2025年現在、サイバー犯罪の件数は増加傾向が続いています。その中でもランサムウェアは、IPAの「情報セキュリティ10大脅威 」においても5年連続1位となり、昨年のKADOKAWAの事例のように、非常に影響の大きい被害事例のニュースも続々と出ていることから、脅威度が高いことがわかります。しっかり対策していなければ、いつ自社が被害に遭ってもおかしくありません。
そこで本記事では、ランサムウェアの定義、最新の動向を紹介しつつ、被害事例や対策方法、万が一感染した際の対処について解説します。
ランサムウェアとは?
ランサムウェアとは、コンピュータやネットワークに侵入してシステムのロックやデータの暗号化・削除を通して使用不能にし、その復旧と引き換えに金銭(いわゆる「身代金=ランサム」)を要求する悪意のあるソフトウェアです。感染すると業務に必要なデータにアクセスできなくなり、事業継続にも大きな影響を与える深刻なサイバー攻撃のひとつです。
代表的な事例としては、世界中で被害を出した「WannaCry」や「CryptoLocker」などが知られています。特に近年は、個人よりも企業や組織を狙った攻撃が増加しており、被害額も数千万円〜数億円規模にのぼるケースが珍しくありません。
ランサムウェアの目的や手法も含めた概要については、以下の記事で詳しく解説しています。併せてお読みください。
ランサムウェア攻撃による暗号化をどう防ぐ?被害事例から対策まで解説
マルウェアとランサムウェアの違いは?
マルウェアとランサムウェアは言葉も似ているため、特に非IT企業に所属する方には違いがわかりづらいと感じられることも少なくありません。
結論から言うと、ランサムウェアはマルウェアの一種にあたります。マルウェアのうち、目的が身代金の要求にあるもの全般をランサムウェアと呼びます。
マルウェアは、ウイルスやワーム、トロイの木馬など、その手法によっていくつかの種類に分類されます。一方でランサムウェアは、手法ではなく「目的」に基づいて分類されるものであり、その内部にウイルスやトロイの木馬といった複数のマルウェアが含まれることもあります。
マルウェアとランサムウェアのそれぞれの定義や、両方に共通して有効な対策については以下の記事で詳細にまとめていますので、ご興味のある方はぜひご一読ください。
マルウェアとランサムウェアの違いは?両方に有効な対策も併せて解説
近年のランサムウェアの特徴
従来のランサムウェア攻撃は、被害者のデータを暗号化し、復号のための身代金を要求するだけの単純なものが主流でした。しかし、近年では攻撃が高度化してきています。
具体的には、以下のような傾向が見られます。
- 二重脅迫型ランサムウェア:データの復号のための身代金の要求に加え、窃取したデータの漏えいを止めるための身代金の要求と併せて二重の脅迫を行うランサムウェア攻撃が増加しています。
- 多重脅迫(三重脅迫、四重脅迫):二重脅迫に加え、被害者の顧客や取引先にも攻撃範囲を拡大することでさらなる圧力をかけたり、被害者のサービスを停止させるDDoS攻撃を行い、身代金の支払いを強要したりする多重脅迫という手法も見られるようになっています。
- ノーウェアランサム:データを暗号化せずに窃取し、その公開を脅迫材料とする手法です。暗号化を行わずにデータ窃取のみを行うことで、攻撃時間の短縮ができること、バックアップでは対策できないことが特徴です。
さらに、RaaS(Ransomware as a Service) によって、専門的な技術を持たなくとも簡単にランサムウェア攻撃を行えるようになっていることや、中小企業を狙った攻撃の増加なども、押さえておくべき傾向です。
最新のランサムウェアの動向については、以下の記事で詳しく紹介していますので、ぜひご参照ください。
【2025年版】ランサムウェアの特徴!最新の動向や被害を防ぐ対策を解説
最新のランサムウェア事例
2024年も、企業や公共機関を標的としたランサムウェア攻撃が相次ぎました。多くの組織が業務停止や情報流出などの深刻な被害を受けています。ここでは、実際に発生したランサムウェア攻撃の中から特に影響が大きかった3つの事例を取り上げて紹介します。
株式会社KADOKAWAへのランサムウェア攻撃
2024年6月、大手エンターテインメント企業である株式会社KADOKAWAが、ランサムウェアによるサイバー攻撃を受けました。攻撃の主な標的となったのは、グループ会社のドワンゴが運営する「ニコニコ動画」などのサービスであり、被害はグループ全体に広がり、多くのサービスが長期間にわたって停止する事態となりました。
感染の原因は、従業員の認証情報がフィッシングメールによって盗まれたことだと考えられています。
