サイバー攻撃の手口が巧妙化するなか、企業に甚大な被害をもたらす脅威が増えています。その代表例が「二重脅迫型ランサムウェア」です。この攻撃はシステムを停止させるだけでなく、機密情報の暴露を盾に企業を追い詰めます。
従来のバックアップ対策だけでは、情報漏えいのリスクを根本から防ぐことは困難です。ひとたび被害に遭えば、企業の社会的な信用は大きく損なわれます。
本記事では、二重脅迫型ランサムウェアの仕組みや具体的な手口を解説します。情報暴露を防ぐためのセキュリティ対策も紹介しますので、自社のデータ保護体制を見直す際の参考にしてください。
二重脅迫型ランサムウェアとは
二重脅迫型ランサムウェアとは、身代金要求型ウイルス「ランサムウェア」を発展させたサイバー攻撃手法です。従来のランサムウェア攻撃は、一度の脅迫で終わるのが一般的でした。しかし二重脅迫型は、「二段階」の脅迫を突きつけて企業を追い詰めます。
この脅威を正しく理解するために、まずは「ランサムウェア」の基本と、進化した「二重脅迫」の定義から整理していきましょう。
ランサムウェアとは
ランサムウェア(ransomware)とは、データやファイルを暗号化して利用不能にし、復旧と引き換えに身代金を要求するマルウェア(悪意あるソフトウェア)を指します。ransom(身代金)とsoftware(ソフトウェア)を組み合わせて生まれた造語です。
コンピューターがランサムウェアに感染すると、重要なデータやファイルが利用できなくなり、業務に支障をきたします。製造業の生産ライン停止や医療機関のシステム障害など、業種によっては事業継続そのものへ深刻な影響を及ぼしかねません。
攻撃者は、こうした企業側の弱みにつけ込み、復旧の対価として金銭などを要求するのです。この「復旧を盾にした身代金要求」が、従来のランサムウェアにおける「脅迫」でした。しかし、近年の二重脅迫型ランサムウェアは、この脅迫だけでは終わりません。
ランサムウェアの特徴については、以下の記事で詳しく解説しています。あわせてお読みください。
【2025年版】ランサムウェアの特徴!最新の動向や被害を防ぐ対策を解説
二重脅迫とは
二重脅迫とは、ランサムウェア攻撃において「復旧」のみならず、「情報の公開(暴露)」も盾にして脅迫する手口のことです。復旧のための支払いに応じない場合、攻撃者は「盗んだデータを公開する」などと脅し、さらに身代金を要求します。
従来のランサムウェア攻撃では、データやファイルを企業側で復旧できれば被害を抑えられるケースもありました。しかし、二重脅迫の手口を用いたランサムウェア攻撃では情報漏えいのリスクが残るため、単純な復旧だけでは解決しません。
顧客の個人情報や経営の機密事項などが公開されれば、企業の信用低下や法的トラブルは避けられないでしょう。そのため、「情報の公開を盾にした脅迫」に応じ、身代金を支払ってしまうケースも少なくありません。
このように、復旧に備えた対策だけでは被害を防ぎきれないのが、二重脅迫の厄介な特徴です。データやファイルをバックアップするだけでなく、「たとえ盗まれても解読させない」というセキュリティ対策が重要となります。
二重脅迫型ランサムウェア攻撃の手口
二重脅迫型ランサムウェアは、複数のプロセスを段階的に進めながら身代金の獲得を図ります。ここからは、二重脅迫型ランサムウェア攻撃の一般的な手口を5ステップに分けて見ていきましょう。
- ①企業の内部ネットワークへ侵入
- ②重要なデータやファイルを窃取
- ③重要なデータやファイルを暗号化
- ④データ復旧のために身代金を要求
- ⑤データを公開すると脅して身代金を再度要求
①企業の内部ネットワークへ侵入
攻撃者は、最初に企業の内部ネットワークへの侵入を図ります。これは、重要なデータにアクセスしたり、ランサムウェアを配布したりするための準備作業です。ランサムウェア攻撃の起点であり、この段階で防げることが理想と言えます。
