警察庁データが示すランサムウェア感染経路1位は?6割超が狙われる理由
目次[非表示]
「うちは中小企業だから狙われないだろう」――そんな油断が、企業の存続を揺るがす致命傷になりかねない時代です。
現在、企業を襲うサイバー脅威の中で最も警戒すべきものが「ランサムウェア(身代金要求型ウイルス)」です。警察庁が発表した最新の統計データによると、その感染経路には明確な「偏り」があり、特定の入り口が執拗に狙われている実態が浮き彫りになりました。
本記事では、中小企業の情報システム担当者が「今どこを守るべきか」を判断できるよう、最新のランキングに基づいた感染経路の解説と、今日から着手すべき具体的な優先対策リストをまとめました。
【最新】警察庁データで判明したランサムウェア感染経路ランキング
警察庁が公表した「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」などの資料に基づくと、ランサムウェアの感染経路は「ネットワークの境界線」に集中しています。
前述のアンケート結果によると、VPN やリモートデスクトップ用の機器からの侵入が、全体の感染経路の8割以上を占める状況である。
このデータから、従来の「怪しいメールを開かなければ大丈夫」という認識がいかに危険であるかが分かります。
1位:VPN機器からの侵入(約6割)
ランキングの圧倒的1位は「VPN機器(Virtual Private Network)」からの侵入です。報告件数の約6割を占めています。VPNは、テレワークなどで社外から社内ネットワークへ安全に接続するための仕組みですが、その「入り口」自体が攻撃者の格好の標的となっています。
2位:リモートデスクトップ(RDP)からの侵入
2位は「リモートデスクトップ(RDP)」です。PCを遠隔操作するこの機能において、IDやパスワードが脆弱だったり、認証設定が甘かったりする箇所が狙われます。VPNとRDPを合わせると、全感染経路の8割を超えており、遠隔接続設定の不備が最大の弱点となっていることが分かります。
3位:不審なメール・添付ファイル(Emotet等)
3位は、古典的ではあるものの依然として脅威な「メール」経由です。特に、過去に猛威を振るったEmotet(エモテット)のように、実在の取引先を装った巧妙な標的型攻撃メールによって、添付ファイルから感染するケースが続いています。
では、なぜこれほどまでに「VPN・RDP」ばかりが狙われるのでしょうか。その裏側にある攻撃者のロジックを解説します。
なぜ「VPN・RDP」が6割超も狙われるのか?攻撃者が好む3つの理由
攻撃者は「最も効率的に、最も確実に」侵入できるルートを探しています。VPNやRDPが多用される理由は、現代のビジネス環境の「歪み」にあります。
1. 脆弱性の修正(パッチ適用)の遅れを突く「スキャン」の自動化
攻撃者は24時間365日、インターネットに公開されている機器に「古い脆弱性」が残っていないかをプログラムで自動スキャンしています。
VPN機器のメーカーが修正プログラム(パッチ)を公開しても、情シス担当者が不在、あるいは業務への影響を懸念して更新を後回しにしている間に、自動化された攻撃がその「隙」を見つけ出します。
2. テレワーク普及による「管理外の窓口」の増加
コロナ禍以降、急ぎで導入されたテレワーク環境において、十分なセキュリティ確認がなされないまま設置されたVPN機器や、個人の判断で開放されたRDPポートが放置されているケースが散見されます。
これらは「野良VPN」や「シャドーIT」と呼ばれ、情シスが把握していないために管理の目が届かず、攻撃者にとっての「裏口」となってしまいます。
3. 二要素認証(MFA)が未導入の環境が多すぎる現状
IDとパスワードだけの認証は、今や「鍵をかけていない」のと同じです。リスト型攻撃(他で漏洩したID/PWの使い回しを試す手法)や、推測しやすいパスワード設定によって、VPNやRDPの認証は容易に突破されます。
