ランサムウェアとは、コンピュータ上のファイルを暗号化して使用不能にし、復旧と引き換えに身代金を要求するマルウェアの一種です。ランサムウェアに感染した場合の復旧方法としては、バックアップからの復元、復号ツールの利用、専門業者への依頼などがあり、予防策としてはVPN機器の脆弱性管理やバックアップ体制の構築が最も重要とされています。IPA(情報処理推進機構)が公開した「情報セキュリティ10大脅威 2025(組織編)」では、ランサムウェアによる被害が10年連続で1位にランクインしており、2025年上半期だけで国内の被害報告は116件に達し、過去最多を記録しました。
この記事では、ランサムウェアの基本的な仕組みから最新の感染経路、感染時の初動対応と復旧方法、そして被害を未然に防ぐための予防策まで包括的に解説していきます。特に中小企業が被害の半数以上を占めている現状を踏まえ、あらゆる規模の組織が知っておくべき対策のポイントを詳しくお伝えします。
ランサムウェアとは何か 感染の仕組みと種類を解説
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、マルウェア(悪意のあるソフトウェア)の一種を指します。感染したコンピュータやシステム上のファイルを暗号化して使用不能にし、その復旧と引き換えに身代金を要求するのが特徴です。攻撃者は通常、ビットコインなどの暗号通貨での支払いを要求し、支払わなければデータを永久に削除する、あるいは公開すると脅迫します。
ランサムウェアの主な種類と特徴
ランサムウェアにはいくつかの種類が存在し、それぞれ異なる手口でターゲットを攻撃します。
最も一般的なのが暗号化型ランサムウェアです。ファイルやデータを強力な暗号アルゴリズムで暗号化し、復号キーと引き換えに身代金を要求するタイプで、代表的なものにLockBit、BlackCat(ALPHV)、Contiなどがあります。
ロッカー型ランサムウェアは、ファイルの暗号化ではなく、コンピュータそのものをロックして操作不能にするタイプです。画面にロック画面を表示し、身代金の支払いを要求します。
2025年に大きく台頭したのがノーウェアランサム(非暗号化型)です。データの暗号化を行わず、機密情報を窃取したうえで「身代金を支払わなければ情報を公開する」と脅迫する手口であり、暗号化を伴わないため従来のランサムウェア対策では検知が困難な場合があります。
| 種類 | 手口 | 特徴 |
|---|---|---|
| 暗号化型 | ファイルを暗号化し復号キーと引き換えに身代金を要求 | 最も一般的でLockBitやBlackCatなどが代表的 |
| ロッカー型 | PCをロックして操作不能にする | 画面ロックにより操作を封じる |
| ノーウェアランサム | データを窃取し公開すると脅迫 | 暗号化を伴わず検知が困難 |
攻撃のビジネスモデル「RaaS」の実態
現在のランサムウェア攻撃の多くは、RaaS(Ransomware as a Service)というビジネスモデルで運営されています。RaaSとは、ランサムウェアの開発者がツールやインフラを提供し、実際の攻撃は「アフィリエイト」と呼ばれる協力者が行う仕組みのことです。身代金の収益は開発者とアフィリエイトの間で分配されます。この仕組みにより、高度な技術を持たない攻撃者でもランサムウェア攻撃を実行できるようになり、攻撃の裾野が大きく広がりました。
主要なランサムウェアグループの動向
LockBitは、2021年以降継続的にバージョンアップを重ね、LockBit 5.0が確認されています。Windows、Linux、ESXi環境に対応したクロスプラットフォーム戦略を展開し、暗号化速度の向上や複数OS対応を実現しました。被害者データを公開する「リークサイト」の運用を巧妙化させ、支払い圧力を高めています。2024年にはFBIやユーロポールなど国際法執行機関による摘発作戦「オペレーション・クロノス」が実施されましたが、グループは活動を継続しています。
BlackCat(別名ALPHV、Noberus)は、Rust言語で開発されたランサムウェアであり、他の種類のランサムウェアよりも削除が困難とされています。暗号化、データ公開の脅迫に加え、DDoS攻撃を仕掛けると脅す「三重恐喝」戦術を採用しています。後継とされるBlackSuitは2023年に登場し、金融機関や医療機関をターゲットにした攻撃が増加しました。
