そのメール、見抜けますか？ランサムウェアの特徴を突く巧妙な詐称の罠

2025年11月12日古田清秀（ふるた　きよひで）

・1. 巧妙化するランサムウェア攻撃｜中小企業が「他人事」でいられない現実
・2. 感染の入り口を塞ぐ！ランサムウェアを運ぶ「攻撃メール」の4つの特徴
・3. 知っておくべきランサムウェアの「挙動」と進化する3つの特徴
・4. 【実践】そのメール、開く前にここを確認！情シスが配布すべきチェックリスト
・5. メール以外にもある！ランサムウェアの主要な侵入経路と特徴
・6. もし感染に気づいたら？被害を最小限に抑える「特徴別」初動対応
・7. 「感染しても大丈夫」な環境を作る、3つの本質的な防御策
・まとめ：ランサムウェアの特徴を正しく知り、組織の防御力を最大化するために

1. 巧妙化するランサムウェア攻撃｜中小企業が「他人事」でいられない現実

「うちは規模が小さいから狙われないだろう」という考えは、現代のサイバー攻撃者にとって絶好のチャンスです。
現在、ランサムウェア攻撃は「無差別」かつ「組織的」に行われており、特に中小企業を標的とした被害が急増しています。
最新の統計によれば、2025年上半期の国内におけるランサムウェア被害のうち、約52％が中小企業で発生しているという現実があります。

1-1. ランサムウェアとは？「身代金」を目的とした悪質プログラムの正体

ランサムウェアとは、身代金を意味する「Ransom（ランサム）」と「Software（ソフトウェア）」を組み合わせた造語です。
感染すると、コンピュータ内のデータが暗号化されて開けなくなったり、画面がロックされて操作不能になったりします。
攻撃者は、その制限を解除する「復号鍵」と引き換えに、金銭（主に追跡が困難な暗号資産）を要求するのが特徴です。

かつては「画面をロックするだけ」といった単純なものが主流でしたが、現在はより悪質です。
データを暗号化する前に、社内の機密情報を外部へ盗み出す「データ窃取」をセットで行う手口が一般的になっています。
これにより、システムを復旧できたとしても「支払わなければ情報を公開する」という新たな脅威にさらされることになります。

1-2. なぜ中小企業が狙われるのか？「踏み台」にされるリスクとE-E-A-T視点の信頼性

中小企業が狙われる最大の理由は、大企業に比べてセキュリティ対策が手薄になりがちである点にあります。
しかし、攻撃者の真の狙いはその先にある「取引先の大企業」である場合も少なくありません。
これを「サプライチェーン攻撃」と呼び、中小企業を「踏み台」にして、信頼関係のある本命企業へ侵入するのです。

2025年の調査（Verizon DBIR）によると、サードパーティ（パートナー、ベンダー、サプライチェーン）を経由した侵害は前年比2倍に増加し、侵害の3分の1が信頼された取引先経由でした。
出典: NTTインテグレーション「数字で読み解く2025年のランサムウェア脅威と2026年への備え」

もし自社が踏み台となり、大切な取引先に多大な被害を及ぼしてしまったらどうなるでしょうか。
長年築き上げた「信頼（Trustworthiness）」や「専門的な実績（Expertise）」は一瞬で崩れ去り、損害賠償や取引停止に追い込まれるリスクがあります。
中小企業の情シス担当者にとって、ランサムウェア対策は自社を守るだけでなく、社会的な信頼を維持するための責務と言えるでしょう。

次は、最も警戒すべき「感染の入り口」である攻撃メールの巧妙な手口について詳しく見ていきます。

2. 感染の入り口を塞ぐ！ランサムウェアを運ぶ「攻撃メール」の4つの特徴

ランサムウェア感染の主要な経路の一つが、電子メールです。
攻撃者は技術的な脆弱性を突くだけでなく、人間の心理的な隙を突く「ソーシャルエンジニアリング」を駆使します。
一見しただけでは正当な業務メールに見えるため、その「特徴」を知っておくことが最大の防御となります。

2-1. 【心理の罠】緊急性や重要性を装う「件名」のパターン

攻撃者は、受信者に「考える余裕」を与えず、反射的にクリックさせるよう仕向けます。
特によく使われるのが、「重要」「至急」「警告」といった言葉を並べた件名です。
例えば、「【至急】お支払い状況の確認について」や「未解決のセキュリティ警告」といった具合です。

