情報システム担当者が知るべき感染経路と対策整理

2025年12月19日古田清秀（ふるた　きよひで）

・メール添付とリンクは今も最重要の感染経路
・遠隔接続と遠隔保守ツールは侵入後の拡大にも直結する
・USB などの外部媒体は「例外経路」として残りやすい
・感染を疑ったときの初動は「調査」より「封じ込め」が先
・対策は製品追加より、感染経路ごとの統制設計で考える
・情シスが月次で見直したい点検チェックリスト
・小規模な情シスほど「全部やる」より優先順位を固定する
・経営層へ説明するときは「経路」「影響」「決裁事項」で話す
・FAQ
・まとめ

マルウェア感染の主要経路は、いまもメール添付・リンク、遠隔接続経由、外部媒体の3つが中心です。
情報システム担当者が優先すべきなのは、感染経路ごとに「入口対策」と「感染後の封じ込め」を分けて設計することです。
初動で遅れやすいのは、端末隔離、アカウント制御、ログ保全、社内連絡の4点です。
この記事は IPA、CISA、NIST の一次情報を確認し、企業の情報システム部門が日常運用で使いやすい判断軸に絞って整理しています。

情報システム担当者にとって、マルウェア対策は「何を導入するか」よりも「どこから入ってきて、入った後にどう広がるか」を理解することが先です。対策製品を増やしても、感染経路の想定が曖昧なままだと、優先順位がぶれます。特に中堅企業では、メール、VPN や RDP などの遠隔接続、USB をはじめとした外部媒体の扱いが混在しやすく、現場運用の抜けが感染の入口になりがちです。

IPA は Emotet に関する注意喚起で、正規メールへの返信を装う攻撃や、悪意ある Word/Excel 文書ファイルの利用を繰り返し紹介しています。CISA もフィッシングを主要な侵入口として扱い、2024年10月31日には情報技術分野を含む複数業種に対し、悪意ある RDP ファイルを添付した大規模スピアフィッシングを警告しました。さらに、遠隔保守ツールや外部媒体は、利便性が高い一方で侵入後の横展開にも使われます。つまり情シスの実務では、「感染経路」と「社内での拡大経路」を一体で見ないと対策が片手落ちになります。

まずは、日常運用で優先して押さえるべき経路を整理します。

感染経路	現場で起きやすい形	主な被害	優先対策
メール添付・リンク	正規返信を装うメール、請求書や配送連絡を装う文書、URL 誘導	認証情報窃取、ローダー感染、ランサムウェア展開	メール防御、マクロ/実行制御、利用者教育、報告導線
遠隔接続	RDP の公開、弱い認証、未更新の遠隔保守ツール	不正侵入、横移動、権限奪取、暗号化被害	外部公開の最小化、MFA、パッチ、接続元制限
外部媒体	USB 持ち込み、Autorun、持出端末との混在	オフライン端末感染、検知回避、横展開	接続制御、ウイルス検査、Autorun 無効化、媒体管理

この表で重要なのは、どの経路も「人の操作」か「管理されていない例外運用」を足場にしている点です。したがって、技術対策だけでなく、承認ルールや例外手順まで含めて設計しないと実効性が下がります。

メール添付とリンクは今も最重要の感染経路

メールは古典的ですが、依然として最も現実的な侵入口です。CISA はフィッシングを、メール、SMS、SNS のダイレクトメッセージ、電話などを使うソーシャルエンジニアリングとして説明しています。とくに生成 AI の普及で文面の不自然さが減り、文法の誤りだけでは見抜きにくくなっています。Source: CISA

IPA の Emotet 解説では、正規のメールへの返信を装う手口に加え、マクロを含む文書ファイルが多く確認されているとされています。Source: IPA 情シスの観点では、ここから次の3点を読むべきです。

入口はメールでも、目的はその先の認証情報窃取や追加マルウェア投入であること。
送信元の見た目が正しそうでも、過去のやり取りを悪用されると人だけでは判断しづらいこと。
利用者教育だけに依存すると再発しやすく、文書の実行制御やサンドボックスが前提になること。