そのほかにも、Play、Cactus、8Base、Medusa、Akiraなどのグループが急速に台頭し、攻撃の主導権を握っています。
ランサムウェアの感染経路と最新の攻撃手口
ランサムウェアの感染経路で最も多いのはVPN機器からの侵入であり、警察庁の調査によると全体の約63%を占めています。VPN機器やリモートデスクトップ(RDP)を経由した侵入は全体の8割超に達しており、ネットワーク機器の設定不備や脆弱性が主な原因です。
VPN機器とリモートデスクトップからの感染経路
VPN機器の脆弱性を悪用した侵入が最も多い感染経路です。リモートワークの普及に伴いVPNの利用が拡大しましたが、ファームウェアの更新が適切に行われていないVPN機器が狙われています。攻撃者はVPN機器の既知の脆弱性を悪用してネットワークに侵入し、内部で横展開を行います。
リモートデスクトップ(RDP)からの侵入も多く確認されています。弱いパスワードや認証の不備を突いてRDPに不正アクセスし、システムに侵入する手口です。ブルートフォース攻撃や、過去に漏洩した認証情報を使用するケースが報告されています。
フィッシングメールやWebサイト経由の感染
フィッシングメールによる感染も依然として高い割合を占めています。不正な添付ファイルやリンクを含むメールを送り、受信者がそれを開くことでマルウェアが実行されます。近年はAIを活用した自然な文章生成により、フィッシングメールの精度が向上しています。
Webサイト経由の感染では、改ざんされたWebサイトにアクセスした際に、脆弱性を突いてマルウェアが自動的にダウンロードされる「ドライブバイダウンロード」攻撃があります。また、マルウェアが仕込まれたUSBメモリを意図的に施設周辺に放置し、拾った人がPCに接続することで感染させる手口も確認されています。
サプライチェーン攻撃と標的型攻撃への進化
サプライチェーン攻撃は、直接ターゲットの組織を攻撃するのではなく、取引先や委託先企業などサプライチェーンの中で比較的セキュリティが弱い組織を経由して攻撃する手法です。2025年には委託先企業を狙ったサプライチェーン攻撃が相次ぎました。
かつては不特定多数を狙う「バラマキ型」が主流でしたが、近年は明確に企業の急所を突く標的型へと進化しています。2024年に発生した大手出版社への大規模攻撃や、2025年に相次いだサプライチェーン攻撃はその典型です。
二重恐喝・三重恐喝とAIを悪用した最新の手口
二重恐喝(ダブルエクストーション)は、近年の主流となっている手口です。単にファイルを暗号化するだけでなく、暗号化する前に機密情報を窃取し、「身代金を支払わなければ情報を公開する」と二重に脅迫します。これにより、バックアップからデータを復旧できたとしても、情報漏洩の脅威が残ります。
三重恐喝は、暗号化と情報公開の脅迫に加え、DDoS攻撃を仕掛けると脅す手口です。被害者に対してさらに大きな圧力をかけるために用いられます。
さらに、2025年のグローバルトレンドとして、攻撃者がAIを活用してフィッシングメールの精度を向上させたり、脆弱性の発見を効率化したりするケースが増加しました。
ランサムウェアに感染した場合の初動対応と注意点
ランサムウェアに感染した場合、パニックにならず冷静に対応することが最も重要です。初動対応を誤ると被害が拡大するため、正しい手順を事前に把握しておく必要があります。
ランサムウェア感染の兆候と見分け方
ランサムウェアに感染した兆候として、ファイルの拡張子が見慣れないものに変わっている、ファイルを開くことができなくなっている、画面に身代金の支払いを要求するメッセージが表示される、PCの動作が極端に遅くなる、ネットワーク上の共有フォルダにアクセスできなくなるといった現象が挙げられます。これらの兆候を発見した場合は、直ちに初動対応を開始する必要があります。
ランサムウェア感染時にやってはいけないこと
感染が判明した際に絶対に行ってはならない行為があります。
まず、身代金を支払うことは原則として避けるべきです。身代金を支払ったとしても、データが確実に復号される保証はありません。支払いが攻撃者の活動資金となり、さらなる犯罪を助長することになります。支払い後に再度攻撃を受けるケースも報告されています。