また、季節やトレンドに合わせた件名も増えています。
確定申告の時期には税務署を、年末調整の時期には人事労務を装ったメールが飛び交います。
心理的に「すぐに対応しなければならない」と感じさせる件名は、まず疑ってかかる姿勢が必要です。

2-2. 【偽装の罠】実在の人物や取引先を名乗る「なりすまし」の手口

「なりすまし」は、現代の攻撃メールで最も厄介な特徴です。
過去のやり取りを盗み取り、実際の返信を装って「以前お話しした件の資料です」と送ってくるケースもあります。
これは「ビジネスメール詐欺（BEC）」とも呼ばれ、文脈が自然であるため、ベテラン社員でも見抜くのが困難です。

署名欄に実在する役員の名前やロゴが記載されていても、決して鵜呑みにしてはいけません。
「普段はこの人からこんな依頼は来ないはずだ」という直感を大切にし、少しでも違和感があれば別ルート（電話やチャット）で本人に確認することが推奨されます。

2-3. 【技術の罠】ドメインや送信元情報の微細な違和感

送信者名（表示名）が正しくても、実際のメールアドレス（ドメイン）が偽装されていることが多々あります。
一文字だけ異なるドメイン（例：example.co.jp ではなく examp1e.co.jp）や、無関係なフリーアドレスから送られてくるのが特徴です。
これらはスマートフォンの画面では省略されやすいため、特に注意が必要です。

また、メールのヘッダー情報を解析すると、表示されている送信元とは全く異なるサーバーを経由していることがわかります。
情シス担当者としては、社員に対し「送信者の『名前』ではなく『メールアドレス』を必ず確認する」ことを徹底させるべきです。

2-4. 【添付ファイルの罠】拡張子偽装とパスワード付きZIP（PPAP）の危険性

添付ファイルは、ランサムウェア本体や、その「呼び水」となるマルウェアを忍び込ませる定番の手口です。
特に「.zip」や「.iso」、「.lnk」といった拡張子には注意が必要です。
二重拡張子（例：invoice.pdf.exe）を使い、一見PDFに見せかけて実行ファイルを展開させる古典的な手法も、未だに有効な攻撃として残っています。

感染経路の8割以上をVPN機器からの侵入（最多）とリモートデスクトップ（RDP）の悪用が占めていますが、不審メールも依然として主要な経路の第3位です。
出典: 令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について

さらに、日本独自の商習慣である「PPAP（パスワード付きZIP送信）」は、セキュリティ製品の検知を回避するために悪用されるリスクがあります。
暗号化されたZIPファイル内は、アンチウイルスソフトのスキャンをすり抜けやすいため、組織として脱PPAPを検討する段階に来ています。

メールという入り口を突破した後の、ランサムウェアの凶悪な「振る舞い」についても理解を深めておきましょう。

3. 知っておくべきランサムウェアの「挙動」と進化する3つの特徴

ひとたびランサムウェアがネットワーク内に侵入すると、その被害は単なる「データの暗号化」に留まりません。
攻撃者は、より確実に身代金を手に入れるため、複数の脅迫を組み合わせるなど手法を高度化させています。

3-1. 暗号化だけではない「二重恐喝（ダブルエクストーション）」の脅威

現在のランサムウェア攻撃の主流は「二重恐喝」です。
これは、データを暗号化してシステムを停止させるだけでなく、事前に窃取した機密情報を「リークサイト（攻撃者の暴露サイト）」で公開すると脅す手口です。
たとえ強固なバックアップを持っていてシステムを自力で復旧できたとしても、情報の流出というカードを突きつけられると、多くの企業が屈してしまいます。

この攻撃は、企業のレピュテーション（評判）を直接攻撃します。
顧客情報の漏洩は、法的な罰則だけでなく、社会的信用の失墜に直結するため、非常に強力な脅迫手段となっています。

3-2. サービスやDDoSを組み合わせた「三重・四重恐喝」への発展

さらに悪質な「多重恐喝」も登場しています。
「三重恐喝」では、二重恐喝に加え、被害企業のWebサイトに大量のアクセスを送りつけてダウンさせる「DDoS攻撃」を仕掛けます。
これにより、事業活動そのものを完全に麻痺させ、精神的な追い込みをかけます。