実務上は、メールゲートウェイ、URL 再評価、マクロ無効化、アプリケーション制御を別物として扱わず、1つの経路対策として束ねるのが有効です。利用者に求めるのは「見抜け」ではなく、「違和感があれば即報告し、自己判断で開き続けない」ことです。報告先が分かりにくい組織では、迷っている間に感染が広がります。

Phishing messages or “bait” usually come in the form of an email, text, direct message on social media or phone call.
"フィッシングメッセージ、いわゆる「おとり」は、通常、電子メール、テキストメッセージ、ソーシャルメディアのダイレクトメッセージ、または電話の形で送られてきます。"
出典: CISA, Recognize and Report Phishing

この引用が示す通り、メールだけを監視対象にしても十分ではありません。情シスは、Teams やチャット、SMS を使った業務連絡がある環境では、連絡チャネル横断で「リンクを開かせる行為」を同じリスクとして扱う必要があります。

遠隔接続と遠隔保守ツールは侵入後の拡大にも直結する

遠隔接続は便利ですが、設定が甘いと感染の入口にも、侵入後の横移動にもなります。CISA は 2024年10月31日の警告で、政府機関や IT 分野を含む複数組織に対し、悪意ある RDP ファイルを添付したスピアフィッシングを確認したと公表しました。そこでは、攻撃者が外部や公開ネットワークへの outbound RDP を禁止または大幅に制限するよう勧告しています。Source: CISA

さらに CISA の 2025年6月12日のアドバイザリでは、未更新の SimpleHelp RMM がランサムウェア攻撃者に悪用され、下流顧客への侵害に使われたと説明されています。加えて、RDP のようなリモートサービスを Web 上に公開しないよう求めています。Source: CISA

ここでのポイントは、「RDP を使うか否か」ではなく、「どう公開し、どう制御し、どう監視するか」です。情シスが確認すべき最低ラインは次の通りです。

インターネットから直接到達できる RDP、VPN、保守ポータルが残っていないか。
多要素認証が必須化され、共用アカウントが残っていないか。
接続元 IP 制限、踏み台、ゼロトラスト型の経路制御があるか。
遠隔保守ツールに即時パッチ適用できる資産管理があるか。
夜間や休日の不審な接続を検出できるログ監視があるか。

遠隔接続は、平時の利便性が高いほど例外運用が増えます。だからこそ、利便性の議論と感染対策の議論を切り離さず、例外申請を含めて統制する必要があります。

USB などの外部媒体は「例外経路」として残りやすい

クラウド化が進んでも、USB や外付けディスクのリスクは消えていません。CISA は removable media 対策の解説で、外部媒体はファイアウォールや侵入検知を迂回し、マルウェアの主要な運び手になり得ると説明しています。Source: CISA また、USB 利用に関する注意喚起では、未知の USB を接続しないこと、Autorun を無効化すること、利用前のウイルス検査を行うことを勧めています。Source: CISA

Removable media bypasses firewalls and intrusion detection systems, making it a prime conduit for malware.
"リムーバブルメディアはファイアウォールや侵入検知システムを回避できるため、マルウェアの主要な侵入経路となる。"
出典: CISA, Block or Restrict Removable Media

この経路が厄介なのは、通常のメール防御や Web フィルタでは止めにくいことです。製造現場、研究部門、出張端末、委託先とのファイル受け渡しなど、業務上どうしても残るケースがあるため、情シスは「全面禁止」か「黙認」かの二択にしない方が現実的です。

実務では次のように整理すると回しやすくなります。

原則禁止としつつ、許可済み媒体だけを申請ベースで利用させる。
端末側で Autorun を無効化し、許可媒体でも接続時にスキャンをかける。
私物媒体と業務媒体を分離し、持ち込みルールを明文化する。
オフライン端末や制御系端末では、媒体持ち込み前後の手順を別紙で定義する。

NIST も 2025年に公開した OT 向けガイドで、USB などの portable storage media が産業環境へマルウェアを広げ得ると説明しています。一般 IT でも、閉域だから安全とは言えないという点は同じです。Source: NIST

