ランサムウェアは国内外で猛威を振るっており、現在でも多くの被害報告が挙がっています。 ランサムウェアは単なる金銭的被害にとどまらず、企業活動そのものを停止させる可能性があり、その対策が求められています。
本記事では、ランサムウェアの主な感染経路や対策方法、警察庁が公開している対応ツールまで解説します。
警察庁が発表したランサムウェアの被害事件数
警察庁の発表によれば、令和6年のランサムウェア被害件数は200件を超えており、直近の3年間は高い水準で推移しています。こうした状況を受け、警察庁は復号ツールの提供(後述)や注意喚起を行うなど、官民一体での対策を進めています。
出典:令和6年におけるサイバー空間をめぐる脅威の情勢等について(警察庁)
また、独立行政法人情報処理推進機構(IPA)が発表している情報セキュリティ10大脅威2025 では、「ランサムウェアによる被害」が10年連続で選出されており、直近の5年間では「組織」向け脅威の第1位となっています。
ランサムウェアとは
ランサムウェアは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語であり、身代金要求型ウイルスとも呼ばれています。ここでは、ランサムウェアの目的や、感染してしまった場合の挙動などを解説します。
ランサムウェアの目的
ランサムウェアの目的は、感染させた端末のデータを暗号化して使用できなくし、その復旧と引き換えに身代金を要求する点にあります。要求されるのは現金だけでなく、暗号資産が指定される場合もあります。
近年は、支払いを拒む組織が増えたことから「二重脅迫型」と呼ばれる手口が主流になりました。このタイプは、暗号化する前にデータを盗み出し、「支払わなければ情報を公開する」と迫ります。従来よりも強い圧力をかける仕組みで、被害者は流出リスクにも直面します。
攻撃対象も広がっています。かつては大企業が中心でしたが、現在は中小企業も狙われやすくなりました。警察庁によれば、令和6年は中小企業の被害件数が前年より37%増加しており、規模に関係なく組織全般が標的となっている状況です。
出典:令和6年におけるサイバー空間をめぐる脅威の情勢等について(警察庁)
感染するとどうなる?
ランサムウェアに感染すると、端末に保存されているファイルが暗号化され、業務に不可欠なデータを扱えなくなります。感染後は、画面に「復旧を望むなら金銭を支払え」といった脅迫メッセージが表示されます。
このほかに、端末の操作を一切受け付けなくする「画面ロック型」と呼ばれるタイプも存在します。利用者が通常の操作を行えなくなるため、業務が完全に停止する危険があります。
近年は、さらに悪質な亜種も登場しています。データそのものを削除するものや、OSの起動を妨害して端末を使用不能にするものが確認されており、被害は従来より深刻化しています。
ランサムウェアの主な感染経路
ランサムウェアはさまざまな経路からの感染が確認されています。特に報告件数の多い感染経路としては、以下の3つが挙げられます
感染経路①:メールの添付ファイルやリンク
ランサムウェアの代表的な侵入経路として、メールの添付ファイルや本文中のリンクが挙げられます。
添付ファイルは、WordやExcelといった一般的な形式に見せかけたり、拡張子を偽装した実行ファイルであったりします。受信者に不審がられないよう工夫されており、ファイルを開いたりマクロを有効化したりすると感染につながります。
本文に含まれる不正なリンクも危険です。クリックすると、ランサムウェアを配布するサイトに誘導されます。このリンクは正規のWebサイトに見えるよう偽装されることが多く、注意が必要です。
さらに、特定の企業を狙う標的型メールでは、取引先企業や公的機関を装うケースもあります。業務関連の内容に見せかけるため、通常の業務メールとの区別が難しい点が特徴です。
感染経路②:VPN機器の脆弱性を悪用
近年ではリモートワークの普及によってVPN機器の利用が増えており、その脆弱性を突く攻撃が急増しています。
VPN機器は、古いファームウェアの放置や設定ミスによる脆弱性があった場合、そこからネットワーク内部に侵入されてランサムウェアを送り込まれる可能性があります。
実際に、近年の統計ではランサムウェアの感染経路としてVPN機器の脆弱性悪用が最多となっており、多くの企業や組織で被害の報告が上がっています。
感染経路③:リモートデスクトップの悪用
ランサムウェアの感染経路として、Windows標準のリモートデスクトップ機能(RDP)やリモートデスクトップ専用ソフトの脆弱性を悪用する手口も確認されています。
特に、OSやリモートデスクトップ専用ソフトの脆弱性を放置している場合、推測されやすいパスワードを設定している場合、パスワードを使い回している場合などは、不正アクセスのリスクが非常に高くなります。
リモートデスクトップの悪用によって端末が不正に操作されると、ネットワーク内の他の端末にもランサムウェアの感染が広がる可能性があります。
ランサムウェアへの基本的な対策