三重恐喝：暗号化、データ公開の脅迫に加え、DDoS攻撃で事業活動を妨害したり、窃取した情報を使って顧客や取引先に直接連絡し、企業の評判を貶めたりする脅迫を加える手口。
四重恐喝：さらに、企業の経営層や従業員個人に対して、直接的な脅迫や嫌がらせを行う手口。
出典: InfiniCore株式会社「『二重脅迫』の恐ろしい特徴とランサムウェア対策の新常識」

「四重恐喝」に至ると、攻撃者は被害企業の「顧客」や「従業員個人」にまで直接連絡を取り、「あなたの個人情報が流出したのはこの会社のせいです」といった嫌がらせを行います。
被害の連鎖を外部に広げることで、企業が支払いを選ばざるを得ない状況を作り出すのです。

3-3. RaaS（Ransomware as a Service）による攻撃の「低コスト化・量産化」

これらの高度な攻撃が激増している背景には、攻撃の「サービス化（RaaS）」があります。
高度な技術を持つ開発者がランサムウェアの基盤を提供し、実行役（アフィリエイト）がそれを利用して攻撃を行う分業体制が確立されています。
これにより、高度なハッキングスキルを持たない犯罪者でも、容易に大規模な攻撃を量産できるようになりました。

このRaaSモデルにより、攻撃のコストが劇的に低下しました。
その結果、攻撃対象は大企業から、セキュリティが手薄な全国の中小企業へと一気に拡大したのです。

これら進化する脅威に対し、情シス担当者が今すぐ実行すべき具体的なチェックポイントを整理します。

4. 【実践】そのメール、開く前にここを確認！情シスが配布すべきチェックリスト

従業員一人ひとりが「最後の砦」となれるよう、具体的な確認手順を社内に周知することが不可欠です。
ここでは、日常業務の中で簡単に実践できる、攻撃メールを見抜くためのチェックリストを紹介します。

4-1. リンクURLの「ホバー確認」を習慣化させる方法

メール本文に記載されているリンクやボタンをクリックする前に、必ずマウスカーソルをその上に合わせる（ホバーする）よう指導してください。
ホバーすると、ブラウザやメーラーの端に「実際のリンク先URL」が表示されます。

本文に「https://www.official-bank.jp」と書かれていても、ホバーした際に表示されるURLが「http://scam-site.net/login」のような全く別物であれば、それは100％詐欺です。
この「ワンホバー確認」の習慣化だけで、多くのフィッシング被害を防ぐことができます。

4-2. 本文の「不自然な日本語」や「フォントの混在」を見抜く

かつての攻撃メールは、機械翻訳をそのまま使ったような明らかな不自然さがありました。
最近はAIの活用により、非常に自然な日本語のメールが増えていますが、それでも「細部の違和感」は残ります。

フォントの混在: 日本語では使われない漢字（簡体字や繁体字）が混じっている。
敬語の使い間違い: 「殿」や「様」の使い方が不自然、あるいは慇懃無礼すぎる。
組織名や役職の誤記: 自社の正式名称や、実在しない部署名が記載されている。

これらの兆候が見られる場合、送信者が日本人ではない、あるいは悪意を持って作成された可能性が高いと判断できます。

4-3. 組織内の「報告ライン」を再点検する｜初動が被害を分ける

「怪しいメールを開いてしまったかもしれない」と思ったとき、従業員がすぐに相談できる環境が整っているでしょうか。
叱責を恐れて隠蔽してしまうことが、最も被害を拡大させる要因となります。

情シス担当者は、以下の報告フローを明確にし、ポスターやデスクマットなどで周知してください。

即時報告: 「何かおかしい」と思ったら、ためらわずに情シスへ連絡。
LANケーブルの抜線: 迷ったら、まずは物理的にネットワークから切り離す。
二次被害防止: 情シスは全社へ注意喚起を出し、同様のメールの受信状況を確認。

心理的安全性を担保し、「報告してくれてありがとう」と言える体制を作ることが、結果として組織全体を守ることにつながります。

メール以外の侵入経路についても、情シスとして対策を講じておく必要があります。

5. メール以外にもある！ランサムウェアの主要な侵入経路と特徴

メールは代表的な感染源ですが、近年最も警戒すべきは「ネットワークの隙間」を狙った攻撃です。
特にテレワークの普及により、社外から社内ネットワークへ接続するための機器が標的となっています。

5-1. VPN機器やネットワーク機器の「脆弱性」を突く攻撃

現在、ランサムウェア感染経路の圧倒的1位は「VPN機器からの侵入」です。
VPN機器にある既知の脆弱性を放置していると、攻撃者はそこを入り口として社内ネットワークへ容易に侵入します。