感染を疑ったときの初動は「調査」より「封じ込め」が先

感染経路の理解と同じくらい重要なのが、疑わしい兆候が出たときの初動です。NIST SP 800-61 Rev.2 は、インシデント対応能力の整備に計画と資源が必要であり、適切な対応判断のためにガイドラインを提供すると述べています。Source: NIST

情シスが現場で迷いやすいのは、「まず調べるべきか、止めるべきか」です。原則は後者です。確証が十分でなくても、被害端末の隔離、資格情報の無効化、管理者権限の利用停止、共有フォルダや遠隔接続の一時遮断を先に判断できるようにしておくべきです。初動の遅れは、原因調査の不足よりも被害拡大につながります。

初動対応を定型化するなら、少なくとも次の順で整理しておくと実務に落ちます。

利用者からの連絡を受けたら、ネットワーク隔離の要否を即判断する。
当該端末とアカウントの利用を止め、横移動に使われる経路を絞る。
EDR、認証、メール、VPN、プロキシのログ保全を開始する。
同一メール件名、同一送信元、同一接続元 IP の横展開有無を確認する。
経営層、法務、広報、委託先を含む連絡系統を起動する。

ここで重要なのは、初動手順を「マルウェア全般」で共通化しておくことです。マルウェアの種類ごとに細かく分けすぎると、最初の 30 分で使えません。

対策は製品追加より、感染経路ごとの統制設計で考える

対策を進める際にありがちな失敗は、製品や設定項目ごとに管理してしまうことです。情シスとしては、対策を「メール経路」「遠隔接続経路」「外部媒体経路」「感染後の封じ込め」の4束に分け、予算や工数もその単位で見た方が優先順位をつけやすくなります。

たとえば、メール訓練だけを強化しても、RDP の公開や古い遠隔保守ツールが残っていれば、攻撃者はそちらを使います。逆に、遠隔接続を締めても、外部媒体の例外運用が野放しなら、検知の外から入られます。経路ごとの統制設計とは、入口の削減、異常検知、例外承認、初動手順を1セットで持つことです。

情シスが現実に回しやすい形へ落とすなら、対策は次の3層に分けると整理しやすくなります。

予防: メール防御、MFA、パッチ適用、USB 制御のように侵入確率を下げる層
検知: EDR、メールログ、認証ログ、VPN ログ、端末の接続履歴で異常を見つける層
対応: 隔離、アカウント停止、社内通知、外部通報判断を迷わず実施する層

3層を分けて管理すると、「製品はあるのに運用がない」「ログはあるのに誰も見ていない」といった空白が見つけやすくなります。セキュリティ製品の導入台数よりも、この3層が各感染経路でつながっているかを見た方が、被害抑止には効きます。

情シスが月次で見直したい点検チェックリスト

感染経路対策は、一度決めて終わりではありません。組織変更、システム更改、委託先追加、在宅勤務の増減で、入口はすぐ変わります。月次または四半期で次の観点を見直すだけでも、抜け漏れを減らせます。

1. メール経路の点検

添付ファイルや URL の検査ルールが、最近の業務実態に合っているか。
パスワード付き圧縮ファイルやマクロ付き文書の扱いが例外化していないか。
不審メールの報告件数と、実際の封じ込め手順が結びついているか。

2. 遠隔接続の点検

一時的に開けた RDP や保守ポータルが閉じ忘れられていないか。
委託先や保守会社のアカウントが棚卸しされ、不要権限が削除されているか。
MFA 未対応の古い接続方式が残っていないか。

3. 外部媒体の点検

USB の利用申請と実際の端末ログに乖離がないか。
持ち込み媒体の検査手順が、現場のスピードを理由に省略されていないか。
制御系やオフライン端末向けの特例手順が最新のまま維持されているか。

4. 初動体制の点検

端末隔離を誰が指示し、誰が実行するかが明確か。
夜間や休日に連絡できる担当者が固定化されすぎていないか。
経営層、法務、広報、委託先への連絡条件が曖昧ではないか。

