今さら聞けないランサムウェアの基礎知識｜代表的な種類と感染経路を分かりやすく解説

もはや他人事ではない！ランサムウェアの脅威と基礎知識の重要性

「自社は標的にならないだろう」―。かつてはそう考えられていたサイバー攻撃も、今やあらゆる企業にとって喫緊の経営課題となっています。中でも「ランサムウェア」による被害は深刻化の一途をたどり、企業の事業継続そのものを揺るがすほどの甚大な影響を及ぼしています。情報システム担当者の皆様にとって、その脅威を正しく理解し、適切な対策を講じることは、もはや避けては通れない責務と言えるでしょう。

企業活動を停止させるランサムウェア攻撃の現状

ランサムウェア攻撃は、単にデータが暗号化されるだけの問題ではありません。生産ラインの停止、顧客向けサービスの提供中断、サプライチェーンへの影響など、企業の根幹をなす業務が完全に麻痺してしまうケースが後を絶ちません。近年では、大手製造業や医療機関、地方自治体までもが被害に遭い、その復旧に数週間から数ヶ月を要し、多額の費用負担を強いられています。

警察庁の報告によれば、その被害は拡大傾向にあります。

令和5年（2023年）におけるランサムウェアによる被害報告件数は197件であり、高水準で推移しています。また、被害企業・団体のうち、データの窃取を確認したと回答した割合は約8割に上り、その多くが「二重恐喝」の手口によるものと考えられます。

出典: 警察庁「令和５年におけるサイバー空間をめぐる脅威の情勢等について」

このように、ランサムウェアはもはや対岸の火事ではなく、自社の身にいつ降りかかってもおかしくない現実的な脅威なのです。

この記事でわかること：ランサムウェアの種類から対策の第一歩まで

本記事では、情報システム担当者の皆様が知っておくべきランサムウェアの基礎知識を網羅的に解説します。ランサムウェアの基本的な仕組みから、巧妙化する攻撃の種類、そして具体的な感染経路までを分かりやすく整理。さらに、万が一の際の初動対応や、明日から実践できる具体的な予防策まで、対策の第一歩を踏み出すための知識を凝縮してお届けします。

【基本のキ】ランサムウェアとは？その仕組みを分かりやすく解説

まずは基本に立ち返り、「ランサムウェアとは何か」を正確に理解することから始めましょう。その定義と仕組みを知ることで、なぜこれほどまでに脅威となるのかが見えてきます。

ランサムウェアとは、「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせた造語です。その名の通り、PCやサーバー内のファイル、データベースといった重要な電子データを勝手に暗号化し、使用できない状態にしてしまいます。そして、そのデータを元に戻す（復号する）ことと引き換えに、「身代金」を要求してくる非常に悪質なマルウェア（不正プログラム）の一種です。

感染すると、業務に必要なあらゆるデータにアクセスできなくなり、多くの場合は業務停止に追い込まれます。

ランサムウェアの登場初期は、単にデータを暗号化し、復号キーと引き換えに金銭を要求する手口が主流でした。しかし、攻撃者はより確実に身代金を得るために、その手口を年々巧妙化・悪質化させています。

当初は個人のPCをターゲットにすることが多かったものの、次第に企業や組織が持つ重要なデータを狙うようになり、要求される身代金の額も高騰。支払い方法も、追跡が困難な暗号資産（仮想通貨）を指定するのが一般的です。近年では、後述する「二重恐喝」のように、さらに悪質な手口へと進化を遂げています。

【手口で分類】知っておくべきランサムウェアの代表的な種類

ランサムウェアは、その攻撃手口によっていくつかの種類に分類できます。ここでは、代表的な3つの種類について、その特徴と具体的な例を解説します。

現在、最も広く使われているのがこの「暗号化型ランサムウェア」です。情報システム担当者として、まず押さえておくべき基本的な種類と言えるでしょう。

このタイプのランサムウェアは、感染したコンピュータや接続されているネットワーク上のストレージに保存されているWord、Excel、PDF、画像ファイル、データベースファイルなど、あらゆる種類のファイルを暗号化します。暗号化されたファイルは、正しい「鍵」がなければ開くことができなくなり、事実上、データを人質に取られた状態となります。攻撃者は、この「鍵」を提供する見返りとして身代金を要求します。