感染した端末を再起動してはなりません。PCを再起動すると、シャットダウンによって一時停止していたデータの暗号化が再開し、端末内のファイルがさらに閲覧できなくなるリスクがあります。メモリ上にある復号に役立つ情報が失われる可能性もあります。
感染した端末でそのまま作業を続けることや、バックアップメディアを感染端末に接続することも禁止です。感染の拡大やバックアップデータの暗号化につながります。
ランサムウェア感染時の正しい初動対応手順
正しい初動対応は5つのステップで進めます。
第一に、ネットワークからの即時隔離を行います。感染が判明したら、直ちに感染端末をネットワークから切り離します。有線LANの場合はLANケーブルを抜き、Wi-Fi接続の場合はWi-Fiをオフにします。これにより、ランサムウェアが同一ネットワーク上の他の端末やサーバに感染するのを防ぎます。
第二に、証拠の保全です。ネットワークから隔離した端末の電源は切らずに保全します。電源を切ると、メモリ上のデータが消失し、フォレンジック調査が困難になる場合があります。感染端末の画面に表示されたランサムノート(身代金要求メッセージ)は写真に撮っておきます。
第三に、感染範囲の確認です。導入済みのウイルス対策ソフトで組織内の各端末をスキャンし、他にランサムウェアに感染している端末がないかを確認します。アクセスログを確認し、不正アクセスやデータの持ち出しの有無を調べます。
第四に、関係者への報告と相談です。社内のセキュリティ担当者、CSIRT(Computer Security Incident Response Team)、経営層に速やかに報告します。必要に応じて、警察庁のサイバー犯罪相談窓口やIPA(情報処理推進機構)の相談窓口に連絡します。個人情報の漏洩が疑われる場合は、個人情報保護委員会への報告も必要です。
第五に、フォレンジック調査の実施です。専門のフォレンジック調査会社に依頼し、被害を受けたデータの範囲、感染端末の特定、攻撃者の侵入経路、データの外部流出の有無などを詳細に調査します。調査と並行して、当局対応、警察対応、公表対応、被害者への説明対応も進めます。
ランサムウェア感染からの復旧方法
ランサムウェア感染からの復旧方法は、大きく分けてバックアップからの復元、復号ツールの利用、専門業者への依頼、システムの再構築という4つの方法があります。最も確実で推奨されるのはバックアップからの復元です。
バックアップからの復旧方法
バックアップからの復旧は、最も確実な復旧方法です。ただし、いくつかの重要な注意点があります。バックアップデータ自体が感染していないことを確認する必要があります。使用するバックアップメディアは、バックアップ完了後にネットワークから切り離してオフライン保管していたものを選びます。復旧前にシステムを完全に初期化(クリーンインストール)し、マルウェアが残存していない状態にしてからバックアップデータを復元します。復旧後は、OSやソフトウェアのセキュリティパッチを最新の状態に適用してから業務を再開します。
復号ツールを利用した復旧方法
「No More Ransom Project」は、オランダ警察やユーロポール(欧州警察機関)、セキュリティベンダーなどが共同で運営する国際プロジェクトです。感染したランサムウェアの種類を特定し、対応する復号ツールが公開されている場合は、公式サイト(nomoreransom.org)から無料で入手できます。
利用する際は、公式サイトにアクセスし、「Crypto Sheriff」というツールに暗号化されたファイルやランサムノートをアップロードします。ランサムウェアの種類が特定され、対応する復号ツールが存在する場合はダウンロードして復元作業を進めます。ただし、すべてのランサムウェアに対応する復号ツールが存在するわけではなく、特に最新の亜種や高度な暗号化を使用するランサムウェアの場合は、復号ツールが提供されていないことが多い点に注意が必要です。
専門業者によるデータ復旧とシステム再構築
バックアップがなく、復号ツールも利用できない場合は、データ復旧の専門業者に依頼する方法があります。ただし、復旧率は100%ではなく、費用も高額になるケースがあります。復旧にかかる期間は被害の規模によって異なりますが、1か月以上を要するケースも20%以上にのぼります。費用面では、被害総額が1000万円以上となるケースが37%を占めています。
