ランサムウェアとは?仕組みと最新対策をわかりやすく解説
ランサムウェアとは
ランサムウェアとは、パソコンやサーバーに侵入してファイルを暗号化し、使えない状態にしたうえで、元に戻す見返りに金銭(身代金)を要求する悪意あるソフトウェアのことです。英語の「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、感染すると業務データが開けなくなり、会社の仕事が止まってしまう深刻な被害につながります。
ランサムウェアとは、企業のデータを暗号化して使えない状態にし、復旧の見返りに金銭(身代金=ransom)を要求するマルウェア(悪意のあるソフトウェア)の一種です。感染すると業務システムが停止し、取引先や顧客への信頼にまで影響が及ぶ深刻なインシデントにつながります。
IPA(独立行政法人 情報処理推進機構)が公表する「情報セキュリティ10大脅威 2026」では、組織向け脅威の第1位に6年連続で選出されました。攻撃手口は年々巧妙化しており、もはや大企業だけでなく、中小企業や医療機関、自治体までが標的となっています。
本記事では、「ランサムウェアとは」をわかりやすく整理しつつ、最新の攻撃手口、感染時の対処法、そして実務で使えるチェックリストまで、情報システム担当者や経営層の視点でまとめました。読み終える頃には、自社に不足している備えが見えてくるはずです。
目次
ランサムウェアとは?わかりやすく解説
名前の由来と基本的な仕組み
ランサムウェアは、英語の「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。パソコンやサーバーに侵入した後、業務で使う文書・画像・データベースなどを暗号化して開けない状態にし、復号(元に戻すこと)と引き換えに金銭を要求します。要求額は仮想通貨(暗号資産)で指定されることが多く、攻撃者の追跡を困難にしています。
警視庁の公開情報によれば、最初のランサムウェアは1989年に登場した「AIDS Trojan」とされており、当時は「暗号化ウイルス恐喝」と呼ばれていました。その後、インターネットの普及と仮想通貨の登場により、攻撃者が匿名で金銭を受け取れる環境が整ったことで被害が急拡大しました。
ウイルス・マルウェアとの違い
「ウイルス」や「マルウェア」との違いを整理しておきましょう。マルウェアとは悪意のあるソフトウェア全般を指す広い概念で、ウイルスもその一種です。ランサムウェアは、マルウェアの中でも「データを人質に取り金銭を要求する」という目的が明確なタイプを指します。情報を盗むスパイウェアや、広告を勝手に表示するアドウェアなどとは性質が異なり、業務停止という直接的な被害を引き起こす点が特徴です。
ランサムウェアの主な感染経路
感染経路を知ることは、そのまま予防策の検討につながります。警察庁が公表する資料では、VPN機器やリモートデスクトップ経由の侵入が被害の大半を占めると報告されています。ここでは代表的な3つの経路を取り上げます。
VPN・ネットワーク機器の脆弱性を突いた侵入
現在、最も警戒すべき経路がVPN(社外から社内ネットワークに安全に接続するための仕組み)やファイアウォール、ルーターといったネットワーク機器の脆弱性(セキュリティ上の欠陥)を悪用した侵入です。テレワークの拡大によってVPN利用が広がった一方で、修正パッチ(不具合を直すプログラム)が適用されていない機器が狙われています。侵入した攻撃者は、社内の別のサーバーやパソコンへ横に移動(ラテラルムーブメント)しながら権限を高め、最後に一斉にランサムウェアを実行します。一度の侵入で組織全体が停止する事態に発展しやすい、最も被害規模が大きくなりやすい手口です。
メール・フィッシングによる侵入
取引先や公的機関を装った偽メールに悪意のあるファイルを添付し、受信者に開かせる手口です。WordやExcelのマクロ機能を悪用するケース、PDFに見せかけた実行ファイル、URLをクリックさせて偽サイトへ誘導するケースなど、バリエーションは多岐にわたります。近年は生成AIの活用により、文面の日本語が極めて自然になっており、一見して怪しいと判断するのが難しくなっている点が課題です。
改ざんされたWebサイト経由(ドライブバイダウンロード)
正規のWebサイトが第三者によって改ざんされ、訪問するだけでマルウェアがダウンロードされる手法です。ブラウザやプラグインの脆弱性が悪用されるため、ユーザーが何も操作しなくても感染します。広告配信ネットワークを経由して悪意のある広告を表示する「マルバタイジング」もこの類型に含まれ、信頼できるサイトだから安全とは限らないのが実情です。
現代のランサムウェア攻撃は単一の経路だけで完結することは少なく、フィッシングで認証情報を盗み、VPN経由で侵入するなど、複数の手法を組み合わせて実行されるのが一般的になっています。
感染するとどうなるのか|時系列で見る被害の流れ
ランサムウェアは、感染した瞬間にいきなりファイルを暗号化するわけではありません。実際には、侵入から暗号化の実行まで数日から数週間、場合によっては数か月かけて攻撃の準備が進められます。時系列で整理してみましょう。
