ランサムウェアとは?種類や被害事例、具体的な対策をわかりやすく解説
ランサムウェアは、企業にとって大きな脅威となっており、業務停止や機密情報の漏えい、金銭的損失など、深刻な被害を引き起こしています。「ランサムウェアとは何か?」「どのように対策すれば良いのか?」といった疑問や不安を抱えている方も多いのではないでしょうか。
本記事では、ランサムウェアの基本的な仕組みから近年の被害事例、企業が取り組むべき対策まで詳しく解説します。さらに、クラウド移行時のセキュリティ対策の強化についてもご紹介します。
ランサムウェアとは?わかりやすく解説
ランサムウェアとは、コンピューター内のファイルを暗号化して利用不能にするマルウェアの一種です。攻撃者は暗号化されたファイルを復元する手段として、金銭や暗号資産などの「身代金」を要求します。「ランサムウェア」という名称は、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。
ランサムウェアに感染すると、パソコンやスマホのデータが暗号化され、アクセスできなくなります。攻撃者は暗号化したデータを復元する条件として、「身代金」を要求します。支払い手段としてビットコインなどの暗号通貨を指定するケースが一般的です。ただし、身代金を支払ってもデータが完全に復元される保証はないどころか、追加の身代金を何度も要求されるリスクがあります。
ランサムウェアは現在、代表的なサイバー攻撃の手法のひとつです。IPAが公開した「情報セキュリティ10大脅威 2025」では、ランサム攻撃による被害が10年連続1位となりました。ランサムウェアの仕組みや対策方法を理解し、被害の予防と早期対応に努めることが重要です。
【参考】「情報セキュリティ10大脅威 2025」を決定 | プレスリリース | IPA 独立行政法人 情報処理推進機構
ランサムウェアの歴史
ランサムウェアの歴史は、1989年に登場した「AIDSTrojan」から始まります。当時はインターネットが普及しておらず、外部媒体を介して感染する仕組みでした。その後、2005年頃から端末内のデータを暗号化する手法が広まり、2010年には端末をロックするタイプのランサムウェアも出現しました。
2013年に登場した「CryptoLocker」は、外部サーバーと連携して暗号化を行う高度な手法を採用し、復号が困難になったことで脅威が拡大。さらに、2017年には「WannaCry」が世界中で猛威を振るい、多くの企業にセキュリティ対策強化の必要性を認識させました。
その後もランサムウェアは進化を続け、2019年頃からはデータ窃取と公開を組み合わせた「二重脅迫」の手口が普及。近年では「Ransomware as a Service(RaaS)」による攻撃が増え、被害の規模と複雑さが増しています。
このようなランサムウェアは基本的な形は変わっていないものの、その手口は巧妙になっています。そのため、企業は最新の動向に注視し、セキュリティ対策を常にアップデートしなければなりません。
ランサムウェアの感染経路
ランサムウェアは、さまざまな経路を通じてシステムに侵入します。主な感染経路は、以下のとおりです。
このような感染経路を正しく理解し、適切な対策を講じることが被害防止の第一歩です。
二重脅迫(ダブルエクストーション)とノーウェアランサム攻撃の違い
.png)
ランサムウェア攻撃には、大きく分けて以下の2種類があります。
二重脅迫(ダブルエクストーション)とノーウェアランサム攻撃は、データの扱い方が異なります。
二重脅迫(ダブルエクストーション)は、データを暗号化して使用不能にしたうえで窃取データの公開をちらつかせ、金銭を要求する手口です。この方法は従来型のランサムウェアに窃取の要素を加えたもので、企業にとって大きな脅威となっています。
一方、ノーウェアランサム攻撃は、データを暗号化せずに窃取する手口です。暗号化の手間を省くため攻撃が迅速に行われ、被害者は攻撃に気づきにくいという特徴があります。データの暗号化が行われないため、データが使用できなくなることはありませんが、身代金を支払わなければ機密情報を公開するという脅迫を受けることになります。
ランサムウェアの攻撃手順
