• TOP
  • 全ての記事
  • 身代金要求だけじゃない!「二重脅迫」の恐ろしい特徴とランサムウェア対策の新常識
サービス問い合わせ
サービス問い合わせ
catch-img

身代金要求だけじゃない!「二重脅迫」の恐ろしい特徴とランサムウェア対策の新常識

古田 清秀(ふるた きよひで)

ランサムウェア

目次[非表示]

  1. 【特徴を再確認】そもそもランサムウェアとは何か?
  2. 身代金要求だけじゃない!「二重脅迫」ランサムウェアの恐ろしい特徴
  3. なぜ従来の対策では「二重脅迫」を防ぎきれないのか?
  4. 【情シスの新常識】これからのランサムウェア対策 5つの重要ポイント
  5. 万が一感染してしまったら?被害を最小限に抑える初動対応ガイド
  6. まとめ:ランサムウェアの新たな特徴を理解し、企業の未来を守るために

あなたのランサムウェア知識、アップデートされていますか?

「ランサムウェア攻撃でPCのファイルが暗号化され、身代金を要求された」 情報システム担当者であれば、一度はこのようなニュースや注意喚起を目にしたことがあるでしょう。しかし、その認識、もしかしたら少し古いものになっているかもしれません。

「データを人質に身代金を要求する」だけではない、最新の脅威とは

現在のランサムウェア攻撃は、単にデータを暗号化して使えなくするだけには留まりません。攻撃者はデータを暗号化する前に、まず企業の機密情報を根こそぎ盗み出します。そして、「身代金を支払わなければ、盗んだデータをダークウェブで公開・売却する」と脅しをかけるのです。

これが、「二重脅迫(Double Extortion)」と呼ばれる、近年のランサム-ウェア攻撃の主流となっている手口です。この手口の恐ろしい点は、たとえバックアップからデータを復元できたとしても、情報漏洩という深刻な被害が残り、企業の事業継続と社会的信用に壊滅的なダメージを与えかねないことです。

この記事を読めばわかること:二重脅迫の恐怖と情シスが今すぐ取るべき対策

この記事では、情報システム担当者の皆様が今そこにある脅威を正しく理解し、効果的な対策を講じるために、以下の点を詳しく解説します。

  • ランサムウェアの基本的な仕組みと、より巧妙化・悪質化する最新の攻撃手口
  • 「二重脅迫」がなぜこれほどまでに恐ろしいのか、その具体的な特徴
  • 従来のセキュリティ対策が「二重脅迫」には通用しない理由
  • 情報システム担当者が今すぐ取り組むべき、これからのランサムウェア対策の新常識

自社のセキュリティ対策に少しでも不安を感じている方は、ぜひ最後までお読みいただき、貴社の未来を守るための一歩を踏み出してください。

【特徴を再確認】そもそもランサムウェアとは何か?

最新の脅威を理解するために、まずはランサムウェアの基本的な特徴をおさらいしておきましょう。

基本的な仕組み:データの暗号化と身代金(Ransom)要求

ランサムウェア(Ransomware)とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。この悪意のあるソフトウェアは、感染したコンピュータやサーバー内のファイル(文書、画像、データベースなど)を勝手に暗号化し、使用できない状態にしてしまいます。

そして、ファイルを元に戻す(復号する)ための鍵と引き換えに、被害者に対して身代金を要求します。これがランサムウェアの最も基本的な攻撃の仕組みです。

進化する攻撃手口:標的型攻撃とRaaS(Ransomware as a Service)の台頭

かつてのランサムウェアは、不特定多数にメールをばらまくなど、手当たり次第に攻撃を仕掛けるものが主流でした。しかし近年では、特定の企業や組織を入念に調査し、脆弱性を突いて侵入する「標的型攻撃」へとシフトしています。

さらに、攻撃の分業化・サービス化も進んでいます。サイバー攻撃の専門家がランサムウェアの攻撃ツールを作成・管理し、それを実行役に提供する「RaaS(Ransomware as a Service)」というビジネスモデルが確立されました。これにより、高度な技術を持たない攻撃者でも、容易に大規模なランサムウェア攻撃を仕掛けられるようになり、被害の拡大に拍車をかけています。

身代金要求だけじゃない!「二重脅迫」ランサムウェアの恐ろしい特徴

ここからが本題です。現在の主流である「二重脅迫」ランサムウェアは、従来の攻撃とは比較にならないほど深刻な被害をもたらします。その恐ろしい特徴を具体的に見ていきましょう。

