皆さんこんにちは、代表の上口稚洋です。

近年、企業を狙ったランサムウェア攻撃が急増しています。

なかでも、2025年9月に起きたアサヒグループHDのシステム障害は記憶に新しいでしょう。

ビールの受注や出荷が一時停止し、多くの飲食店に影響が広がるなど、社会的にも大きな注目を集めました。

このように、ひとたびランサムウェアに感染すると、業務が完全に停止するケースも少なくありません。

IPA（情報処理推進機構）が発表した「情報セキュリティ10大脅威 2025」でも、組織にとって最も大きな脅威は「ランサム攻撃による被害」とされています。

つまり、今やどの企業もランサムウェアの被害者になる可能性があるということです。

だからこそ、ランサムウェアの仕組みや対策を正しく理解しておくことが、企業を守るうえで欠かせません。

参考資料：情報セキュリティ10大脅威 2025

ランサムウェアとは？仕組みと攻撃手法をわかりやすく解説

近年、企業を狙ったサイバー攻撃の中でもとくに深刻なのがランサムウェア攻撃です。

ここでは、ランサムウェアの仕組み、攻撃の流れ、そしてマルウェアとの違いを分かりやすく説明します。

ランサムウェアの概要

ランサムウェアは「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせた言葉です。

端末やサーバーに侵入してファイルを暗号化し、使用不能にしたうえで、復号キーと引き換えに金銭を要求する不正プログラムを指します。

感染後の自力復旧は非常に難しく、業務データや顧客情報が事実上『人質』に取られるのが特徴です。

多くの場合、攻撃者は仮想通貨での支払いを求めますが、支払っても必ず復旧できるとは限りません。

近年多い攻撃手法

ランサムウェア攻撃は、初期侵入・内部活動・データの持ち出し・ランサムウェアの実行という4段階で行われます。

1. 初期侵入：VPN機器やリモートデスクトップ（RDP）の脆弱性を突いたり、フィッシングメールで認証情報をだまし取ったりしてネットワークに入り込む。
   
   
2. 内部活動：侵入後、遠隔操作ツールで社内ネットワークを探索し、管理者権限などを奪う。
   
   
3. データの持ち出し：攻撃者は重要情報を外部サーバーへアップロードし、情報を窃取する。
   
   
4. ランサムウェアの実行：最後に暗号化を実行してファイルを使えなくし、端末に身代金要求の画面を表示する。
   
   

近年は「VPN機器」や「リモートデスクトップ（RDP）」の脆弱性を狙う攻撃がとくに多く、データを暗号化するだけでなく「盗み出した情報を公開すると脅迫する二重恐喝（ダブルエクストーション）」が主流です。

また、暗号化を行わずに情報を盗むだけの「ノーウェアランサム」という新たな手口も増加傾向にあります。

ランサムウェアとマルウェアの違い

ランサムウェアとマルウェア、両者の最大の違いは「身代金要求の有無」です。

マルウェアとは、システムに損害を与えたり個人情報を盗んだり、悪意のある目的で作られた不正なソフトウェアの総称です。

一方で、ランサムウェアはマルウェアの一種ですが、金銭の要求を目的としています。

暗号化したデータを復旧する見返りとして身代金を要求し、金銭を支払わなければデータを元に戻さないという性質を持ちます。

ランサムウェアの感染経路｜代表的な6つの侵入ルート

ランサムウェアの多くは、攻撃者はシステムの脆弱性や従業員の不注意を足がかりして、気づかないうちに企業ネットワークへ侵入します。

ここでは、ランサムウェアが侵入する代表的な6つのルートを順に解説します。

①VPN機器からの侵入

現在、最も多いランサムウェアの侵入経路はVPN機器の脆弱性です。

VPN機器とは、インターネットを通じて安全に社内ネットワークへ接続するための装置のことで、設定ミスやソフトの更新遅れがあると攻撃者に狙われるリスクがあります。

2023年に発表された警察庁の報告によると、企業・組織の感染経路の約63％がVPN経由であったことが分かっています。

さらに、2024年は55％、2025年上期には約62％と、依然として高い割合で推移しています。

対策は、機器を常に最新版に保つこと、不要なポートを閉じること、アクセス制御を厳格にすることです。

参考資料：令和５年におけるサイバー空間をめぐる脅威の情勢等について

令和６年におけるサイバー空間をめぐる脅威の情勢等について

令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について

②RDP（リモートデスクトップ）からの攻撃

リモートワークの普及に伴い、「RDP（リモートデスクトップ）」を経由したランサムウェア感染も増加しています。

RDPとは、離れた場所にあるパソコンを、手元の端末からインターネット経由で遠隔操作できる仕組みです。

攻撃者は、RDPに設定されたユーザーIDやパスワードを盗む、またはRDP自体の脆弱性を突いて侵入します。 

とくに、ID・パスワードを推測する「総当たり攻撃（ブルートフォース攻撃）」はよく使われる手口です。

感染を防ぐには、RDPの設定を見直し、強固なパスワードを設定することが基本です。

③メールの添付ファイル経由

メールや添付ファイルを利用した感染は、古くから存在する典型的なランサムウェア攻撃の手口です。

攻撃者は実在する官公庁や取引先を装い、請求書や業務連絡に見せかけたメールを送り、 文中のURLをクリックさせたり、添付ファイルを開かせたりすることで、マルウェアをダウンロードさせます。

