感染経路から逆引き!中小企業が優先して防ぐべきランサムウェアの種類と撃退法
目次[非表示]
「うちのような小さな会社が狙われるはずがない」——もしあなたがそうお考えなら、今すぐその認識をアップデートする必要があります。
2024年から2025年にかけて、日本のサイバーセキュリティ情勢は劇的に変化しました。大企業の対策が強化された結果、攻撃の矛先は「対策が手薄で、かつ大手企業のサプライチェーンに繋がっている」中小企業へと明確にシフトしています。
本記事では、中小企業の情報システム担当者が「最低限これだけは知っておくべき」ランサムウェアの種類と、被害の8割以上を占める主要な感染経路、そして限られた予算で最大の効果を発揮する撃退法をプロの視点で解説します。
この記事を読み終える頃には、膨大なセキュリティ対策の中から、貴社が「今日、何から手をつければよいか」が明確になっているはずです。
1. ランサムウェアの種類を知る前に:中小企業が狙われる「最新の脅威」とは
ランサムウェア(Ransomware)とは、データを「身代金(Ransom)」の目的で「ソフトウェア(Software)」によってロックし、金銭を要求するマルウェアの一種です。まずは、なぜ今、中小企業が最大の標的となっているのか、その衝撃的な事実から確認しましょう。
1-1. 2024年-2025年の国内被害動向と中小企業の現状
警察庁が発表した最新のレポートによると、ランサムウェアの被害件数は高止まりしており、特に中小企業の被害増加が顕著です。
ランサムウェア被害件数を組織規模別に2023年と比較すると、大企業の被害件数が減少する一方、中小企業の被害件数は37%増加しました。これは、攻撃実行者の裾野の広がりが、対策が比較的手薄な中小企業の被害増加につながっている可能性があるとしています。
かつては無差別なウイルスばらまきが主流でしたが、現在は「RaaS(Ransomware as a Service)」という、攻撃ツールをサブスクリプション形式で提供する犯罪ビジネスが横行しています。これにより、技術力の低い犯罪者でも簡単に攻撃が可能になり、セキュリティの甘い「守りやすい組織」が狙われるようになったのです。
1-2. なぜ「種類」と「感染経路」の理解が不可欠なのか
「とにかくウイルス対策ソフトを入れれば安心」という時代は終わりました。現在のランサムウェアは、ウイルス対策ソフトを回避する高度な技術を持っています。
情シス担当者が「種類」と「感染経路」を理解すべき理由は、「どこを塞げば被害を防げるか」という投資対効果(ROI)を最適化するためです。例えば、VPN(仮想専用線)経由の攻撃が流行しているなら、メール訓練よりもVPNのパッチ適用を優先すべきです。敵の正体と「入り口」を知ることで、限られたリソースを正しく配分できるようになります。
次は、私たちが警戒すべきランサムウェアの具体的な分類について見ていきましょう。
2. 攻撃手法・目的別に見るランサムウェアの4大分類
ランサムウェアは、その挙動や脅迫の手口によって大きく4つのタイプに分類されます。
2-1. 暗号化型(Locker / Crypto):最も一般的な脅威
最もオーソドックスなタイプです。PC内のExcel、Word、PDFなどのファイルを特殊な技術で暗号化し、開けない状態にします。「元に戻したければビットコインを支払え」という警告画面が表示されるのが特徴です。
2-2. 画面ロック型:PC操作そのものを封じる
ファイルではなく、OS(Windowsなど)へのログインやデスクトップ画面の操作そのものをロックします。一見派手ですが、ファイル自体は暗号化されていないケースもあり、HDDを別のPCに繋ぐことでデータを救出できる場合もあります。しかし、最近では暗号化型と組み合わされることがほとんどです。
2-3. 二重脅迫型(ダブルエクストーション):現在の主流
単にデータをロックするだけでなく、「金を払わなければ、盗み出した機密情報をネットに公開する」と脅す手法です。
これにより、バックアップからデータを復旧できたとしても、「情報の漏洩」を盾に支払いを迫られるため、企業にとっては極めて深刻なダメージとなります。
2-4. 三重・四重脅迫型:DDoS攻撃や顧客への直接連絡
二重脅迫に加え、さらに以下の攻撃を重ねます。
- 三重脅迫: 身代金を払わない場合に、企業のサイトに大量のアクセスを送り込んでダウンさせる(DDoS攻撃)。