ランサムウェア攻撃は、主に以下の4つの手順に分けられます。
それぞれ順番に解説します。
ステージ1:初期侵入
ランサムウェア攻撃の第一段階である「初期侵入」は、攻撃者が標的とする組織の内部ネットワークに不正にアクセスする段階です。
攻撃者は、マルウェアの配布やVPN・リモートデスクトップ(RDP)の脆弱性の悪用など、複数の手法を用いて初期侵入を試みます。
ステージ2:内部活動
「内部活動」は、初期侵入に成功した攻撃者が、標的のネットワーク内でランサムウェアを実行するための準備を進める段階です。内部活動では、攻撃者は遠隔操作ツールを用いてより多くの端末にアクセスし、できるだけ高い権限を獲得しようと試みます。
また、多くの場合、検知や監視を逃れるために正規の管理ツールを悪用します。たとえば、システム管理者が使用するツールやクラウドストレージサービスを悪用することによって、通常の活動に紛れ込み、発見されにくくします。
ステージ3:データ窃取
「データ窃取」は、攻撃者が企業のネットワーク内を詳細に探索し、重要なデータを窃取する段階です。顧客情報、財務情報、知的財産など、企業にとって重要なデータを盗み出し、被害者に対する情報暴露の脅迫材料として利用します。
窃取したデータは、攻撃者側の管理するサーバーに送信されます。暗号化通信や、通常のトラフィックに紛れ込ませる手法などを用いて、攻撃者はできるだけ痕跡を残さないようにするため、検知は困難です。
ステージ4:ランサムウェアの実行
最後はランサムウェアの実行です。攻撃者の多くは、確実にランサムウェアを実行するために、事前にセキュリティ対策ソフトや監視システムを停止させます。その後、グループポリシー機能などを利用し、ネットワーク全体にランサムウェアを展開します。
ランサムウェアが実行されると、ファイルは暗号化され、復号鍵がない限り使用できません。攻撃者は端末に身代金要求画面を表示し、金銭を要求します。
ランサムウェア攻撃により受ける被害
企業は、ランサムウェア攻撃によって、さまざまな被害を受けます。ランサムウェア攻撃による主な被害は、以下のとおりです。
それぞれの具体的な内容を解説します。
業務・サービスの一時停止
ランサムウェアに感染するとデータが暗号化され、端末やシステムが使用できなくなります。その結果、従業員は業務に必要なデータにアクセスできなくなり、業務の継続が困難になります。
たとえば、オンラインサービスを提供する企業では、サイトやアプリが利用できなくなり、ユーザーからの信頼を失いかねません。これにより、サービス停止による収益減少だけでなく、長期的なブランド価値の低下を招くリスクもあります。
こうした被害を最小限に抑えるためには、定期的なバックアップの取得やシステムの多層防御といった対策が必要です。
機密情報の漏えい
ランサムウェア攻撃は、業務停止だけでなく機密情報の漏えいという深刻な被害をもたらします。攻撃者が要求する身代金を拒否した場合、窃取された機密情報が公開されるリスクがあります。
機密情報の具体例は、以下のとおりです。
このように、機密情報には顧客や取引先といったステークホルダーの情報も含まれるため、情報漏えいは企業の信用を大きく損なってしまいます。
金銭的損失
ランサムウェア攻撃は、企業に多大な金銭的損失をもたらします。主な損失の要因は以下のとおりです。
対応費用だけでも、1000万円を超えるケースも珍しくありません。こうした損失を防ぐためには、日頃から適切なセキュリティ対策を講じ、従業員への教育を徹底することが重要です。
社会的信用の低下
ランサムウェア攻撃による業務停止は、企業の社会的信用を大きく損なうリスクがあります。特にECサイトや金融機関など、生活に密着したサービスを提供する企業では、顧客への影響が顕著です。加えて、顧客情報や企業の機密情報が漏えいすれば、取引先からの信頼も失われます。
一度失った社会的信用を回復するのは難しく、ブランド価値の低下やビジネス機会の損失を招くため、迅速なセキュリティ対策が不可欠です。
ランサムウェア攻撃による被害事例
ランサムウェア攻撃は、大企業や公的機関でも例外ではありません。その深刻さを示す具体的な事例を以下に紹介します。
ランサムウェアによる大規模システム障害