その原因としては、当該機器の ID・パスワード等が非常に安易であったことや、不必要なアカウントが適切に管理(されていなかったこと)
このように、技術的な脆弱性と運用の甘さが重なる場所が、まさにVPNやRDPなのです。
【規模別データ】中小企業が「最も狙われている」という残酷な真実
「うちは狙われるほどの情報を持っていない」という考えは、もはや通用しません。データは、中小企業こそが主戦場になっていることを示しています。
「狙われる企業」から「侵入しやすい企業」へ:無差別攻撃の実態
警察庁の統計によると、ランサムウェア被害を受けた組織のうち、約半数以上(52%以上)が中小企業です。
攻撃者は特定の企業を狙う「標的型」だけでなく、セキュリティが手薄なところならどこでもいいという「無差別型」の攻撃を仕掛けます。彼らにとって中小企業は「手間をかけずに侵入できる、費用対効果の高いターゲット」なのです。
サプライチェーン攻撃の踏み台にされるリスク
中小企業が狙われるもう一つの理由は「踏み台」としての価値です。大企業のセキュリティが強固でも、その取引先である中小企業のネットワークを乗っ取れば、そこを起点として大企業の本丸へ侵入(サプライチェーン攻撃)することが可能になります。
自社の被害だけでなく、大切な取引先に損害を与える加害者になってしまうリスクを、情シス担当者は認識しなければなりません。
ランサムウェア被害に遭った際の平均損失額と復旧の現実
一度感染すると、その代償は甚大です。金銭的な損失だけでなく、事業そのものが停止する恐怖が待ち構えています。
身代金を支払ってもデータが戻る保証は「0%」に近い
攻撃者に金銭(ビットコイン等)を支払うことは、犯罪組織の資金源になるだけでなく、データが復旧される保証もありません。
実際、身代金を支払っても一部のデータしか戻らなかった、あるいは全く戻らなかったという事例が多発しています。「交渉」という選択肢は、現代のセキュリティ対策においては「悪手」とされています。
復旧までに要する期間:数週間〜数ヶ月の業務停止リスク
復旧にかかるコストも無視できません。警察庁のデータでは、調査・復旧費用に1,000万円以上を要した組織が全体の約6割に達しています。
令和6年と比較して、ランサムウェアの被害による調査・復旧費 用が高額化しており、1,000 万円以上を要した組織の割合は、50%から 59%に増加した。
また、バックアップからの復元や、汚染されたネットワークのクリーンアップには数週間から数ヶ月を要することも珍しくありません。その間の売上喪失や社会的信用の失墜を合わせると、被害額は数億円規模に膨らむこともあります。
情シス担当者が今すぐ実施すべき「感染経路別」の優先対策リスト
被害を未然に防ぐため、リソースの限られた中小企業の情シス担当者が「まず何をすべきか」を優先度順に整理しました。
【優先度:高】VPN・ネットワーク機器の緊急点検
感染経路の8割を占める場所から着手するのが最も効率的です。
1. ファームウェアの最新化とサポート終了(EoL)確認
現在利用しているVPN機器のファームウェアが最新か今すぐ確認してください。また、すでにメーカーサポートが終了(EoL)している機器は、脆弱性が見つかっても修正されないため、即座に買い替えを検討する必要があります。
2. 未使用のVPNアカウント・ポートの閉鎖
退職者のアカウントが残っていないか、一時的な作業のために開けたままの通信ポートがないかを点検します。「必要なもの以外はすべて閉じる」が鉄則です。
3. 二要素認証(MFA)の強制導入
パスワードに加えて、スマートフォンの認証アプリやSMSによるコード入力を必須にしてください。これにより、パスワードが漏洩しても侵入を食い止めることができます。
【優先度:中】エンドポイント(PC・端末)の強化
境界線を突破された後の「最後の砦」を強化します。
EDR(Endpoint Detection and Response)の検討
従来のウイルス対策ソフト(アンチウイルス)だけでなく、不審な挙動を検知して即座に対応を支援する「EDR」の導入が推奨されます。感染をゼロにできなくても、被害を最小限に抑えることが可能です。