代表的な手口が、フィッシングメールによる認証情報の窃取です。たとえば、実在する企業を装ったメールを送り付け、偽のログインページへ誘導します。従業員が勘違いしてIDやパスワードを入力すると、侵入に必要な情報が攻撃者へ渡ってしまうのです。
②重要なデータやファイルを窃取
企業の内部ネットワークへ侵入した攻撃者は、脅迫の材料となる機密情報を探索します。ネットワークを介して社内のサーバーや端末へアクセス範囲を広げながら、顧客情報や契約書、設計データなどの重要な情報を窃取するのです。
この段階では、データやファイルの暗号化を行わず、外部へ密かに転送します。暗号化の前に情報を盗み出しておき、後から公開を盾に脅迫できるようにするためです。近年はクラウドサービスなどを悪用し、通常の通信を装ってデータを持ち出す手口も見られます。
③重要なデータやファイルを暗号化
二重脅迫のためのデータ転送が完了した後は、基幹システムやサーバー内のデータやファイルを暗号化します。これは、復旧を盾にした脅迫を行うためのプロセスです。暗号化されたデータやファイルは利用できなくなり、通常業務の継続が難しくなります。
たとえば、会計システムや生産管理システムが停止した場合、企業活動そのものへ大きな影響を与えかねません。業務停止による損失が膨らむほど、企業側への心理的なプレッシャーは強まります。
また近年は、復旧用のバックアップデータを削除・暗号化する手口も少なくありません。自力での復旧を難しくすることで、身代金の支払いへ追い込む狙いがあります。
ランサムウェアによる暗号化については、以下の記事で詳しく解説しています。あわせてお読みください。
ランサムウェア攻撃による暗号化をどう防ぐ?データの復元方法も紹介
④データ復旧のために身代金を要求
攻撃者は、暗号化を解除するための復号鍵の提供と引き換えに身代金を要求します。支払い手段としては、追跡が難しいビットコインなどの暗号資産が使われるケースが多いです。
感染した端末には、脅迫メッセージや支払い期限が表示されるケースも珍しくありません。期限を過ぎると復号鍵やファイルを削除するなどと警告し、企業側へ強いプレッシャーを与えます。
ただし、身代金を支払った場合でも、確実にデータが復旧する保証はありません。実際には、復号鍵が提供されなかったり、支払い後に再び脅迫を受けたりするケースもあります。
⑤データを公開すると脅して身代金を再度要求
復旧を盾にした脅迫だけでは、企業側が身代金の支払いに応じないケースもあります。しかし、二重脅迫型ランサムウェア攻撃はここで終わりません。攻撃者は「盗んだデータを公開する」などと通告し、二度目の身代金を要求します。
データの公開先としては、ダークウェブ(匿名性の高いネットワーク領域)上のリークサイトが使われるのが一般的です。場合によっては、一部の情報を実際に見せしめとして公開し、企業へさらなる圧力をかけます。
機密情報の流出は、企業の信用低下や取引停止を招く致命的な事態です。そのため、情報の公開を避けるために身代金を支払ってしまう企業は少なくありません。
二重脅迫型ランサムウェア攻撃を防ぐためのセキュリティ対策
二重脅迫型ランサムウェア攻撃の対策において、侵入防止やバックアップだけでは十分とは言えません。どれだけ侵入対策を強化していても、攻撃を完全に防ぎ切ることは難しく、情報を窃取されるリスクは残ります。
そのため、情報窃取や内部不正を想定した多層的な防御が欠かせません。ここでは、二重脅迫型ランサムウェア攻撃を防ぐための主なセキュリティ対策を紹介します。
①アクセス制御による内部不正・横展開の防止
重要なデータを守るためには「アクセス制御」の強化が欠かせません。アクセス制御とは、「誰が・どの情報へ・どの条件でアクセスできるか」を制限する仕組みです。不要なアクセス権限を制限することで、攻撃者による横展開(侵入後に別の端末やサーバーへアクセス範囲を広げる行為)の抑止にもつながります。
たとえば、IPアドレスや利用時間帯にもとづいてアクセスを制限すれば、不審な接続を遮断しやすくなります。重要なサーバーへの接続元を限定するだけでも、被害拡大の抑止につながるでしょう。