暗号化されたデータの復旧が困難な場合は、システムをゼロから再構築する必要があります。OSのクリーンインストール、必要なソフトウェアの再インストール、設定の再構築、復旧可能なデータの移行という手順で進めます。再構築にあたっては、同じ脆弱性を突かれないよう、セキュリティ対策を強化したうえで行うことが重要です。
| 復旧方法 | メリット | 注意点 |
|---|---|---|
| バックアップからの復元 | 最も確実で迅速 | バックアップ自体の感染確認が必要 |
| 復号ツールの利用 | 無料で利用可能 | 対応していないランサムウェアも多い |
| 専門業者への依頼 | 専門技術による復旧 | 高額で復旧率100%ではない |
| システム再構築 | マルウェアを完全排除 | データ復旧が困難な場合がある |
ランサムウェアの予防策 感染を防ぐための対策
ランサムウェアの予防策として最も重要なのは、バックアップ体制の構築とVPN機器の脆弱性管理です。感染を完全に防ぐことは困難であるため、「感染しない」ための予防策と「感染しても被害を最小限に抑える」ための対策の両方を整備する必要があります。
バックアップによる予防策 3-2-1ルールの実践
ランサムウェア対策において最も重要な予防策の一つがバックアップ戦略です。広く推奨されているのが3-2-1ルールです。「3」はデータのコピーを合計3つ保持すること(原本1つとバックアップ2つ)、「2」は2種類の異なるメディアに保存すること(例:社内サーバとクラウドストレージ)、「1」は1つはオフサイト(社外の別の場所)に保管することを意味します。
さらに強固な「3-2-1-1-0ルール」も推奨されています。3-2-1ルールに加え、「1」はイミュータブル(変更不可能な)バックアップを1つ保持すること、「0」はバックアップの復元テストでエラーが0であることを確認することを追加したものです。
| ルール | 内容 |
|---|---|
| 3-2-1ルール | データ3コピー、2種類のメディア、1つはオフサイト保管 |
| 3-2-1-1-0ルール | 上記に加え、1つのイミュータブルバックアップ、復元テストでエラー0 |
バックアップにおける重要なポイントとして、世代管理を行い、ランサムウェア感染前の時点のバックアップに確実に戻れるよう複数世代の履歴を保持することが挙げられます。バックアップデータがランサムウェアによって暗号化されないよう、バックアップ完了後はネットワークから切り離してオフライン保管するか、イミュータブル(書き換え不可)ストレージに保管します。定期的にバックアップからの復元テストを実施し、実際にデータが復元できることを確認することも欠かせません。
ネットワークセキュリティによる感染予防策
VPN機器のファームウェアを常に最新の状態に保つことが最も重要な予防策です。VPN機器からの侵入が感染経路の63%を占めていることからも、VPN機器の脆弱性管理は最優先事項です。
多要素認証(MFA)を導入し、パスワードだけではログインできない仕組みを構築します。特にVPN接続やリモートデスクトップ接続には必ずMFAを適用することが求められます。
ネットワークセグメンテーションを実施し、万が一感染した場合でも被害が組織全体に及ばないようにすることも効果的です。重要なシステムやデータは独立したネットワークセグメントに配置します。不要なポートやサービスを無効化し、攻撃面を最小限に抑えます。特にRDP(リモートデスクトッププロトコル、ポート3389)は、業務上不要であれば無効にすることが推奨されます。ファイアウォールやIDS/IPS(侵入検知・防御システム)を適切に設定し、不審な通信を検知・遮断する体制も整えます。
エンドポイントセキュリティとメールセキュリティの強化
EDR(Endpoint Detection and Response)を導入し、端末レベルでの不審な挙動をリアルタイムに検知・対応することが重要です。EDRとは、エンドポイント(PC等の端末)での脅威を検知し、迅速に対応するためのセキュリティソリューションを指します。従来のウイルス対策ソフト(アンチウイルス)だけでなく、EDRを併用することで、未知のマルウェアや不正な振る舞いも検出できます。OSやソフトウェアを常に最新の状態に保ち、セキュリティパッチを速やかに適用することも基本的な対策です。アプリケーション制御を導入し、許可されていないプログラムの実行を制限することも有効です。