フェーズ1:初期侵入と潜伏
メールの添付ファイルを開いた、あるいはVPN機器の脆弱性を突かれた段階で、攻撃者は足場を築きます。この時点では表面的に異常はなく、業務は通常どおり続きます。攻撃者は遠隔操作ツール(RAT)を仕込み、管理者アカウントの奪取やActive Directory(利用者・機器を一元管理する仕組み)の探索を静かに進めます。
フェーズ2:内部偵察と情報窃取
社内ネットワークの構造を把握した攻撃者は、バックアップサーバーの位置や機密データの保管場所を特定し、外部サーバーへ密かにデータを持ち出します。後述する「二重恐喝」の材料を集める段階です。
フェーズ3:暗号化の実行
準備が整うと、攻撃者は一斉にランサムウェアを展開します。パソコンの動作が急に遅くなり、ファイルの拡張子(.docxや.xlsxなど)が見慣れない文字列に書き換わります。画面には脅迫文(ランサムノート)が表示され、「期限内に支払わなければデータを公開する」といった要求が突き付けられます。
フェーズ4:業務停止とインシデント対応
基幹システムが使えなくなり、受発注・生産・会計などの業務が止まります。取引先や顧客への説明、監督官庁への報告、フォレンジック調査(攻撃経路や被害範囲を調べる科学的な調査)など、平時にはない対応が一斉に発生し、組織は混乱に陥ります。
重要なのは、暗号化されたファイルを自力で復元することはほぼ不可能であり、身代金を支払ってもデータが戻る保証がないという点です。だからこそ、感染してから動き始めるのではなく、平時の備えで被害の発生自体を抑える発想が求められます。
近年のランサムウェアの特徴|巧妙化する脅迫手法
二重恐喝(ダブルエクストーション)が標準に
従来のランサムウェアは暗号化だけを行う単純な手口でしたが、現在の主流は「二重恐喝」と呼ばれる手法です。攻撃者は暗号化の前にデータを盗み出しておき、「身代金を払わなければ機密情報を公開する」という脅しを加えます。バックアップから復旧できたとしても、情報漏えいによる信用失墜や法的責任を避けるため、被害組織が支払いに追い込まれやすくなる構造です。警察庁の発表によれば、国内のランサムウェア被害報告のうち、二重恐喝型が大半を占めるとされています。
ノーウェアランサム(暗号化しない脅迫)の登場
データを暗号化せず、窃取したデータの公開をちらつかせて金銭を要求する「ノーウェアランサム」という手法も確認されています。暗号化処理を行わないためセキュリティ製品に検知されにくく、攻撃者側にとっては効率の良い手口です。令和5年以降、警察庁もこの類型を独立した統計項目として集計しています。
RaaS(Ransomware as a Service)による攻撃の大衆化
ランサムウェアの開発者が攻撃ツール一式をサブスクリプション形式で提供する「RaaS」というビジネスモデルが定着しています。これは、クラウドサービスのように使いたい人が月額料金などを払って利用する形で、技術力の乏しい犯罪者でも高度な攻撃を実行できる環境が整ってしまいました。攻撃件数の爆発的な増加は、このビジネスモデルの存在が大きな要因です。
攻撃の高速化と生成AIの悪用
最近では、初期侵入から暗号化実行までにかかる時間を24〜48時間程度に短縮する攻撃グループの存在も報告されています。さらに、生成AIを使ってフィッシングメールの文面を自動生成したり、侵入後の偵察を効率化したりする動きも確認されており、IPAの「情報セキュリティ10大脅威 2026」でも「AIの利用をめぐるサイバーリスク」が新たに組織向け脅威として選出されました。
ランサムウェアが深刻な問題である理由
毎年IPAが発表する「情報セキュリティ10大脅威」において、ランサム攻撃は2026年版で6年連続1位に選ばれました。組織向け脅威の上位5つは以下のとおりです。
| 順位 | |
|---|---|
| 1位 | ランサム攻撃による被害 |
| 2位 | サプライチェーンや委託先を狙った攻撃 |
| 3位 | AIの利用をめぐるサイバーリスク(新規) |
| 4位 | システムの脆弱性を突いた攻撃 |
| 5位 | 内部不正による情報漏えい等 |
事業継続を揺るがす経営リスク
ランサムウェアの被害は、単なるIT部門の問題では収まりません。生産ラインの停止、受発注システムの麻痺、顧客情報の漏えいなどが同時に発生し、取引停止や訴訟に発展するケースもあります。近年は製造業を狙った攻撃の増加が世界的に報告されており、工場の操業停止によってサプライチェーン全体が数日から数週間にわたり影響を受ける事例も出ています。部品供給が止まれば完成品メーカー、さらにその先の販売店や顧客まで連鎖的に損失が広がるため、取引先を持つすべての企業にとって自社だけの問題では済まされません。
医療・インフラなど社会生活への影響