ランサムウェアの被害を防ぐためには、基本的な対策が重要になります。ここでは、それぞれの対策について詳しく解説します。
対策①:不審なメールは開かない
送信元や件名に覚えがないメールを受け取った場合は、開かずに削除することが重要です。特に、請求書や配送通知、セキュリティ警告を装い、受信者に確認を急がせる内容には注意が必要です。
近年のフィッシングメールは精巧化し、正規のものと区別しにくくなっています。そのため、文面やロゴだけに頼らず、送信元のアドレスやドメイン名、リンク先のURLを確認し、不自然な点がないかを必ずチェックする習慣を持つことが効果的です。
対策②:OSやソフトのバージョンを最新に保つ
OSやソフトのアップデートを怠ると、既知の脆弱性を悪用されて感染するリスクが高まります。
過去の感染事例では、「アップデートが適用されていれば被害を防げた」というケースも少なくありません。そのため、自動更新機能を有効にする、もしくは定期的にパッチ適用状況を確認するなど、OSやソフトウェアのバージョンを最新に保つことが重要です。
対策③:データのバックアップを取る
ランサムウェア対策の基本として、定期的にデータをバックアップしておくことが挙げられます。バックアップがあれば、感染時でもデータを復旧できる可能性が高まります。
一方で、バックアップ先が常時アクセス可能な状態だと、そのデータ自体がランサムウェアに暗号化される危険があります。
安全性を確保するためには、バックアップ機器を通常はネットワークから切り離す、書き換えできないWORMストレージを利用する、あるいはバージョン管理機能を備えたクラウドのバックアップサービスを活用するといった工夫が有効です。
ランサムウェアに感染した場合の対応
ランサムウェアに感染してしまった場合、被害を最小限に抑えるため冷静に対応を行うことが重要です。以下を参考にしてください。
対応①:感染端末をネットワークから切り離す
ランサムウェアに感染すると、ネットワークを介して他の端末やサーバーへ被害が広がる恐れがあります。
そのため、感染が確認された際には、速やかに当該端末をネットワークから切り離すことが重要です。有線接続ならLANケーブルを抜き、無線接続ならWi-Fiを無効化するなど、確実に切断する対応が求められます。
対応②:感染端末の調査(警察庁の相談窓口)
次の対応として、感染の原因や被害範囲を把握するために、端末のログや挙動を調査します。ただし、シャットダウンや再起動を行うと証拠が消える恐れがあるため、原則として避ける必要があります。
感染が確認された場合は、最寄りの警察署や「サイバー犯罪相談窓口」に連絡し、専門のセキュリティ機関にも調査協力を依頼することが推奨されます。サイバー犯罪相談窓口は以下からアクセスできます。
また、攻撃者の要求に応じてもデータが確実に復旧するとは限りません。身代金を支払うことで、さらなる攻撃を招く可能性もあるため、支払いには絶対に応じないことが重要です。
対応③:警察庁が開発した復号ツールを利用する
一部のランサムウェアでは、暗号化方式が解明されており、復号ツールによってデータを取り戻せることがあります。
2025年7月、警察庁のサイバー特別捜査部(関東管区)は、Phobosおよび8Baseによって暗号化されたファイルを復元するための無料ツールを開発しました。復号ツールは警察庁の公式サイトで公開されており、誰でもダウンロードすることができます。
復号ツールを活用することで、専門の知識がなくてもデータを復旧できる可能性があります。具体的な使い方や、最新の情報については警察庁の公式サイトを確認することをおすすめします。
なお、復号ツールはChromium系ブラウザなどでマルウェア扱いされる場合がありますが、FBIやユーロポールによる検証により、安全かつ有効であると確認されています。
ランサムウェア対策の強化は「D.AMO」がおすすめ
ランサムウェアの被害を防ぐには、OSやソフトウェアを常に最新の状態に保ち、定期的にバックアップを行うといった基本的な対策が欠かせません。万が一データが暗号化された場合でも、警察庁が公開している復号ツールを利用すれば復旧できる可能性があります。
一方で、二重脅迫型のランサムウェアでは、バックアップや復号ツールだけでは盗まれた情報の公開を阻止できません。
そのため、追加の対策として「D.AMO」などデータ暗号化ツールの活用が推奨されます。D.AMOはデータの暗号化やアクセス制御に対応しており、感染時でも情報漏えいのリスクを大幅に抑えることが可能です。
「D.AMO」に関する詳細はこちらをご覧ください。
https://www.pentasecurity.co.jp/damo/
まとめ
ランサムウェアは国内外で深刻な被害をもたらしており、感染経路の把握や基本的な対策が欠かせません。警察庁はPhobosや8Baseに対応する復号ツールを公式サイトで公開し、被害者が無料で利用できるようにしています。こうした公的支援と日常的な予防策を組み合わせることが、安全確保の鍵となります。