管理者権限の最小化とログ監視
一般社員のPCに管理者権限を与えないことで、ウイルスが勝手にインストールされるのを防ぎます。また、ログインログを定期的に確認し、深夜の海外からのアクセスなど異常な兆候がないか監視します。
【優先度:低〜継続】社員のセキュリティ意識向上(人的対策)
どんなにシステムを固めても、人がメールのリンクを踏めばリスクは発生します。定期的な注意喚起や、疑似攻撃メール訓練などを継続的に行い、社内の防衛意識を高めましょう。
万が一、感染の疑いが出た時の「初期対応ガイド」
もし「PCの動作がおかしい」「ファイルが開けない」といった報告を受けた場合、情シス担当者は冷静かつ迅速に以下のステップを踏んでください。
STEP1:ネットワークの物理的遮断(Wi-Fiオフ、LAN抜き)
最優先事項は「隔離」です。 感染端末を即座にネットワークから切り離し、他のPCやサーバーへの二次感染(横展開)を阻止します。
- 有線LANならケーブルを抜く。
- 無線LANならWi-Fi設定をオフ、または機内モードにする。
- 注意: 証拠保全のため、端末の電源は切らない(シャットダウンしない)のが基本ですが、暗号化が目の前で進行している場合は、被害を止めるために電源を切る判断も必要です。
STEP2:被害範囲の特定と経営層への報告
どのサーバー、どのフォルダまで被害が及んでいるかを確認します。同時に、速やかに経営層へ「インシデント(事故)」として報告してください。外部への公表や、顧客への連絡など、経営判断が必要な場面がすぐにやってきます。
STEP3:警察および専門機関(IPA/JPCERT)への相談
自社だけで解決しようとせず、専門家の力を借りてください。
- 警察: 最寄りの警察署、または各都道府県警察のサイバー犯罪相談窓口へ通報します。
- IPA(独立行政法人情報処理推進機構): 被害報告を受け付けており、技術的なアドバイスが得られる場合があります。
【比較表】主要なセキュリティ対策ツールの特徴とコスト感
中小企業が導入を検討すべきツールの概算です(※規模やメーカーにより変動します)。
対策ツール | 特徴 | コスト感(初期/月額) | 対策できる経路 |
|---|---|---|---|
次世代VPN / ゼロトラスト | 認証と検閲を強化した最新の接続環境 | 中〜高 | VPN経由の侵入 |
二要素認証 (MFA) 導入 | ID/PWに加えた追加認証。最もコスパ良 | 低 | リスト型攻撃、PW突破 |
EDR | 侵入後の挙動検知・自動隔離 | 中 (1台数百円〜) | すべての経路 (PC保護) |
SOCサービス | 24時間365日の監視代行 | 高 | すべての経路 |
まとめ:ランサムウェア感染経路1位の「VPN」対策が企業の命運を分ける
最新のデータが示す通り、ランサムウェア対策の主戦場は「メール」から「ネットワーク機器(VPN・RDP)」へと移り変わりました。
本記事のポイントを振り返ります。
- 感染経路の1位はVPN(約6割)、2位はリモートデスクトップ。
- 中小企業が被害の5割を超えており、無差別攻撃の標的になっている。
- 身代金を払っても解決せず、1,000万円以上の復旧費用がかかるケースが多い。
- 最優先対策は、VPNのアップデートと二要素認証(MFA)の導入。
まずは自社の「外から見える窓口」の棚卸しから始めよう
情シス担当者としてまず行うべきは、自社のネットワークに「管理されていない入り口」がないかを確認することです。
「古いVPN機器をそのままにしていないか?」「二要素認証は有効になっているか?」この確認だけで、感染リスクを劇的に下げることができます。
もし、自社の対策が十分か不安がある、あるいは具体的にどのツールを選べばよいか迷っている場合は、セキュリティの専門家による「無料診断」や「資料請求」を活用し、客観的なリスク評価を行うことから始めてみてはいかがでしょうか。今、この瞬間の対策が、未来の御社を救うことになります。