2024年5月に発覚した米国の大手医療グループAscensionへの攻撃では、約560万人の患者記録が影響を受けたと報じられました。同年6月には英国NHS(国民保健サービス)の検査委託先Synnovisが攻撃され、手術や輸血業務が広範囲に混乱しました。医療機関への攻撃は患者の命に関わる事態を招き、米国ではランサムウェア攻撃をテロに準じた脅威として扱うべきだという議論も始まっています。
サプライチェーン経由で中小企業が踏み台に
攻撃者は、防御が比較的手薄な中小企業を踏み台にして大企業を狙う手法も常用しています。自社が最終ターゲットでなくても、取引先経由で攻撃の起点にされてしまうリスクは無視できません。IPAの「10大脅威」でサプライチェーン攻撃が2位に位置することからも、その重要性がうかがえます。
ランサムウェアから企業を守る対策|チェックリスト
NIST(米国立標準技術研究所)が公表するサイバーセキュリティフレームワーク「CSF 2.0」では、セキュリティ対策を「統治・識別・防御・検知・対応・復旧」の6つの機能に整理しています。この枠組みに沿うと、ランサムウェア対策の全体像がつかみやすくなります。以下は実務で使えるチェックリストです。
防御フェーズで実施すべき対策
- OS・ソフトウェアの更新管理:修正パッチをタイムリーに適用し、既知の脆弱性を放置しない運用ルールを定める。
- 多要素認証(MFA)の導入:VPNやクラウドサービスへのログインにパスワード以外の認証要素を組み合わせる。
- 最小権限の原則:従業員に業務上必要な権限だけを付与し、管理者権限の使用は最小限に抑える。
- ネットワーク分離(セグメンテーション):部門単位・用途単位でネットワークを区切り、侵入後の横展開を防ぐ。
- 従業員向けのセキュリティ教育:不審メール対応訓練を定期的に実施し、判断に迷ったら報告する文化を根付かせる。
検知・対応フェーズで備えるべき対策
- EDR(端末の挙動を監視し脅威を検知する仕組み)の導入:未知のマルウェアやファイルレス攻撃など、アンチウイルスソフトだけでは捉えきれない異常挙動を検出する。
- ログの集約と監視体制:サーバー・端末・ネットワーク機器のログを一元的に監視し、異常を早期に発見する。
- インシデント対応計画(IRP)の文書化:感染が疑われた際の初動手順、連絡体制、証拠保全の方法をあらかじめ決めておく。
復旧フェーズに備えるバックアップ運用
- 3-2-1-1-0ルールの採用:データのコピーを3つ持ち、2種類の媒体に保存し、1つはオフライン(ネットワークから切り離された場所)に保管、さらに1つはイミュータブル(書き換え不可)に、かつ復元テストでエラーがゼロであることを確認する考え方。
- 定期的な復旧訓練:バックアップが実際に復元できるかを年1回以上テストし、机上の計画で終わらせない。
特にEDRの導入は、攻撃者が社内に侵入してから暗号化を実行するまでの「潜伏期間」に異常を捕捉する上で有効です。たとえばALSOKが提供するEDRサービスでは、AIによる脅威検知と自動隔離、暗号化されたファイルのロールバック(元に戻す機能)までを1分以内に実行し、24時間365日の運用サポートも受けられます。SOC(セキュリティ監視の専門チーム)を自社で持たない企業でも運用しやすい選択肢のひとつです。
もし感染してしまったら|初動対応の基本
ステップ1:ネットワークからの切り離し
感染が疑われたら、まず当該端末をネットワークから切り離します。LANケーブルを抜き、Wi-Fiをオフにすることで、社内の他の機器へ感染が広がるのを食い止めます。このとき電源は切らないのが原則です。メモリ上に残っている情報がフォレンジック調査の重要な証拠となるためで、電源を落とすと揮発性の証拠が失われます。
ステップ2:社内関係者・経営層への報告
情報システム部門、セキュリティ責任者、経営層へ速やかに状況を共有します。事業継続計画(BCP)の発動判断や、取引先・顧客への説明タイミングは経営判断が必要です。個人情報の漏えいが疑われる場合は、個人情報保護法に基づく個人情報保護委員会への報告義務(原則3〜5日以内の速報)が発生する可能性もあるため、法務部門との連携も欠かせません。
ステップ3:専門家・警察への相談
フォレンジック調査会社やセキュリティベンダーへ連絡し、被害範囲の特定と復旧方針の策定を依頼します。並行して、警察のサイバー犯罪相談窓口やIPAの情報セキュリティ安心相談窓口にも連絡を行います。身代金の支払いについては、FBI(米連邦捜査局)をはじめ各国当局が一貫して支払わないよう勧告しており、国内でも同様のスタンスが取られています。
平時からの準備が被害を左右する
感染発覚後に専門業者を探し始めるのでは、初動が遅れて被害が拡大します。平時のうちに以下を整えておくことが、緊急時の迅速な対応につながります。
- インシデント対応ベンダーとの事前契約(24時間365日の連絡窓口を含む)
- 連絡フロー(誰が・いつ・どの手段で)を明文化した手順書
- 年1回以上の机上演習(テーブルトップエクササイズ)による実践訓練
よくある質問(Q&A)
Q1. ランサムウェアに感染したら、身代金を支払うべきですか?