この攻撃により、約25万人分の個人情報が流出したほか、出版事業における製造・物流の機能も停止し、業務全体に大きな影響が及びました。その結果、KADOKAWAは2025年3月期の通期連結業績において、84億円の売上高減少、36億円の特別損失を発表しています。
KADOKAWAのランサムウェア被害については、下記の記事でさらに詳しく解説しています。ご関心のある方はぜひご覧ください。
KADOKAWAのランサムウェア被害から学ぶサイバーセキュリティ対策
トヨタ自動車のサプライチェーンを直撃したランサムウェア攻撃
2022年2月末、トヨタ自動車の主要取引先である小島プレス工業がランサムウェア攻撃を受けました。これにより、トヨタ自動車やその他の完成車メーカーも工場の稼働を停止する事態に発展しました。
小島プレス工業の調査報告書によると、子会社のリモート接続機器に脆弱性があったことがきっかけで不正アクセスを受け、子会社経由で小島プレス工業のネットワークに侵入されたとのことです。
小島プレス工業では被害拡大を防ぐため、全ネットワークを遮断し、部品の受発注システムが使用不能となりました。この影響で、トヨタ自動車は自動車製造に必要な部品の多くを調達できなくなり、国内全14工場28ラインの稼働を3月1日に停止しました。翌日には稼働を再開しましたが、約1万3千台以上の生産に遅れが生じました。この事例は、サプライチェーン全体のセキュリティ対策の重要性を浮き彫りにしています。
本件についても、個別記事で詳しく解説しています。
トヨタ自動車のランサムウェア被害から学ぶ、企業に必要なセキュリティ対策とは
株式会社イセトーへのランサムウェア攻撃
2024年5月、印刷業を営む株式会社イセトーが、ランサムウェアによるサイバー攻撃を受けました。攻撃者はVPNを通じて同社のネットワークに不正侵入し、サーバーや端末内のファイルを暗号化しました。6月には、攻撃者グループ「8Base」が窃取したとされるデータをリークサイト上で公開しました。
この攻撃により、イセトーが業務を受託していた複数の自治体や企業の個人情報が数十万人単位で漏えいしてしまったことがわかっています。
侵入経路はVPNからの不正アクセスとされています。加えて個人情報漏えいの原因として、業務終了後に削除すべきデータが適切に削除されず、便宜的に保管されていたことが挙げられています。
ランサムウェアの対策方法
ここまでのランサムウェアの最新動向や被害の事例を踏まえ、具体的な対策を紹介します。
脆弱性への対応
ランサムウェアの侵入の際、OSやアプリケーションの脆弱性が狙われるケースは非常に多いです。警察庁が公開している「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、被害に遭った機器のおよそ半数に、セキュリティパッチの未適用があったと報告されています。
セキュリティパッチの適用は直接的な利益を生むものではないため、どうしても後回しにされがちですが、放置すれば深刻な被害につながりかねません。定期的にアップデートを行う運用を採り入れるほか、ゼロデイ攻撃に備えて危険度の高い脆弱性が発生した際に緊急でパッチ当てできるように体制を準備しておくことが望ましいです。
また、攻撃される可能性を少しでも減らすために、使っていないソフトウェアや不要な機能のアンインストールしておくことも有効です。不要なアタックサーフェスは減らしておくに越したことはありません。
パスワード認証突破への対策を行う
RDP(リモートデスクトッププロトコル)やVPN機器で脆弱なパスワードを利用している場合に、ブルートフォース攻撃(総当たり攻撃)やパスワードリスト攻撃によって認証を突破されて感染が始まるケースも多くあります。「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」においても、感染経路のうち4割弱をRDPが占めているという報告もあり、パスワード強化の重要性がわかります。
対策としては、以下のようなものが挙げられます。
- 大前提として、外部からRDPアクセスをできない状態にする
- パスワードは英数字・記号を組み合わせた複雑で長いものにする
- 極力パスワードのみに頼らず、MFA(多要素認証)を利用する
また、RDPでいうとパスワードだけでなく、脆弱性を突かれるリスクもあります。少し昔の脆弱性になりますが、BlueKeepやDejaBlue等が有名です。前述の内容と重複しますが、RDPに関する脆弱性については、よりスピード感をもって適用することが推奨されます。
フィッシング・標的型攻撃メールに対する教育・訓練