メールセキュリティについては、メールフィルタリングを強化し、不審なメールや添付ファイルを自動的にブロックします。SPF、DKIM、DMARCなどのメール認証技術を導入し、なりすましメールを防止します。添付ファイルのサンドボックス解析を導入し、悪意のある添付ファイルを事前に検知する体制を構築します。マクロ付きのOfficeファイルの実行をデフォルトで無効にする設定も推奨されます。
従業員教育とアクセス権限管理による予防
定期的なセキュリティ研修を実施し、従業員のセキュリティ意識を高めることが不可欠です。特にフィッシングメールの見分け方、不審なリンクや添付ファイルへの対処方法について教育します。標的型メール訓練を定期的に実施し、従業員が実際のフィッシング攻撃に遭遇した際に適切に対応できるようにします。インシデント発生時の報告手順を周知し、感染の疑いがある場合に速やかに報告できる体制を整えます。
アクセス権限の管理では、最小権限の原則を適用し、業務に必要最小限のアクセス権限のみを付与します。最小権限の原則とは、ユーザーやシステムに対して業務遂行に必要な最低限の権限のみを与えるセキュリティの基本原則です。管理者権限を持つアカウントの数を最小限にし、管理者アカウントには特に強固な認証を適用します。特権アクセス管理(PAM)ツールを導入し、管理者権限の使用を監視・制御することも重要です。退職者や異動者のアカウントを速やかに無効化する運用も欠かせません。
インシデント対応計画の策定と訓練
ランサムウェア感染を想定したインシデント対応計画を事前に策定しておくことが予防策として非常に重要です。対応計画には、初動対応の手順、連絡体制、復旧手順、外部への報告手順などを含めます。定期的にインシデント対応訓練(机上演習や実地訓練)を実施し、計画の実効性を検証します。訓練で見つかった課題は速やかに対応計画に反映します。
BCP(事業継続計画)にランサムウェア攻撃のシナリオを組み込み、業務の継続と早期復旧の手順を明確にしておくことも求められます。BCPとは、自然災害やサイバー攻撃など不測の事態が発生した場合でも事業を継続するための計画のことです。ランサムウェア攻撃による業務停止を想定し、代替手段や復旧の優先順位を事前に定めておくことで、被害を最小限に抑えることができます。
ランサムウェアの最新被害事例と教訓
2024年から2025年にかけて発生したランサムウェアの被害事例からは、組織のセキュリティ対策を見直すための重要な教訓を得ることができます。被害は製造業、物流業、メディアなど多岐にわたり、業種を問わずあらゆる組織がターゲットとなっています。
製造業・物流業における感染被害
2024年3月、眼鏡レンズ製造業の工場がランサムウェア攻撃を受け、生産が停止しました。システム復旧までに約24日間を要し、総損失は約54億円と推計されています。この事例は、製造業のOT(Operational Technology)環境もランサムウェアの標的となり得ること、生産停止が長期化すると莫大な損失が発生すること、復旧期間の長期化を防ぐためには事前の復旧計画が不可欠であることを示しています。
2024年9月には、物流企業の倉庫管理システムがランサムウェア攻撃によりダウンし、多くのEC事業者の出荷業務が停止しました。被害総額は約17億円にのぼります。サプライチェーンの一部が攻撃を受けることで、関連する多くの企業に連鎖的な被害が及ぶことを示した事例です。
大手出版社への大規模攻撃事例
2024年には大手出版社が大規模なランサムウェア攻撃を受けました。この攻撃は標的型攻撃の典型例であり、攻撃者が明確に企業の急所を突いた計画的な攻撃でした。電子書籍サービスや動画配信サービスなど、複数のサービスが長期間にわたり停止し、社会的にも大きな影響を及ぼしました。
被害事例に共通する教訓
これらの被害事例に共通しているのは、VPN機器やリモートアクセス環境の脆弱性が攻撃の入口となっていること、復旧に長期間を要していること、被害額が非常に高額であること、サプライチェーンを通じた連鎖的な被害が発生していることです。これらの教訓を踏まえ、自組織のセキュリティ対策を見直すことが重要です。