A. 支払いは推奨されません。支払ってもデータが復元される保証はなく、攻撃者への資金提供となり結果的に犯罪を助長することになります。FBI(米連邦捜査局)を含む各国の政府機関が支払いを控えるよう勧告しています。感染が判明したら、まず警察のサイバー犯罪相談窓口とセキュリティ専門家に相談してください。
Q2. ランサムウェアとウイルスの違いは何ですか?
A. 広義のマルウェア(悪意のあるソフトウェア)の一種がウイルスで、さらにその中で「データを人質に金銭を要求する」という目的を持つものがランサムウェアです。情報を盗むスパイウェア、広告を表示するアドウェアなど、マルウェアにはさまざまな種類があり、ランサムウェアは業務停止を直接引き起こす点に特徴があります。
Q3. バックアップがあれば安心ですか?
A. バックアップは重要ですが、それだけでは不十分です。近年のランサムウェアはバックアップサーバーを優先的に探し出し、同時に暗号化する能力を持ちます。また、二重恐喝型の攻撃では情報漏えいのリスクが残るため、ネットワークから物理的に切り離したオフライン保管や、書き換え不可(イミュータブル)なストレージの併用が推奨されます。復元テストを定期的に行うことも重要です。
Q4. 中小企業はランサムウェアの標的になりにくいですか?
A. むしろ標的になりやすい傾向があります。大企業と比べてセキュリティ予算や専門人材が限られるケースが多く、攻撃者から「侵入しやすい標的」と見なされがちです。加えて、大企業の取引先である中小企業を踏み台にするサプライチェーン攻撃も増えており、規模を問わず備えが必要です。
Q5. ランサムウェアの感染を早期に検知する方法はありますか?
A. 次の兆候に注意してください。(1)端末の動作が急に遅くなる、(2)ファイルの拡張子が見慣れないものに変わる、(3)身に覚えのないプログラムが起動している、(4)ネットワーク通信量が異常に増えている、などです。こうした挙動を人手で追うのは困難なため、EDR(端末の挙動を監視し脅威を検知する仕組み)を導入し、異常を自動で捕捉する運用が有効です。
Q6. EDRとアンチウイルスソフトはどう違いますか?
A. アンチウイルスソフトは既知のマルウェアの侵入を防ぐ「入口対策」が中心です。一方EDRは、侵入を許してしまった後の不審な挙動を検知し、被害を最小化する「内部対策」を担います。未知の攻撃やファイルレス型の手口にも対応しやすく、両者を組み合わせる多層防御が推奨されます。
まとめ|ランサムウェア対策は平時の備えで決まる
ランサムウェアは、IPAの「情報セキュリティ10大脅威 2026」で6年連続1位に選ばれる、事業継続を揺るがす脅威です。二重恐喝やノーウェアランサムといった新しい手口、RaaSによる攻撃の大衆化、生成AIの悪用など、攻撃者側の進化は止まりません。
一方で、守る側にできることも明確です。NIST CSF 2.0が示す6つの機能に沿って、脆弱性管理・多要素認証・ネットワーク分離・EDR導入・オフラインバックアップ・インシデント対応計画の整備を進めることで、被害の発生確率と影響範囲を大きく減らすことができます。
今日から着手できる3つのステップは次のとおりです。
- 自社のIT資産とバックアップ運用を棚卸しし、オフライン保管の有無を確認する
- VPNや公開サーバーの脆弱性情報を定期的に確認し、パッチ適用ルールを定める
- EDRやログ監視サービスの導入を検討し、インシデント対応窓口を事前に確保する
攻撃を100%防ぐことはできない、という前提に立った備えこそが、企業の事業継続を支える現実的な選択です。本記事のチェックリストを出発点に、自社の備えを点検してみてください。