ある国内メーカーは、ランサムウェア攻撃による大規模なシステム障害を受け、国内外の工場が一時的に操業を停止しました。
攻撃者は社内ネットワークの中枢サーバーに侵入し、重要なデータを暗号化。加えて、ネットワークポリシーの変更や外部からの通信を遮断することで、管理者によるランサムウェア攻撃の検知や対策を妨害しました。
この事例は、ランサムウェア攻撃がデータ暗号化だけでなく、企業活動全体に重大な影響を与えるリスクを示す一例といえるでしょう。
フィッシングメール起因の大規模サーバー障害と情報漏えい
次は、大手企業がランサムウェア攻撃を受け、サーバー障害と機密情報の漏えい被害に遭った事例です。このランサムウェア攻撃は、フィッシングメールを通じて従業員アカウントが侵害されたことが発端とされています。漏えいした情報は、従業員や取引先、登録ユーザーの個人情報など、広範囲に及ぶものでした。
この事例は、技術的なセキュリティ対策に加えて、従業員へのセキュリティ教育が不可欠であることを示しています。
二重脅迫と個人情報の流出
また、あるゲーム会社は、ランサムウェアの攻撃を受け、顧客、従業員、関係者の個人情報が流出する被害に遭いました。
攻撃者は旧式VPN装置の脆弱性を悪用し、テレワーク対応で使用されていた予備システムから侵入しました。さらに「二重脅迫」という手法で暗号化したデータの復旧だけでなく、窃取情報を公開するという脅迫も受けました。
この事例は、セキュリティ対策の不備がランサムウェア攻撃の大きな隙となることを示しています。
サプライチェーン攻撃による業務システム停止
最後に、サプライチェーンを狙ったランサムウェア攻撃による大規模なシステム障害の事例です。
ある企業が業務委託先のVPN機器の脆弱性を突かれ、RDP(リモートデスクトッププロトコル)経由でメインの情報システムに侵入されました。結果、管理している端末の半数以上がランサムウェアに感染する大きな被害となりました。システムの完全復旧には数か月かかり、その間、業務システムは利用できない状態になりました。
ランサムウェア攻撃の被害者となった企業は、踏み台にされ関連会社への加害者になってしまう危険性もあります。一時的な自社業務への影響や経済的損失だけでなく、長期的な信頼も失ってしまうため、適切なセキュリティ対策と継続的な監視・更新が必要となります。
代表的なランサムウェアの種類
ランサムウェアにはさまざまな種類があり、攻撃手口や感染経路などがそれぞれ異なります。加えて、近年ランサムウェアはますます高度化し、新しいバリエーションが次々と登場しています。代表的なランサムウェアは、以下のとおりです。
それぞれの特徴や攻撃手法について詳しく解説します。
WannaCry
WannaCryは、2017年に世界的に大きな被害をもたらした代表的なランサムウェアのひとつです。Windowsの脆弱性を悪用して拡散し、被害者の操作を全く必要とせず自動的に感染を広げる特徴があります。
これまで150か国以上で20万台を超えるコンピューターを感染させ、被害額は全世界で40億ドルに達すると言われています。WannaCryの登場はサイバーセキュリティの重要性が改めて認識される契機となりました。
Ryuk
Ryukは、2018年から活動が確認されているランサムウェアの一種で、大規模な企業や組織を主な標的としています。標的の規模に応じて高額な身代金を要求する特徴があり、要求額が10万ドルを超えるケースも少なくありません。
Ryukの主な感染経路は、フィッシングメールで、添付ファイルやリンクを開くと感染が広がる仕組みです。
Maze
Mazeは、2019年頃から活発に活動している、二重脅迫を特徴とするランサムウェアです。Mazeは被害者のデータを暗号化するだけでなく、窃取したデータの公開を迫り、脅迫することを目的としています。そのため、企業は情報漏えいリスクに晒されます。
Mazeの主な感染経路は、スパムメールへの添付ファイルや、ソフトウェアの脆弱性の悪用、ネットワークへの不正侵入です。
SNAKE
SNAKEは、2019年に登場したランサムウェアであり、ネットワーク全体に感染を拡大させることを目的としています。SNAKEは時間をかけて、ネットワークに接続されたすべての端末への感染を狙うのが特徴です。