• LockBit (ロックビット): 近年、最も活発な攻撃グループの一つ。RaaS（Ransomware as a Service）モデルで提供され、世界中で猛威を振るっています。自己増殖機能や高速な暗号化が特徴です。
• Conti (コンティ): LockBit同様、RaaSモデルで活動し、多くの企業に甚大な被害を与えました。現在は活動を停止したとされていますが、そのメンバーは別のグループで活動していると言われています。
• WannaCry (ワナクライ): 2017年に世界中で大流行し、ランサムウェアの脅威を世に知らしめました。OSの脆弱性を悪用して自己増殖する「ワーム」の性質を持ち、爆発的に感染が拡大しました。

暗号化型とは少し異なる手口で業務を妨害するのが「画面ロック型ランサムウェア」です。

このタイプは、ファイル自体を暗号化するのではなく、PCやスマートフォンの画面全体をロックし、キーボードやマウスの操作を一切受け付けなくさせます。画面には「違法なコンテンツを閲覧した」といった偽の警告メッセージや警察機関を騙るロゴなどを表示し、利用者の不安を煽って罰金の支払いを要求する手口が典型的です。データ自体は無事な場合が多いですが、業務端末が使えなくなるため、事業への影響は免れません。

• Reveton (レベトン): いわゆる「ポリスランサム」の代表格。法執行機関を装い、利用者に心理的な圧力をかけて金銭を支払わせようとします。

現在のランサムウェア攻撃で最も警戒すべき種類が、この「二重恐喝」です。

二重恐喝は、従来の「データを暗号化して身代金を要求する」という手口に、「データを事前に窃取し、支払いに応じなければその情報を公開する」という脅迫を加えたものです。攻撃者は、窃取した機密情報や個人情報を暴露する「リークサイト」を運営しており、交渉を有利に進めようとします。

この手口の恐ろしい点は、たとえバックアップからデータを復旧できたとしても、情報漏洩という事実が残ることです。顧客情報や技術情報が漏洩すれば、損害賠償請求や行政処分に加え、企業のブランドイメージや社会的信用は大きく傷つきます。これにより、企業は「データを復旧するため」と「情報を公開させないため」の二重の圧力に晒されることになるのです。

あなたの会社は大丈夫？ランサムウェアの主な感染経路トップ3

どのような種類のランサムウェアであれ、その侵入を許さなければ被害は発生しません。ここでは、攻撃者が利用する主な感染経路トップ3をご紹介します。自社のセキュリティ体制に穴がないか、チェックする視点でご覧ください。

テレワークの普及に伴い、社外から社内ネットワークへ安全に接続するためのVPN（Virtual Private Network）機器は多くの企業で導入されています。しかし、このVPN機器のファームウェアに脆弱性が存在する場合、そこが攻撃の侵入口となります。IDやパスワードを知らなくても、脆弱性を突くことで不正に侵入されてしまうのです。

VPN同様、テレワークで利用が拡大したのがリモートデスクトップ（RDP）です。社外のPCから社内の自席PCを遠隔操作できる便利な機能ですが、設定に不備があると深刻なリスクを招きます。特に、推測しやすい安易なパスワードを設定していたり、外部にポートを公開したままにしていたりすると、総当たり攻撃（ブルートフォースアタック）などによって認証を突破され、攻撃者に社内ネットワークへの扉を開けてしまうことになります。

古典的でありながら、依然として主要な感染経路の一つがフィッシングメールです。取引先や公的機関を装った巧妙な文面で受信者を騙し、マルウェアが仕込まれた添付ファイル（Word、Excel、ZIPなど）を開かせたり、不正なWebサイトへ誘導するURLをクリックさせたりします。近年のメールは非常に精巧になっており、ITリテラシーの高い担当者でも見分けるのが困難なケースが増えています。

万が一に備えて｜ランサムウェア感染時に情報システム担当者が取るべき行動

どれだけ対策を講じても、残念ながら感染リスクをゼロにすることはできません。そのため、万が一の事態を想定したインシデントレスポンス（事後対応）の準備が極めて重要です。

感染が疑われる事態が発生した場合、パニックにならず、冷静かつ迅速に行動することが被害を最小限に食い止める鍵となります。

まず最初に行うべきは、感染が疑われるPCやサーバーをネットワークから物理的に切り離すことです。LANケーブルを抜く、Wi-Fiをオフにするなどして、他の正常な端末やサーバーへの感染拡大（横展開）を防ぎます。これが最も重要な初動対応です。