第1の脅迫:従来通りの「ファイルの暗号化」

まず行われるのが、従来型のランサムウェア攻撃と同様の「ファイルの暗号化」です。 業務サーバーや個人のPCに保存されている重要ファイルが暗号化され、業務システムが停止。事業継続に直接的な打撃を与えます。これが、身代金支払いを迫る第1の脅迫となります。

第2の脅迫:窃取した機密情報の「公開・売却」

そして、二重脅迫の最大の特徴が、この第2の脅迫です。攻撃者はファイルを暗号化する前に、システム内部を探索し、価値の高い機密情報を外部に窃取しています。 そして、「身代金を支払わなければ、この盗んだデータを公開する」と脅迫してきます。これは、バックアップからの復旧を試みる企業に対する、強烈な揺さぶりとなります。

狙われるのは顧客情報や技術情報など企業の生命線

攻撃者が狙うのは、企業の根幹を揺るがすような重要情報です。

  • 個人情報・顧客情報: 漏洩した場合、損害賠償や行政処分、ブランドイメージの失墜に繋がります。
  • 技術情報・開発データ: 企業の競争力の源泉であり、競合他社に渡れば致命的な損害となります。
  • 財務情報・人事情報: 内部の混乱を招き、経営に大きな影響を与えます。
  • 取引先との契約情報: 取引先からの信用を失い、契約を打ち切られるリスクがあります。

これらの情報が一度インターネット上に公開されてしまえば、完全に削除することは不可能であり、被害は永続的なものとなります。

身代金を支払ってもデータが公開される悪質なケースも

さらに悪質なことに、要求に応じて身代金を支払ったとしても、データが公開されないという保証はどこにもありません。実際、身代金を支払ったにもかかわらず、データが公開されたり、後から再び脅迫されたりするケースも報告されています。攻撃者は約束を守る義理などなく、一度でも支払いに応じれば「金を払う企業」としてリスト化され、さらなる攻撃の標的になるリスクすら高まります。

被害を甚大化させる「三重脅迫」「四重脅迫」という新たな特徴

脅威は二重脅迫だけに留まりません。近年では、さらに手口を重ねた攻撃も確認されています。

  • 三重脅迫: 暗号化、データ公開の脅迫に加え、DDoS攻撃(大量のデータを送りつけてサーバーをダウンさせる攻撃)で事業活動を直接妨害したり、窃取した情報を使って顧客や取引先に直接連絡し、企業の評判を貶めたりする脅迫を加える手口。
  • 四重脅迫: さらに、企業の経営層や従業員個人に対して、直接的な脅迫や嫌がらせを行う手口。

このように、ランサムウェアの脅威は、単なるデータ復旧の問題から、情報漏洩、事業妨害、信用失墜といった、より複雑で深刻な経営問題へと変化しているのです。

なぜ従来の対策では「二重脅迫」を防ぎきれないのか?

「うちはバックアップも取っているし、ファイアウォールもあるから大丈夫」…そう考えているとしたら、非常に危険です。二重脅迫ランサムウェアは、そうした従来型の対策の”穴”を巧みに突いてきます。

バックアップだけでは事業継続と信用の回復はできない

二重脅迫の最大の特徴は「データの窃取と公開の脅迫」にあると説明しました。これはつまり、たとえ完璧なバックアップがあり、暗号化されたデータをすべて復元できたとしても、「情報漏洩」という事実は消せないことを意味します。

顧客情報が漏洩すれば、企業の社会的信用は失墜し、顧客離れや損害賠償請求に繋がります。バックアップはあくまで業務システムを「復旧」させるための手段であり、一度漏洩した情報の「信頼」を取り戻すことはできないのです。

ファイアウォールを突破される「侵入後」の脅威への備えは万全か?

ファイアウォールやアンチウイルスソフトといった「境界型防御」は、外部からの不正な通信や既知のマルウェアを防ぐ上で重要です。しかし、攻撃者はVPN機器の脆弱性を悪用したり、フィッシングメールで従業員を騙して認証情報を盗んだりと、様々な手口でこの境界線を突破してきます。

問題は、一度内部への侵入を許してしまった後です。攻撃者は侵入後、すぐにはファイルを暗号化しません。数週間から数ヶ月にわたってネットワーク内部に潜伏し、管理者権限を奪取し、どこに重要なデータがあるかを徹底的に調査します。従来の対策では、この侵入後の不審な活動を検知・対処することが非常に困難なのです。

【事例解説】二重脅迫ランサムウェアが引き起こした深刻な被害

言葉だけでなく、実際のデータが脅威の深刻さを物語っています。警察庁の発表によると、その被害の実態が明らかになっています。

令和6年上半期におけるランサムウェア被害の報告件数は114件であった。このうち、二重脅迫(データを暗号化するとともに、データを窃取し、対価を支払わなければデータを公開するなどと脅迫する手口)の被害が確認されたものは62件であり、手口を確認できたもののうち8割以上を占めた。