| 事例 | 時期 | 被害内容 | 被害額・復旧期間 |
|---|---|---|---|
| 眼鏡レンズ製造業 | 2024年3月 | 工場の生産停止 | 約54億円・復旧に約24日間 |
| 物流企業 | 2024年9月 | 倉庫管理システムダウン | 約17億円 |
| 大手出版社 | 2024年 | 複数サービスの長期停止 | 社会的に大きな影響 |
ランサムウェア被害時の相談窓口と報告義務
ランサムウェアの被害に遭った場合、速やかに適切な窓口に相談・報告することが重要です。2022年4月に施行された改正個人情報保護法により、個人データの漏洩等が発生した場合の報告義務も定められています。
ランサムウェア被害の主な相談窓口
IPA(情報処理推進機構)の企業・組織向けサイバーセキュリティ相談窓口では、事象のヒアリングを通じて被害の有無を判断し、有効な応急処置の案内、インシデント対応の専門業者の紹介、必要な相談・報告先の紹介を行っています。ランサムウェア被害については専用の届出様式が用意されており、速やかに届出を行うことが推奨されます。
警察への相談・通報も重要です。被害に遭った場合は、自社を管轄する警察署、または警察庁ウェブサイトのサイバー事案に関する通報等のオンライン受付窓口に相談・通報できます。警察に相談することで、ランサムウェア対策に関する助言を得られるほか、攻撃者の追跡や他の被害の防止にもつながります。
JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、サイバーセキュリティインシデントへの対応支援を行う組織であり、技術的な助言やインシデント対応の調整を行っています。
個人情報漏洩時の報告義務と報告手順
2022年4月に施行された改正個人情報保護法により、個人データの漏洩等が発生し、個人の権利利益を害するおそれが大きい場合には、個人情報保護委員会への報告と本人への通知が義務化されています。ランサムウェア攻撃により個人情報が漏洩した疑いがある場合は、速やかに報告を行う必要があります。
2025年10月1日以降は、ランサムウェア事案にかかる当局(個人情報保護委員会、所管官庁、および警察)への報告を「ランサムウェア事案共通様式」によって一括で行うことが可能となりました。これにより、被害企業の報告負担が軽減されています。
報告のタイミングとしては、速報(事態の発覚から概ね3日から5日以内)と、確報(事態の発覚から30日以内、不正の目的によるおそれがある場合は60日以内)の2段階が求められます。
サイバー保険の活用による備え
近年では、ランサムウェアを含むサイバー攻撃による被害に備えた「サイバー保険」への加入も広がっています。サイバー保険とは、サイバー攻撃によって生じた損害を補償する保険商品のことです。インシデント対応費用(フォレンジック調査費用、法律相談費用、被害者への通知費用など)や、事業中断による損失、第三者への損害賠償などを補償します。すべてのリスクをカバーするわけではありませんが、被害発生時の経済的な影響を緩和する手段として有効です。
ランサムウェア対策のまとめ
ランサムウェアの脅威は年々深刻化しており、攻撃手法も高度化・巧妙化を続けています。「自分の組織は大丈夫」という過信は禁物であり、あらゆる規模の組織がターゲットとなり得ます。2025年上半期だけで国内の被害報告が116件に達し、そのうち中小企業が77件と半数以上を占めた事実がその深刻さを物語っています。
最も重要なのは、感染を前提とした対策を講じることです。VPN機器をはじめとするネットワーク機器の脆弱性管理の徹底、多要素認証やEDRなど多層防御の仕組みの導入、3-2-1ルールに基づくバックアップ体制の構築と定期的な復元テストの実施、従業員教育の継続的な実施によるセキュリティ意識の向上、インシデント対応計画の策定と定期的な訓練の実施といった対策を組み合わせて、総合的にセキュリティレベルを向上させることが求められます。
ランサムウェアとの戦いに終わりはありませんが、適切な対策を講じることで、リスクを大幅に低減し、万が一の際にも迅速に復旧できる体制を整えることができます。