警察庁の調査によると、ランサムウェア被害の約6割がVPN機器からの侵入によるものとされています。テレワークの普及に伴い、多くの企業がVPN環境を整備しましたが、その運用管理が追いついていないケースが目立ちます。
出典: 三和コムテック「【2025年最新】ランサムウェア被害の実態と対策｜事例から学ぶ防御方法」

「パッチ（修正プログラム）を適用していない」「古いファームウェアのまま運用している」機器は、攻撃者にとっての「鍵がかかっていないドア」と同じです。
定期的なアップデートと、脆弱性情報のチェックは情シスにとって最優先の業務です。

5-2. リモートデスクトップ（RDP）の認証突破

第2位の侵入経路は、リモートデスクトップ（RDP）の悪用です。
外部からPCを操作できるRDPは便利ですが、認証がIDとパスワードのみ、かつパスワードが推測しやすいものである場合、総当たり攻撃（ブルートフォース攻撃）で突破されてしまいます。

ID・パスワードが漏洩すると、攻撃者は正規のユーザーとして社内に潜り込むため、検知が極めて困難になります。
RDPをインターネットに直接公開することを避け、多要素認証（MFA）を導入することが不可欠な対策です。

5-3. 偽広告（マルバタイジング）からのダウンロード感染

検索エンジンや一般のWebサイトに表示される広告を悪用した「マルバタイジング」も増加しています。
有名なフリーソフトの公式サイトを模した偽サイトへ誘導し、ウイルス入りのインストーラーをダウンロードさせる手口です。

「公式サイトだと思ってダウンロードした」という思い込みがあるため、ユーザーは警告を無視して実行してしまいがちです。
組織内のブラウザ制限や、信頼できるソース以外からのダウンロード禁止といったルール作り、そしてEDR（Endpoint Detection and Response）による振る舞い検知の導入が有効です。

万が一、これらの経路を突破されてしまった場合の「初動対応」についても確認しておきましょう。

6. もし感染に気づいたら？被害を最小限に抑える「特徴別」初動対応

「PCの動作が異常に重い」「覚えのないファイル名の末尾に拡張子がついている」「デスクトップに脅迫状（ReadMe）が表示された」。
これらの兆候は、ランサムウェアが現在進行形で活動している証拠です。情シスとして、1分1秒を争う対応が求められます。

6-1. 【即時実行】ネットワークからの物理的な隔離

何よりも優先すべきは、感染した端末をネットワークから切り離すことです。
最近のランサムウェアは、1台に感染するとすぐに他の共有フォルダやサーバー、バックアップ装置へと感染を広げる「横展開（ラテラルムーブメント）」を行います。

Wi-FiをOFFにする、またはLANケーブルを物理的に引き抜いてください。
このとき、VPN経由で接続している場合は、そのセッションも即座に遮断します。
「まだ被害が小さいから」と様子を見るのは禁物です。隔離を最優先してください。

6-2. 証拠を消さないための「電源オフ」の判断基準

「すぐに電源を切るべきか？」という判断は非常に難しい問題です。
強制終了（電源ボタン長押し）を行うと、メモリ上に残っていた攻撃の痕跡や、一部の暗号化を解くためのヒントが消えてしまう可能性があります。
一方で、通電し続けることは暗号化を進行させるリスクも伴います。

原則として、「ネットワークの遮断」を先に行い、電源操作は専門家の指示を待つのが定石です。
ただし、明らかに被害が拡大し続けていると判断される場合は、これ以上の破壊を防ぐために電源を落とすという決断も必要になります。
この判断基準は、あらかじめ「インシデント対応マニュアル」に明記しておくべきです。

6-3. 警察・IPA・専門ベンダーへの相談窓口一覧

自社だけで解決しようとせず、速やかに外部機関へ相談してください。
特に「身代金を支払うか」という判断は、企業の存続に関わる重大な決断です。

都道府県警察のサイバー犯罪相談窓口: 被害届の提出とともに、捜査への協力を仰ぎます。
IPA（独立行政法人情報処理推進機構）: 「J-CSIP」などの枠組みを通じて情報共有を行い、再発防止の助言を得られます。
フォレンジック専門ベンダー: 侵入経路の特定や、データの復旧可能性について調査を依頼します。