出典: 警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」

このデータが示すように、ランサムウェア被害の大半が二重脅迫型であり、もはや他人事ではありません。VPN機器からの侵入が依然として主要な感染経路となっており、バックアップを取っていたにも関わらず、そのバックアップごと暗号化されて復旧できなかったケースも多数報告されています。これは、従来の対策だけでは不十分であることを明確に示しています。

【情シスの新常識】これからのランサムウェア対策 5つの重要ポイント

では、巧妙化する二重脅迫ランサムウェアから企業を守るために、情報システム担当者は何をすべきなのでしょうか。ここからは、これからの時代に必須となる5つの対策ポイントを解説します。

対策1:侵入を前提とする「ゼロトラスト」セキュリティへの転換

従来の「社内は安全、社外は危険」という境界型防御の考え方はもはや通用しません。「ゼロトラスト」とは、その名の通り「何も信頼しない(Zero Trust)」を基本理念とし、社内・社外を問わず、すべてのアクセスを検証することで、情報資産への脅威を防ぐセキュリティモデルです。

全ての通信を疑い、アクセスを厳格に検証する

ゼロトラストの環境では、ユーザーが誰で、どの端末から、どの情報にアクセスしようとしているのかを毎回厳格に認証・認可します。これにより、万が一攻撃者がネットワーク内部に侵入したとしても、重要なデータへ安易にアクセスすることを防ぎ、被害の拡大を食い止めることができます。

対策2:侵入後の検知・対応を強化する「EDR/XDR」の導入

侵入を100%防ぐことが困難である以上、侵入後の攻撃者の活動をいかに早く検知し、対処するかが重要になります。そこで活躍するのが「EDR(Endpoint Detection and Response)」「XDR(Extended Detection and Response)」です。

不審な挙動をリアルタイムで検知し、被害拡大を阻止

EDRは、PCやサーバー(エンドポイント)の操作ログを常時監視し、マルウェア感染や不正アクセスといった”不審な挙動”を検知・通知するソリューションです。XDRはさらにその範囲を広げ、ネットワークやクラウドなど、複数のセキュリティ製品からの情報を横断的に分析し、脅威の全体像を可視化します。これにより、潜伏する攻撃者の活動を早期に発見し、被害が拡大する前に対処することが可能になります。

対策3:データの重要性に応じたアクセス権管理と暗号化の徹底

すべての従業員がすべてのデータにアクセスできる状態は、攻撃者にとって格好の的です。「必要最小限の権限(Principle of Least Privilege)」の原則に基づき、従業員の役職や業務内容に応じて、アクセスできるデータの範囲を厳格に制限することが不可欠です。

また、ファイルサーバーやデータベースに保存されている特に重要なデータは、事前に暗号化しておくことも有効な対策です。万が一データが窃取されたとしても、内容が暗号化されていれば、情報漏洩のリスクを大幅に低減できます。

対策4:攻撃の起点となりうる脆弱性の迅速な管理とパッチ適用

警察庁のデータでも示されている通り、VPN機器やリモートデスクトップの脆弱性は、ランサムウェアの主要な侵入経路です。使用しているOS、ソフトウェア、ネットワーク機器の脆弱性情報を常に収集し、セキュリティパッチが公開されたら迅速に適用する体制を構築することが極めて重要です。

脆弱性管理を怠ることは、自宅のドアに鍵をかけずに外出するようなものです。攻撃者に侵入の口実を与えないよう、徹底した管理が求められます。

対策5:インシデント発生を想定した実践的な復旧計画(IRP)の策定

どれだけ対策を講じても、被害に遭う可能性をゼロにすることはできません。そのため、万が一の事態に備え、「インシデント対応計画(IRP: Incident Response Plan)」を策定し、組織として冷静かつ迅速に行動できる準備をしておくことが重要です。

机上の空論で終わらせないための定期的な訓練の重要性

IRPには、インシデント発覚時の報告体制、初動対応の手順、外部専門家との連携方法、広報対応などを具体的に定めておく必要があります。そして、最も重要なのは、この計画が”絵に描いた餅”にならないよう、定期的に実践的な訓練(セキュリティ演習)を実施することです。訓練を通じて課題を洗い出し、計画を継続的に見直していくことで、いざという時に本当に機能する備えとなります。

万が一感染してしまったら?被害を最小限に抑える初動対応ガイド

もし、ランサムウェアへの感染が疑われる事態が発生した場合、パニックにならず、冷静に行動することが被害を最小限に抑える鍵となります。ここでは、最低限実施すべき初動対応を解説します。