- 四重脅迫: 盗んだ連絡先リストを使い、被害企業の顧客や取引先に「お宅の個人情報が流出した。この会社に文句を言え」と直接連絡して社会的信用を失墜させる。
このように、攻撃は年々エスカレートしています。次に、具体的にどのような名前のウイルスが流行しているのかを確認しましょう。
3. 【名前で知る】現在、最も警戒すべき主要ランサムウェアの種類一覧
現在、日本国内で猛威を振るっているランサムウェアには「ブランド名」のような名称がついています。これらは主にRaaSとして運営されています。
3-1. LockBit(ロックビット):世界で最も活発なRaaS
世界シェア1位と言われる最凶のグループです。攻撃スピードが異常に速く、ネットワーク内の全端末を数分で暗号化します。2024年に国際的な捜査機関によって摘発を受けましたが、依然として亜種や模倣犯が活動を続けており、警戒が必要です。
3-2. Phobos(フォボス)/ Dharma:中小企業を執拗に狙う
これらは「中小企業キラー」とも呼ばれます。高度な技術というよりは、「古い機器の脆弱性」や「弱いパスワード」を突く地道な攻撃を得意としています。特にリモートデスクトップ(RDP)の脆弱性を執拗に狙うのが特徴です。
3-3. ALPHV (BlackCat):高度な回避能力を持つ新興勢力
Rustというプログラミング言語で書かれており、従来の検知ソフトでは見つかりにくいという特徴があります。二重脅迫を得意とし、被害企業のデータを公開するための専用サイトを運営するなど、極めて組織的です。
3-4. Akira:急速にシェアを伸ばす二重脅迫のプロ
2023年以降に急増した新興勢力です。古いVPN機器の脆弱性を突き、社内ネットワークに侵入してデータを根こそぎ盗み出します。日本国内の製造業やサービス業での被害が多く報告されています。
これらの「敵」は、どのようなルートで社内に忍び込むのでしょうか。次が本記事で最も重要な「感染経路」の解説です。
4. 感染経路から逆引き!種類別の「侵入パターン」と対策優先度
「ランサムウェアはメールから感染する」という思い込みは捨ててください。最新の統計では、全く別のルートが主流になっています。
4-1. 【経路A】VPN機器・ネットワーク機器の脆弱性(最多経路)
現在、ランサムウェア被害の約半数がこのルートです。
企業・組織のランサムウェア感染経路として「VPN機器からの侵入」が半数以上を占めることが報告されています。
テレワーク用に導入したVPN機器のアップデートを怠っていると、そこが「鍵のかかっていない裏口」になります。LockBitやAkiraはこの隙を逃しません。
4-2. 【経路B】リモートデスクトップ(RDP)の不適切な設定
VPNに次いで多いのが、RDP(外部からPCを操作する機能)をインターネット上に直接公開しているケースです。攻撃者は「ID: admin / Pass: password123」のような推測しやすいパスワードを総当たりで試し、正面突破してきます。Phobosなどのグループが多用します。
4-3. 【経路C】フィッシングメール・標的型メール
古典的ですが、AIの進化により「不自然な日本語」が消え、見破るのが困難になっています。請求書や宅配便の不在通知を装い、添付ファイルを開かせることでウイルスを感染させます。
これらを踏まえ、限られた予算と時間で情シスがすべき「最短の対策」をまとめました。
5. 中小企業の情シスが優先して取り組むべき「撃退法」5選
情報システム担当者が一人、あるいは兼務という状況も少なくない中小企業において、満点を目指すのは不可能です。「合格点」を最速で取るための5ステップを紹介します。
5-1. 【防御】多要素認証(MFA)の全社導入
最も投資対効果が高い対策です。ID・パスワードだけでなく、スマホのアプリでの承認やSMS認証を追加します。これにより、万が一パスワードが流出しても、外部からの侵入を99%阻止できます。
5-2. 【防御】OS・ソフトウェアの脆弱性管理(パッチ適用)
特に「外部から見える機器(VPN、ルーター、公開サーバー)」のアップデートを最優先してください。
脆弱性が適切に対処されていれば、今のサイバー攻撃の7〜8割は防げるというデータもあります。……VPN装置や外部公開サーバーなど、外から見える部分のパッチは最優先で当ててください。