次に、どの範囲まで被害が及んでいるのかを特定します。暗号化された共有フォルダ、アクセス不能になった業務システムなどを確認し、被害状況を把握します。同時に、あらかじめ定めておいた報告フローに従い、経営層や関連部署へ迅速に第一報を入れ、指示を仰ぎます。

攻撃者からは身代金の支払いを要求されますが、警察庁やセキュリティ専門機関は一貫して「支払うべきではない」と強く推奨しています。その理由は主に以下の3つです。

1. 復号できる保証がない: 身代金を支払っても、攻撃者が約束通りに復号キーを提供してくれる保証はどこにもありません。金銭だけをだまし取られるケースも多々あります。
2. 再び標的になるリスク: 一度支払いに応じると、「この企業は支払う」というリストに載り、再度攻撃の標的となる可能性が高まります。
3. 反社会的勢力への資金提供: 支払った身代金は、攻撃者のさらなる犯罪活動の資金源となり、結果として反社会的勢力や犯罪組織を利することになります。

原則として、身代金には応じず、バックアップからの復旧と専門家への相談を優先すべきです。

被害を未然に防ぐ！明日から実践できる5つの基本的なランサムウェア対策

インシデント対応も重要ですが、最も望ましいのは被害を未然に防ぐことです。ここでは、情報システム担当者が主体となって進めるべき、5つの基本的な対策をご紹介します。

従来型のアンチウイルスソフト（EPP）に加え、感染後の検知と対応に優れたEDR（Endpoint Detection and Response）の導入が強く推奨されます。また、どのようなセキュリティソフトであっても、脅威定義ファイル（パターンファイル）を常に最新の状態に保ち、未知の脅威に対応できるようにしておくことが不可欠です。

WannaCryの例でも分かるように、OSやソフトウェアの脆弱性はランサムウェアの格好の侵入口となります。ベンダーから提供されるセキュリティパッチは速やかに適用し、システムを常に最新の状態に維持する「脆弱性管理」を徹底しましょう。

万が一暗号化された場合に備え、データのバックアップは最後の砦となります。「3-2-1ルール」は、その堅牢なバックアップ体制を築くための指針です。

• 3つのコピーを保持する（原本＋2つのバックアップ）
• 2種類の異なる媒体に保存する（例：HDDとクラウドストレージ）
• 1つはオフサイト（物理的に離れた場所）で保管する

特に、ランサムウェアがアクセスできないよう、ネットワークから切り離されたオフラインバックアップを定期的に取得することが極めて重要です。

VPNやリモートデスクトップ、クラウドサービスなど、重要なシステムへのアクセスには、ID・パスワードに加えて、スマートフォンアプリやSMSなど、本人しか持ち得ない情報で認証を行う「多要素認証（MFA）」を導入しましょう。これにより、万が一パスワードが漏洩しても、不正アクセスを効果的に防ぐことができます。

フィッシングメールなど、人的なミスを狙った攻撃に対しては、従業員一人ひとりのセキュリティ意識の向上が不可欠です。不審なメールの見分け方や、安易に添付ファイルを開いたりURLをクリックしたりしないといった基本ルールを、標的型メール訓練などを交えながら定期的に周知徹底することが重要です。

まとめ：ランサムウェアの種類と感染経路を理解し、自社のセキュリティ体制を見直そう

本記事では、情報システム担当者の皆様が押さえておくべきランサムウェアの種類、感染経路、そして具体的な対策について詳しく解説しました。最後に、本記事の重要ポイントを振り返ります。

• ランサムウェア攻撃は事業継続を脅かす重大なリスクであり、他人事ではない。
• 手口は巧妙化しており、データを人質に取る「暗号化型」や、情報公開も盾に脅す「二重恐喝」が主流となっている。
• 主な感染経路は「VPN機器の脆弱性」「リモートデスクトップ」「フィッシングメール」の3つ。
• 万が一感染した場合は、ネットワークからの隔離を最優先し、身代金は支払わないことが原則。
• 被害を防ぐには、「脆弱性対策」「バックアップ」「多要素認証」といった多層的な防御策が不可欠。

ランサムウェアの脅威から自社を守るためには、まず「敵」を知り、「己」を知ることがスタートラインです。本記事で得た知識をもとに、自社のどこにセキュリティ上の穴（脆弱性）があるのかを客観的に把握することから始めてみてはいかがでしょうか。

専門家による脆弱性診断サービスを利用すれば、自社では気づきにくいリスクを発見し、優先順位をつけて対策を講じることが可能です。まずは無料相談や資料請求で、対策の具体的な第一歩を踏み出しましょう。