Step1:ネットワークからの隔離

感染が疑われるPCやサーバーを、直ちにLANケーブルを抜く、Wi-Fiをオフにするなどしてネットワークから物理的に隔離してください。これにより、他の端末への感染拡大(横展開)を防ぐことができます。

Step2:関係部署・経営層への報告

事前に定めたインシデント対応計画(IRP)に基づき、速やかに関係部署(情報システム部、法務部、広報部など)および経営層へ報告します。正確な情報を迅速に共有し、組織としての方針決定を仰ぐことが重要です。

Step3:外部専門機関への相談と連携

自組織だけで対応するのが困難な場合は、躊躇なく外部の専門機関に相談しましょう。セキュリティ専門ベンダーや、各都道府県警察のサイバー犯罪相談窓口、独立行政法人情報処理推進機構(IPA)などが相談先として挙げられます。専門家の知見を借りることで、的確な対応が可能になります。

【注意】身代金の支払いは推奨されない理由

脅迫された際、事業を早期に復旧させたい一心で身代金の支払いを検討するかもしれません。しかし、警察庁をはじめとする公的機関は、身代金の支払いを推奨していません。その理由は以下の通りです。

  • 支払ってもデータが復旧される保証がない
  • 攻撃者のさらなる活動資金となり、新たな犯罪を生む
  • 「支払いに応じる企業」と見なされ、将来的に再び標的にされるリスクが高まる

安易な支払いは、結果として自社だけでなく社会全体を危険に晒す行為に繋がりかねないことを、強く認識しておく必要があります。

まとめ:ランサムウェアの新たな特徴を理解し、企業の未来を守るために

本記事では、ランサムウェアの最新の脅威である「二重脅迫」の恐ろしい特徴と、それに対抗するための新しい対策の常識について解説しました。

本記事の要点:「二重脅迫」の脅威と5つの対策の新常識

  • 現代のランサムウェアは、データを暗号化するだけでなく、事前に窃取し「公開する」と脅す「二重脅迫」が主流である。
  • バックアップだけでは情報漏洩は防げず、企業の信用失墜に繋がる。
  • 対策の鍵は「侵入されること」を前提としたアプローチ。
    1. ゼロトラスト:全てのアクセスを検証する。
    2. EDR/XDR:侵入後の不審な動きを検知・対応する。
    3. アクセス権管理・暗号化:データへのアクセスを最小化する。
    4. 脆弱性管理:攻撃の侵入口を塞ぐ。
    5. 実践的な復旧計画(IRP):有事に備え、訓練を行う。

もはやランサムウェア対策は、情報システム部門だけの問題ではありません。企業の事業継続そのものを揺るがす、経営レベルで取り組むべき最重要課題です。

今日から始める!貴社のセキュリティ体制を見直すためのアクションプラン

この記事を読んで、「自社の対策は本当に十分だろうか?」と少しでも感じたなら、それがセキュリティ強化の第一歩です。 まずは、本日ご紹介した5つの対策ポイントをチェックリストとして、貴社の現状を評価してみてはいかがでしょうか。

「どこから手をつければいいか分からない」「専門家の客観的なアドバイスが欲しい」 そのようなお悩みをお持ちでしたら、ぜひお気軽に弊社の無料セキュリティ相談をご活用ください。貴社の状況に合わせた最適な対策プランをご提案いたします。

無料セキュリティ相談
古田 清秀(ふるた きよひで)
古田 清秀(ふるた きよひで)
InfiniCore株式会社 ソリューションサービス事業本部 責任者 新卒以来30年以上IT業界に在籍し、サイバーセキュリティの最前線で活躍する専門家です。 ネットワークインフラ構築の営業を通じてセキュリティの重要性を痛感。前職では新規セキュリティサービスのプロジェクトマネージャー(PM)として、その立ち上げを成功に導きました。 長年の経験と深い知見を活かし、複雑なセキュリティ課題を分かりやすく解説。企業の安全なデジタル変革を支援するための情報発信を行っています。

前の記事

prev-article-image

【被害拡大】ランサムウェア感染時に絶対やってはいけないNG行動7選

次の記事

next-article-image

今さら聞けないランサムウェアの基礎知識|代表的な種類と感染経路を分かりやすく解説

メルマガに登録する

無料セキュリティ
相談

お問い合わせ
会社資料をDLする

Services

ITインフラサービス

  • ネットワークインテグレーション
  • クラウドインテグレーション

Solutions

  • ネットワークセキュリティ
  • アウトソーシング

Technology

InfiniCoreについて

logo

Copyright (c) 2025 InfiniCore Co., Ltd. All rights reserved