5-3. 【検知】EDR(Endpoint Detection and Response)の検討
従来のウイルス対策ソフトが「門番」なら、EDRは「監視カメラ兼警備員」です。PC内の不審な挙動をリアルタイムで検知し、暗号化が始まる前に通信を遮断します。中小企業向けに月額数百円から導入できるライセンスも増えています。
5-4. 【復旧】「3-2-1ルール」に基づくバックアップ設計
万が一感染した際の「命綱」です。
- 3つのコピーを持つ(元データ+バックアップ2つ)
- 2つの異なる媒体に保存(HDD、クラウドなど)
- 1つはネットワークから切り離して保管(オフラインバックアップ)
特に、ネットワークに繋がりっぱなしのバックアップは、ランサムウェアによって真っ先に消去されるため、物理的な切り離しが肝心です。
5-5. 【組織】インシデント発生時の対応フロー策定
「誰に連絡するか」「どのLANケーブルを抜くか」を記したA4用紙1枚のメモで構いません。パニック時の誤操作を防ぐことが、被害最小化の鍵です。
次は、実際に「感染してしまった」時の具体的なアクションを解説します。
6. もしランサムウェアに感染してしまったら?被害を最小化する応急処置
PCの画面に身代金要求が表示された瞬間、血の気が引く思いをするはずです。しかし、そこでの初動が会社の命運を分けます。
6-1. 感染端末の即時隔離(物理的な通信遮断)
「電源は切らず、LANケーブルを抜く、またはWi-Fiを切る」が鉄則です。
電源を切ると、メモリ上の証拠(調査に不可欠なデータ)が消えてしまうため、まずはネットワークからの隔離を最優先してください。1台の感染を全社に広げないことが重要です。
6-2. 身代金は支払うべきか?(警察・専門機関の見解)
結論として、支払いは推奨されません。
- 支払ってもデータが復元される保証はない。
- 盗まれたデータが闇サイトで売られない保証もない。
- 「この会社は金を払う」というリストに載り、再攻撃の標的になる。
- 犯罪組織の資金源になり、テロやさらなるサイバー犯罪を助長する。
6-3. 公的機関(IPA、JPCERT/CC、警察)への相談窓口一覧
自社だけで解決しようとせず、速やかに専門機関へ相談してください。
- 警察: 都道府県警察のサイバー犯罪相談窓口(被害届の提出)
- IPA(情報処理推進機構): 安心相談窓口。技術的なアドバイスを受けられます。
- JPCERT/CC: インシデント対応の支援や情報共有を行う機関。
被害を隠蔽すると、後で取引先から損害賠償を請求されるリスクが高まります。公的機関への相談は、誠実に対応しているという証拠にもなります。
7. 専門家に聞く!中小企業向けセキュリティ選定のポイント
最後に、今後の対策を強化するための選定基準をお伝えします。
7-1. 「安かろう悪かろう」を避けるためのSOC/EDR選定基準
最近は「中小企業向け」を謳う安価なサービスも多いですが、注意が必要です。
- 24時間365日の監視がついているか?(攻撃は土日の深夜に来ます)
- 日本語での緊急対応サポートがあるか?
- 誤検知した際の復旧支援があるか?
製品の性能だけでなく、「有事の際に人が動いてくれるか」を重視しましょう。
7-2. サイバー保険の活用:万が一の賠償・調査費用への備え
どんなに完璧な対策をしても、リスクはゼロになりません。
サイバー保険は、感染時の「原因調査費用(数百万円かかることもあります)」「システムの復旧費用」「顧客への謝罪・賠償費用」をカバーしてくれます。情シスとしては、経営層に対し「技術的対策(EDR等)」と「経済的対策(保険)」のセット提案が最も通りやすいでしょう。
まとめ:ランサムウェアの種類を知り、優先順位をつけた対策で会社を守る
ランサムウェア対策は、情報の海に溺れそうになりますが、中小企業が守るべき要点はシンプルです。
- 現在の主流は「VPNの脆弱性」と「リモートデスクトップ(RDP)」からの侵入。
- 「二重・三重脅迫」により、データの復旧だけでなく漏洩リスクも深刻化している。
- 最優先対策は「多要素認証(MFA)」と「外部機器のパッチ適用」。
- 万が一の際は「電源を切らずに通信遮断」し、専門機関へ相談する。
まずは自社のVPN機器が最新の状態か、確認することから始めてください。