また、データベース管理者とセキュリティ管理者を分離し、権限を分散管理することも重要です。特権ID(強い権限を持つアカウント)の悪用を防ぎ、内部不正リスクを抑えやすくなります。
②データ暗号化と鍵管理による暴露対策
二重脅迫型ランサムウェアでは、情報窃取そのものを前提とした対策が求められます。その中核となるのが、データを第三者が読めない形に変換しておく「データ暗号化」です。
データを暗号化しておけば、仮に外部へ持ち出された場合でも、容易には内容を解読されません。攻撃者にデータを窃取された場合でも、情報公開を盾にした脅迫のリスクを抑えられます。
ただし、暗号化の安全性を保つうえでは「鍵管理」も重要です。たとえ暗号化が強固でも、復元するための鍵を盗まれては意味がありません。KMS(鍵管理システム)などを活用し、鍵を独立した環境で一元管理できる仕組みを整えましょう。
データ暗号化については、以下の記事で詳しく解説しています。あわせてお読みください。
データ暗号化とは?仕組みや身近な例・サービスを選ぶポイントを解説
③ログ監査による不審な挙動の早期検知
攻撃者の不審な挙動を早期検知するために有効なのが「ログ監査」です。ログ監査とは、システム内の操作履歴を記録・監視する仕組みを指します。
たとえば、大量のデータ転送や深夜帯の不審なアクセスなどは、情報窃取の兆候であるケースが少なくありません。ログを継続的に監視することで、こうした異常な挙動へ素早く対応しやすくなります。
また、暗号化データへのアクセス履歴や管理者の操作ログを残しておけば、インシデント発生後の調査にも役立ちます。被害範囲の特定や、具体的な再発防止策の検討にもつながるでしょう。
二重脅迫のリスクを最小化するデータ暗号化プラットフォーム「D.AMO」
二重脅迫型ランサムウェアへの対策では、アクセス制御やログ監査に加え、情報そのものを保護する仕組みが不可欠です。特に、窃取されたデータを第三者が読めない状態に保つデータ暗号化は、情報暴露リスクの低減につながります。
しかし、こうした対策を個々のセキュリティ製品で実現しようとすると、導入・運用のコストがかさんでしまいます。そこで、統合的なセキュリティ対策の実現に役立つのが、データ暗号化プラットフォーム「D.AMO(ディアモ)」です。
D.AMOは、データ暗号化からアクセス制御、ログ監査、鍵管理までをワンパッケージで提供しています。D.AMOの主な特長は以下のとおりです。
- アプリケーションの改修不要で稼働中システムへ簡単にアドオン導入
- カラム単位の選択的暗号化によりシステムパフォーマンスを維持
- DBA(データベース管理者)とセキュリティ管理者の職務分掌で特権IDによる不正をブロック
- データ暗号化、アクセス制御、ログ監査、鍵管理を統合したオールインワン設計
- 国内外の特許や認証を取得し、韓国のデータベース暗号化シェアNo.1の実績
二重脅迫型ランサムウェアでは、バックアップ復旧だけでは情報公開リスクを防ぎ切れません。だからこそ、「盗まれても読めない状態」を維持する暗号化対策が重要になります。
詳しい機能や導入事例については、下記よりご確認ください。
データ暗号化プラットフォーム「D.AMO」とは?機能や特長、利用例を紹介
まとめ
二重脅迫型ランサムウェアは、「復旧」だけでなく「情報の公開」も脅迫の材料にする新たな攻撃手法です。従来のランサムウェア攻撃より被害が深刻化しやすく、業務停止だけでなく情報漏えいリスクにも注意しなければなりません。
対策としては、アクセス制御やログ監査に加え、データ暗号化による情報保護が重要です。侵入を防ぐだけでなく、万が一データを窃取されても情報を守れる体制を整えましょう。
D.AMOのような統合型プラットフォームを活用すれば、暗号化や鍵管理を含めた包括的なセキュリティ対策を進められます。二重脅迫にとどまらない多くの脅威に備え、自社の重要データを守る基盤を見直してみてはいかがでしょうか。