前述のKADOKAWAの事例も該当しますが、ランサムウェアはフィッシングメールや標的型攻撃メールをきっかけとして侵入するケースが多々あります。近年の標的型攻撃メールは、実在する企業名や職員名等を使って精巧な文面にしているので、慣れていないと見抜くことは困難です。
代表的な対策としては以下のようなものが挙げられます。
- 不審メールの見極め方法の周知:メールアドレスのドメインを確認する、不自然な言い回しや文法ミスをチェックするなど、基本的な確認を日常的に行うように全社員に習慣づけさせることで、不用意な添付ファイル・リンクの開封から感染するリスクを下げましょう。
- 定期的な訓練の実施:標的型メールを模したものを使った訓練を定期的に実施し、メールを開いてしまった場合はフォローアップを行うことで、注意力を高めることができます。
- メールセキュリティ対策の導入:スキャン機能やリンクのフィルタリングなど、フィッシング対策機能を備えたメールセキュリティ製品を導入すれば、リスクを大きく軽減できます。
最小権限の原則の適用
「最小権限の原則(PoLP:Principle of Least Privilege)」とは、ユーザーやシステムに与えるアクセス権限を“本当に必要な範囲だけ”に絞るというセキュリティの基本的な考え方です。これにより、仮にアカウントが不正アクセスを受けても、被害範囲を最小限に抑えることができます。
具体的には、以下のような取り組みを行うことで実現します。
- 管理者権限の制限:管理者権限を持つユーザーは必要最小限とし、日常の作業は一般ユーザー権限で行う運用を徹底しましょう。たとえば、インストールや設定変更だけ一時的に強い権限を与える仕組み(ジャストインタイム・アクセス)も有効です。
- アクセス制御の細分化:システムやデータごとに必要な権限だけを割り当て、部門や業務単位でアクセス制御を厳密に設定することが重要です。必要な権限の定義を怠り、一律で強い権限を設定することは避けましょう。
- 定期的な権限の見直し:異動や退職に伴い不要になったアカウントや権限は、放置せずに速やかに削除をしましょう。普段の業務ではなかなか手が回らず放置されがちですが、定期的に棚卸しの時間を設けることで漏れなく不要アカウントの削除や権限の最適化ができます。
ウイルス対策ソフト・EDRの導入
ランサムウェアのような脅威は、一度侵入を許すとそこから被害が広がっていくため、早期に侵入に気づける仕組みが重要です。ウイルス対策ソフトやEDR(Endpoint Detection and Response)を活用することで、感染を早期に検知し、被害の拡大を防ぐことができます。
ウイルス対策ソフトおよびEDRができることは以下の通りです。
- ウイルス対策ソフト:過去に報告されたウイルスやマルウェアの定義ファイル(シグネチャ)に基づいてスキャンを行うことで検出・除去を行います。ウイルス定義の更新を自動化し、定期的なスキャンを行う設定を入れておくことで、比較的新しいマルウェアについても自動で対処が可能です。
- EDR:ウイルス対策ソフトには、既知のマルウェアにしか対策できないという弱点がありましたが、EDRはシグネチャに頼らず挙動ベースで検知することができるため、未知のマルウェアにも対応できます。たとえばPCやサーバーで急に大量のファイルが暗号化されるなど、怪しい挙動があればリアルタイムで検知します。近年はXDRやSOARといった自動化の仕組みも併せて実装されることが多いです。
バックアップと復旧体制をセットで考える
バックアップを取得することで、ランサムウェアにデータを暗号化されても復旧が可能になります。ただし、近年はバックアップも含めて暗号化されるケースが多いため、単純にバックアップしているだけでは有効な対策とは言えません。
具体的には、以下のような対策を行ってバックアップの暗号化を避ける工夫が必要です。
- バックアップの「3-2-1ルール」:データは「3つのコピー」「2種類のメディア」「1つはオフサイトに保管」を組み合わせた「3-2-1ルール」で取得しましょう。これにより、特定のバックアップストレージが削除されても、他のバックアップを利用して復旧できる可能性が高まります。
- 不変ストレージの活用:クラウドのWORM(Write Once Read Many)対応ストレージなど、一度保存したデータは管理者権限でも変更・削除できない仕組みを使うことで、万が一攻撃者に管理者権限を乗っ取られた際にもバックアップデータを削除されないようにすることが可能です。
- バックアップデータの暗号化:バックアップ自体も強固な暗号化で保護しておくことで、第三者に読み取られるリスクを抑えられます。