そのため、感染が拡大すると甚大な被害が発生する危険があります。SNAKEのようなランサムウェアに対抗するために、企業はネットワーク全体のセキュリティ対策を強化し、異常な動きを検知する仕組みを導入することが重要です。
Locky
Lockyは、2016年に世界中で猛威を振るったランサムウェアです。請求書通知を装ったメールを主な感染経路としており、感染すると端末の壁紙に指定された方法で身代金を支払うように指示するメッセージが表示されます。
160種類以上のファイル形式を暗号化でき、特にデザイナーやプログラマーなどの専門的なファイル形式をターゲットとしています。これらのファイルは、業務上非常に重要なデータであることが多く、暗号化されると業務に支障をきたしてしまいます。
Ragnar Locker
Ragnar Lockerは、2019年に登場したランサムウェアです。高度な検知回避技術を備えており、Windowsの正規ツール(GPOやPowerShellなど)や仮想マシンを悪用することでセキュリティソフトの検知を回避します。さらに、ネットワーク全体への感染を容易にするために、管理ソフトウェアの脆弱性を突いてシステムに侵入することもあります。
Ragnar Lockerは検知が難しい進化型のランサムウェアです。そのため、企業や組織はより高度なセキュリティ対策が求められます。
ランサムウェア攻撃による被害を防止する8つの対策
ランサムウェア攻撃による被害を受けると、業務面でもコスト面でも大きな損失につながります。そのため、予防策だけでなく、感染後を想定した対策も必要です。ランサムウェア攻撃による被害を防止する主な対策は、以下のとおりです。
それぞれ詳しい対策法を理解して実践しましょう。
1.ランサムウェア対策ができるソフトウェアを導入する
ランサムウェア対策専用のソフトウェアを導入することで、攻撃リスクを大幅に低減できます。ウイルス対策ソフトは、ランサムウェアを含むさまざまなマルウェアやハッキングツールを検知し、侵入を防ぐ役割を果たします。
攻撃の手口は日々変化しているので、アップデートを欠かさずに実施し、新しい脅威に対応できるようにしましょう。
2.OSやソフトウェアを常に最新の状態にする
ランサムウェア攻撃を防ぐためには、OSやソフトウェアを常に最新の状態にすることが重要です。ランサムウェアは攻撃手法を常に進化させており、新しい攻撃手法が次々と登場しています。
OSやソフトウェアの脆弱性を突かれないよう、開発元が提供する最新パッチを適用しましょう。自動更新機能を有効にすることで、更新漏れを防止できます。
3.アクセス権の最小化や管理者権限の適切に管理する
各ユーザーアカウントに付与する権限を必要最小限に留めることで、マルウェアが侵入した際の被害の拡大を抑えられます。
すべてのユーザーが管理者権限を持っていた場合、ランサムウェアはシステム全体にアクセスし、重要なファイルやシステム設定を暗号化できてしまいます。アクセス権が適切に管理されていれば、ランサムウェアがアクセスできる範囲は限られ、暗号化の被害を最小限に抑えることが可能です。
特に管理者権限を持つアカウントを限定的に運用することが効果的です。この対策により、システム全体の安全性を保ちながらリスクを抑制できるでしょう。
【関連記事】増え続ける不正アクセス!ID管理の徹底や多要素認証が求められる
4.多要素認証を導入する
ランサムウェア攻撃の防止策として、多要素認証の導入も効果的です。パスワードだけでなく認証要素を組み合わせることでセキュリティの大幅な強化が期待できます。
代表的な多要素認証方法として、以下のものがあります。
これらを導入することで、万が一パスワードが漏えいしても攻撃者の侵入を防げます。多要素認証は、ランサムウェアを含む幅広い攻撃に対する有効な防御策です。
5.不審なメール・リンク・ファイルは開かない
不審なメール・リンク・添付ファイルを開かないこともランサムウェア攻撃の対策になります。メールやSNSのリンクを不用意にクリックしたり、添付ファイルを開いたりしないことで、被害を未然に防げます。
怪しいメールやリンクに触らないように、社内への周知を徹底することが大切です。実際のサイバー攻撃を想定したメール訓練を実施することも、従業員の意識向上に効果的です。