このチェックリストの狙いは、完璧な診断ではなく、感染経路ごとの運用劣化を早めに見つけることです。マルウェア対策は、設定の品質だけでなく、例外運用が増えた時にどれだけ早く気づけるかで差が出ます。

小規模な情シスほど「全部やる」より優先順位を固定する

専任が少ない組織では、あらゆる感染経路に同時対応するのは現実的ではありません。その場合は、次の順で優先順位を固定すると動きやすくなります。

外部公開されている遠隔接続の棚卸しと閉鎖
メール経路で実行されやすいファイル形式と URL の防御強化
USB など例外経路の棚卸しとルール整備
初動時の隔離と連絡フローの演習

この順番を勧める理由は、攻撃者が使いやすく、かつ被害が大きくなりやすい順に近いからです。逆に、全社員向け教育だけを最初に広げても、外部公開 RDP や未更新の遠隔保守ツールが残っていれば、防御効果は限定的です。限られた工数の中では、「侵入口を減らす」「侵入後に広がりにくくする」「人が迷わない」の順で整える方が効果を出しやすいと言えます。

経営層へ説明するときは「経路」「影響」「決裁事項」で話す

マルウェア対策が進まない理由の一つは、情シスの説明が技術要素に寄りすぎることです。経営層や部門責任者に説明する際は、「どの感染経路が残っているか」「侵入した場合に何が止まるか」「何の決裁が必要か」の3点で整理した方が通りやすくなります。

たとえば、RDP の閉鎖は設定変更の話ではなく、「外部から侵入される経路を減らし、休日の全社停止リスクを下げる施策」です。USB 制御は利便性の制限ではなく、「検知外の持ち込み経路を管理対象に戻す施策」です。説明軸を経路と事業影響に寄せると、例外運用を減らす合意も取りやすくなります。

そのうえで、対策の効果を「感染件数」だけで測らないことも重要です。公開サービス数の削減、未承認 USB 利用の減少、不審メール報告から隔離までの時間短縮といった運用指標を持つと、改善の進捗が見えやすくなります。
数字で追える運用指標があると、翌月の改善対象も決めやすくなります。
継続監視が重要です。

FAQ

情シスはどの感染経路から先に点検すべきですか

一般的な企業 IT なら、まずメールと遠隔接続です。理由は攻撃頻度と被害規模の両方が大きいからです。USB などの外部媒体は対象部門が限られることもありますが、例外経路として残るため棚卸しは必須です。

利用者教育だけで十分ですか

十分ではありません。利用者教育は重要ですが、人の判断を前提にしすぎると再発します。メール防御、実行制御、MFA、パッチ、媒体制御を組み合わせて初めて事故率が下がります。

初動手順はランサムウェア専用に分けるべきですか

最初の 30 分は共通化した方が有効です。隔離、認証制御、ログ保全、横展開確認は、マルウェア全般で共通するからです。詳細な分岐は、その後に IOC や挙動が判明してから追加すれば足ります。

まとめ

情報システム担当者が優先して把握すべき感染経路は、メール添付・リンク、遠隔接続、外部媒体です。これらは別々の問題に見えても、実際には「例外運用」「認証管理」「更新遅延」「報告遅れ」という共通の弱点を突かれます。したがって、対策も製品単位ではなく、経路単位で入口対策と封じ込め手順をセットにして設計することが重要です。

まず着手しやすいのは、外部公開している遠隔接続の棚卸し、メール経路で実行されるファイル形式の見直し、USB ルールの明文化、そして初動連絡フローの簡素化です。この4点だけでも、感染の起きやすさと被害の広がり方は大きく変わります。

古田清秀（ふるた　きよひで）

InfiniCore株式会社ソリューションサービス事業本部　責任者新卒以来30年以上IT業界に在籍し、サイバーセキュリティの最前線で活躍する専門家です。ネットワークインフラ構築の営業を通じてセキュリティの重要性を痛感。前職では新規セキュリティサービスのプロジェクトマネージャー（PM）として、その立ち上げを成功に導きました。長年の経験と深い知見を活かし、複雑なセキュリティ課題を分かりやすく解説。企業の安全なデジタル変革を支援するための情報発信を行っています。