また、「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、バックアップを取得していても実際に復旧できなかったというケースが75%もあり、その原因が「運用不備」であるものも含まれています。バックアップを取得するだけでなく、復旧計画および訓練も併せて行っておくことが重要です。
機密データの暗号化
あらかじめ機密データを強力に暗号化しておくことで、情報を窃取されても解読不可能にすることができ、攻撃者に脅迫されることを避けることができます。特に近年はノーウェアランサムによって、バックアップだけでは対策しきれないことも増えているため、データにアクセスできたとしても攻撃を成立させない対策が重要になっています。
ペンタセキュリティでは、データベースの暗号化とアクセス制御を実現する「D.AMO」を提供しています。D.AMOに関する詳細はこちらをご覧ください。
https://www.pentasecurity.co.jp/damo/
ランサムウェアに感染してしまった場合の対処
ここまでは、ランサムウェアの対策として事前に準備できるものを解説しました。しかし、何重もの対策を講じてもランサムウェアに感染する可能性をゼロにすることはできません。
そこで重要なのが、「感染してしまった後にどう対処するか」です。初動対応を誤ると、被害が拡大してしまう恐れがあります。そこで最後に、ランサムウェアに感染した際に取るべき適切な対応について解説します。
ネットワーク隔離
ランサムウェアは、一台の端末に侵入した後、ネットワークを通じて他の端末にも感染を広げるケースが非常に多くあります。そのため、最初に行うべきはネットワーク切断による隔離です。具体的にはWi-Fiを無効にする、LANケーブルを抜くなどの対処をします。
ここで注意しておきたいのが、PCの電源をすぐに切らないことです。焦ってシャットダウンしてしまうと、感染経路やマルウェアの挙動を把握するために重要なログや証拠が失われてしまう可能性があります。いざというときに気が動転してPCを落としてしまわないように覚えておきましょう。
身代金は支払わない
ランサムウェア攻撃者は「身代金を支払うことで暗号化を解除する・情報の開示は取りやめる」と脅迫しますが、原則として身代金は支払わないようにしましょう。
理由は以下の通りです。
- 身代金を支払っても、暗号化されたデータが確実に復旧できる保証はない
- 一度支払いに応じてしまうと、「金を払うターゲット」として再び狙われるリスクが高まる
- 犯罪グループへの資金提供となり、他の被害者を生む一因となってしまう
業務が止まり、復旧のめども立たないとなると、身代金を払ってでも終わらせてしまいたいという考えがよぎるかもしれませんが、次で紹介する通り、まずは専門家の助言を仰ぎましょう。
警察やセキュリティ専門家に相談
ランサムウェアに感染した場合は、警察やセキュリティの専門家に速やかに相談することを強く推奨します。
警察に被害を届け出ることで、捜査の一助となり、同様の被害の拡大防止にもつながります。また、セキュリティベンダーやインシデント対応の専門企業に相談することで、感染源の特定や復旧方法、今後の再発防止策について適切なアドバイスを受けることができます。
特に企業の場合は、事前に相談先や連絡フローを整備しておくことで、緊急時にも迅速な対応が可能になります。セキュリティインシデント対応計画(インシデントレスポンスプラン)の一環として、これらの体制を準備しておくことが大切です。
No More Ransomで復旧を試みる
「No More Ransom」は、ランサムウェアの被害者が無料でデータ復旧を試みることができるオンラインプロジェクトです。複数の法執行機関やセキュリティ企業が協力して運営しており、さまざまなランサムウェアの復号ツールを提供しています。
すべてのランサムウェアに対応しているわけではありませんが、身代金を支払わずにデータを取り戻せる可能性があるため、攻撃を受けた際には一度は確認しておく価値があります。
まとめ
ランサムウェアは非常に巧妙かつ多様な手口で侵入を試みてくるため、完全に防ぐことは非常に難しいというのが現実です。
しかし、今回紹介したような事前対策や初動対応を押さえておくことで、万が一の事態にも冷静に対処できるようになり、被害を最小限に抑えられる可能性が高まります。
セキュリティ対策に「完璧」はありませんが、少しずつでも取り組みを進め、日々の運用の中でアップデートを重ねていくことが最大の防御となります。本記事が対策を進める一助となれば幸いです。
