、利便性と生産性を高めます。

詳細はこちら

日本HP 公式オンラインストア
HP Directplus
用途やニーズでカスタマイズ可能

法人向けPC国内シェアNo.1。直販サイト限定の多彩なラインナップと特別キャンペーンをお見逃しなく。信頼のパフォーマンスと強固なセキュリティを備えた最新モデルを、1台からお得にお見積り可能。ビジネスを加速させる最適なPCソリューションを、あなたの手に。

HPのダイレクトストアはこちら

「サイバーセキュリティ」の人気記事

サイバーセキュリティ