6.データのバックアップを取得・保管する
ランサムウェア攻撃に備えるためには、データのバックアップを取得・保管することも重要です。万が一、データが暗号化されても、バックアップデータがあれば復旧が可能です。
ただし、バックアップデータは普段使用しているネットワークから切り離して保管しておきましょう。感染したシステムからアクセスできる場所にバックアップを保存していた場合、バックアップまでも暗号化されてしまうかもしれません。
定期的にバックアップを実施し、外付けの記憶媒体やクラウドストレージなどへ保存しましょう。
7.ネットワークを監視する
ネットワークを監視することも重要な対策です。ランサムウェアは、ネットワークへ侵入した後に攻撃者のサーバーと通信をすることで、窃取したデータの送信などに利用します。つまり、この不審な通信をできるだけ早い段階で検知できれば、被害の拡大を防げます。
ネットワーク上の通信データを常に監視し、不審な動きがないかをチェックすることで、不審な通信を早期発見し、迅速に対応することで、ランサムウェアによる被害を最小限に抑えられます。
定期的にバックアップを実施し、オフラインストレージやクラウドストレージなど、多様な保存先に分散して保管しましょう。
8.セキュリティ教育でリテラシーを高める
ランサムウェア攻撃による被害を防ぐためには、技術的な対策だけでなく、セキュリティ教育を通じてリテラシーを高めることが重要です。
ランサムウェアの感染は、怪しいメールの開封や不審なリンクのクリックなど、ヒューマンエラーが原因で感染することが少なくありません。そのため、従業員や個人がセキュリティ意識を持ち、適切に対処できるよう教育を受けることが重要です。
たとえば、不審なメールの見分け方や安全なファイルの扱い方を学ぶことで、危険な行動を未然に防ぎ、ランサムウェアに感染するリスクを大幅に減らせます。
安全なデジタル環境を維持するために、積極的にセキュリティ教育の場を設け、リテラシーを高めましょう。
クラウドへ移行してもランサムウェア対策の効果が保たれる3つの理由
ランサムウェア被害の増加により、オンプレミスからクラウドへの移行をためらう企業も多いかもしれません。しかし、適切なセキュリティ対策を導入すれば、クラウド環境でも高い安全性を維持できます。クラウド移行後も安全性が保たれる主な理由は以下のとおりです。
以下で、それぞれのポイントを詳しく解説します。
専門家による安全性の高いセキュリティの実現
クラウドサービスでは、セキュリティの専門家に管理を任せることが可能です。
オンプレミス環境では、自社で全てのセキュリティ対策を講じる必要があります。一方、クラウド(IaaS)では、ハードウェアやネットワークなどの基盤部分のセキュリティをサービス提供側が担います。
多くのクラウドサービスは、総務省や経済産業省の「クラウドセキュリティガイドライン」に準拠しています。そのため、自動アップデートを通じて、最新のセキュリティ状態の維持が可能です。
ただし、OSやミドルウェアなど自社で管理する領域は、別途対策を講じる必要があります。信頼性の高いクラウドサービスを選び、自社の管理領域でも十分な対策を取ることが、安全性を確保するカギとなります。
スピーディな復旧
クラウド環境を利用することで、ランサムウェア感染後の迅速な復旧が可能です。
オンプレミス環境では、被害を受けたシステムを破棄し、新しい環境を構築するまで膨大な時間とコストを要します。場合によってはハードウェア交換も必要です。一方、クラウドでは感染したサーバーを閉じ、新しいサーバーにバックアップを移行するだけで復旧できるため、物理的な作業を伴わず短時間で再稼働できます。
さらに、クラウド環境は災害など予測不能な事態にも強く、事業継続計画(BCP)の観点からも優れた選択肢となります。迅速な復旧と高い耐障害性を兼ね備えたクラウドは、リスク軽減の有効な手段です。
設定ミスを自動で検知
クラウドサービスには、CSPM(クラウドセキュリティ態勢管理)と呼ばれるツールが搭載されており、設定ミスや問題点を自動で検知できます。誤った設定は、情報漏えいやランサムウェア感染の原因となるため、早期に発見し修正することが重要です。