これらの連絡先をリスト化し、オフライン（紙媒体など）でいつでも参照できるようにしておくことが、有事の際の落ち着いた対応につながります。

最後に、こうした事態を防ぐ、あるいは起きても耐えられる「本質的な防御策」をまとめます。

7. 「感染しても大丈夫」な環境を作る、3つの本質的な防御策

100％の防御が不可能である以上、情シス担当者が目指すべきは「感染しても事業を止めない」仕組み作りです。
レジリエンス（回復力）の高い組織を作るための3つの柱を解説します。

7-1. バックアップの「3-2-1ルール」とオフライン保管の徹底

バックアップは、ランサムウェアに対する「最後の希望」です。
しかし、最近のランサムウェアはオンライン上のバックアップから優先的に破壊します。
そこで推奨されるのが、以下の「3-2-1ルール」です。

3: データのコピーを3つ持つ。
2: 2種類の異なる媒体（ディスクとクラウドなど）に保存する。
1: 1つは、ネットワークから物理的に切り離された「オフライン」で保管する。

特に「オフライン保管（イミュータブル・ストレージや物理テープ、切断されたHDDなど）」が、攻撃者によるバックアップ破壊を防ぐ唯一の確実な手段となります。

7-2. ゼロトラスト・アーキテクチャの考え方を取り入れる

「社内は安全、社外は危険」という境界防御の考え方は、もはや通用しません。
これからのスタンダードは、社内外を問わず「誰も、何も信頼しない」という「ゼロトラスト」の考え方です。

具体的には、多要素認証（MFA）の全ユーザー適用、最小権限の原則（不必要なアクセス権を与えない）、そして端末の健全性を常時チェックする体制を指します。
これにより、万が一IDが盗まれたり端末が感染したりしても、被害をその最小範囲に封じ込めることが可能になります。

7-3. 定期的な「攻撃疑似体験」研修の実施

セキュリティ製品の導入以上に強力なのが、社員の「意識」というフィルターです。
年に一度の座学よりも、実際に偽の攻撃メールを送り、誰がクリックしたかを測定する「標的型メール訓練」のような疑似体験型研修が効果的です。

情シスが配布すべきチェックリストとして、リンクURLのホバー確認や、本文の不自然な日本語を見抜く訓練を盛り込むことは、初動対応の迅速化に直結します。
筆者：実際のインシデント事例をベースにした訓練は、社員の「自分事化」を促す強力なツールとなります。

訓練の目的は「クリックした人を責めること」ではなく、「怪しいと感じる感度を上げること」と「報告の練習をすること」にあると、ポジティブに周知しましょう。

まとめ：ランサムウェアの特徴を正しく知り、組織の防御力を最大化するために

本記事では、ランサムウェアの巧妙な特徴と、それに対抗するための実践的な策を解説してきました。
重要なポイントを改めて整理します。

無差別な攻撃: 中小企業は「踏み台」として狙われており、被害の過半数を占めています。
多重恐喝の一般化: 単なる暗号化だけでなく、情報暴露やDDoS攻撃を伴う極めて悪質な手口へ進化しています。
侵入経路の主役はVPN: ネットワーク機器の脆弱性を放置することが最大の組織的リスクです。
人間が最大の防御: メールの違和感を見抜き、即座に報告できる体制こそが被害を最小化します。
3-2-1ルールの徹底: ネットワークから切り離されたバックアップだけが、確実な復旧を約束します。

サイバーセキュリティの世界に「完璧」はありませんが、「準備」は誰にでもできます。
情シス担当者の皆様には、本記事で紹介したチェックリストや対策案を参考に、自社の防御体制を今一度アップデートしていただければ幸いです。

自社のセキュリティ状況に不安がある、あるいは具体的な対策の優先順位を知りたいという方は、ぜひ弊社の「セキュリティ脆弱性診断サービス (無料)」をご活用ください。
プロの視点から、貴社に最適な防御戦略を構築するお手伝いをいたします。

皆様の組織の大切なデータと信頼を守るため、今できる一歩を共に踏み出しましょう。

古田清秀（ふるた　きよひで）

InfiniCore株式会社ソリューションサービス事業本部　責任者新卒以来30年以上IT業界に在籍し、サイバーセキュリティの最前線で活躍する専門家です。ネットワークインフラ構築の営業を通じてセキュリティの重要性を痛感。前職では新規セキュリティサービスのプロジェクトマネージャー（PM）として、その立ち上げを成功に導きました。長年の経験と深い知見を活かし、複雑なセキュリティ課題を分かりやすく解説。企業の安全なデジタル変革を支援するための情報発信を行っています。