実際、設定ミスが原因でセキュリティ事故が発生した事例も多く報告されています。CSPMを活用すれば、設定に潜むリスクを迅速に把握し、事故の発生を未然に防ぐことが可能です。
クラウド移行時のセキュリティ対策における3つのポイント
クラウド移行をする際には、移行に伴うリスクを把握したうえで、高い意識を持ちながらセキュリティ対策をすることが重要です。クラウド移行時のセキュリティ対策における主なポイントは、以下の3点です。
セキュリティ対策の詳しいポイントを解説します。
1.セキュリティリスクを診断する
クラウド移行時のセキュリティ対策として、事前にセキュリティリスクを診断することが重要です。自社のIT資産に潜む脆弱性を特定し、移行前に対策を徹底することで、ランサムウェア攻撃のリスクを大幅に軽減できます。
警察庁の「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、ランサムウェアの主な侵入経路は以下のとおりです。
特に近年では、テレワークが普及したことでシステム管理者が把握できないシャドーITの存在があります。この脆弱性をついた侵入も目立っているようです。
JBCCの「Attack Surface診断サービス」では、保有しているIT資産の脆弱性を見つけ出し、適切なセキュリティ対策を提案します。
また、クラウドセキュリティを事前に学んでおくことも重要です。JBCCでは、クラウド利用のセキュリティ対策について、セミナーも開催しています。
【見逃し配信】狙われる「クラウド」 クラウド利用で高まるセキュリティリスクと対策の重要性とは?2.ゼロトラストでセキュリティ対策をする
クラウド移行の際は、ゼロトラストでセキュリティ対策をすることが重要です。
ゼロトラストとは、「何も信じない」という前提に基づいたセキュリティモデルです。社内外を問わずすべてのアクセスに対して厳格な認証を行い、許可されたアカウントのみ利用を認めます。
従来のセキュリティ対策は、「内部は安全、外部は危険」という境界型防御が主流でした。しかし、クラウド環境ではスマートフォンやタブレットなどによる社外アクセスが増加し、「内部は安全」という前提が成り立たなくなってきています。また、悪意のある内部者が情報を持ち出すリスクも無視できません。
ゼロトラストを導入することによって、アクセス管理や監視を大幅に強化し、情報漏えいや不正アクセスなどのリスクを軽減できます。
3.クラウドと既存システムとの互換性を確認する
クラウド移行を成功させるためには、クラウド環境と既存システムの互換性を事前に確認することが重要です。クラウドサービスの仕様と自社システムの要件が一致しない場合、正常に動作しない可能性があります。
このような問題を防ぐためには、移行前にクラウド環境が自社のシステム要件を満たしているかを検証することが必要です。互換性の確認を怠ると、運用開始後に大きなトラブルを引き起こす可能性があるため、慎重に準備するようにしましょう。
ランサムウェア対策でお悩みの方はJBCCにご相談ください
クラウド移行はコスト削減や業務効率化に寄与しますが、セキュリティ対策を怠るとランサムウェア攻撃のリスクが高まってしまいます。近年、ランサムウェア攻撃は巧妙化しており、業務停止、情報漏えい、社会的信用の低下など、企業に深刻な影響を与える事例が増えています。そのため、万全なセキュリティ対策を講じることが不可欠です。
JBCCでは、クラウド移行を通じて企業のセキュリティ強化とリスク低減を支援しています。ランサムウェア対策に不安を感じている企業向けに、経験豊富な担当者が最適なソリューションを提案するだけでなく、既存システムの課題を診断し、運用・コストの最適化も支援可能です。また、クラウドの特性を活かしてセキュリティ対策を強化します。まずはお気軽にJBCCへお問い合わせください。
関連リンク
企業のIT活用をトータルサービスで全国各地よりサポートします。
JBCC株式会社は、クラウド・セキュリティ・超高速開発を中心に、システムの設計から構築・運用までを一貫して手掛けるITサービス企業です。DXを最速で実現させ、変革を支援するために、技術と熱い想いで、お客様と共に挑みます。