感染を防ぐためには、不審なメールや添付ファイルを開かないことが基本です。

少しでも怪しいと感じた場合は、すぐに上司や情報システム担当に確認しましょう。

④悪意のあるWebサイト

ランサムウェアは、改ざんされたWebサイトを経由して感染することもあります。

Webサイトの改ざんとは、本来のコンテンツやシステムが第三者によって不正に書き換えられることです。

見た目やURLが正規サイトとほぼ同じでも、裏側に不正なプログラムが仕込まれている場合があり、サイトにアクセスしただけでランサムウェアが自動的にダウンロードされるケースもあります。

とくに、企業の公式サイトを装った偽ページや、不正広告（マルバタイジング）には注意が必要です。

⑤ USBや外付けハードディスクなどの外部記録メディア

USBメモリや外付けハードディスクといった外部メディアも、ランサムウェア感染の原因になります。

たとえば、感染したパソコンで使用したUSBを別のパソコンに差し込むと、ウイルスが拡散してしまう可能性があります。

さらに、まれに販売段階でランサムウェアが仕込まれた外部メディアも確認されています。

信頼できる製品を使用し、不審な機器は接続しないことが重要です。

⑥ ソフトウェア・ファイルの不正ダウンロード／不審なアプリの実行

不正なWebサイトやP2P（ファイル共有）サイトからダウンロードしたソフトウェアやファイルも、ランサムウェア感染のリスクがあります。

偽の「ダウンロードボタン」や「更新が必要です」といったメッセージを信じてクリックすると、知らないうちに感染するケースも少なくありません。

また、古いOSやアプリの脆弱性（セキュリティ上の弱点）を悪用されることもあります。

感染を防ぐには、正規サイトからのみソフトウェアを入手し、OSやアプリを常に最新の状態に保つことが重要です。

ランサムウェアの被害事例｜中小企業から大手まで被害が拡大

ランサムウェアの被害は、中小企業だけでなく、大手企業や医療機関など社会インフラを支える組織にも広がっています。

感染するとシステム障害やデータ流出など深刻な影響が発生し、事業の停止や信用失墜につながるリスクがあります。

ここでは、近年報告された代表的な被害事例を紹介します。

事例① アサヒホールグループHD

2025年9月29日、アサヒグループHDがランサムウェア攻撃を受け、システム障害が発生しました。

犯行声明を出したのは「Qilin（キリン）」と呼ばれるランサムウェアグループで、約27GBのデータを盗んだと主張しています。※とありますが、実際にはハッカーはファイルを選ぶことはしません。ハッカーはすべてのファイルを盗むこともあります。また、盗んだ痕跡を残さずログまで削除してしまいます。

この影響で国内のグループ会社では受注や出荷業務に支障が出て、一部の工場では生産が一時停止しました。

さらに、個人情報が流出した可能性も示唆されており、その被害の甚大さと影響範囲の広さが懸念されています。

アサヒグループHDは、システムの復旧時期が不透明であることから、予定していた決算発表の延期を表明しています。

参考記事：アサヒグループホールディングス

事例② 光精工株式会社

2025年1月19日、三重県桑名市に本社を置く精密自動車部品メーカー・光精工株式会社がランサムウェア攻撃を受けました。

こちらも「Qilin」による犯行声明が出され、製品設計図や人事情報、品質情報、コスト管理資料などが流出したと言われています。

声明では、取引先としてアイシン、BYD、Ford、Hondaなどの企業名が挙げられており、ネットワーク侵入とシステム暗号化が行われたとされています。

現時点で光精工から公式発表はなく、流出データの真偽は調査中です。

参考記事：ランサムウェア攻撃によるインシデント発生

事例③ 岡山県精神科医療センター

2024年5月、岡山県精神科医療センターがランサムウェア攻撃を受け、システム障害が発生しました。

6月には岡山県警がダークウェブ上で患者情報の一部を確認しており、氏名・住所・生年月日・病名などの情報が含まれていたとみられ、最大約4万人分の患者情報が流出した可能性があると発表されました。

現在も詳細な調査と再発防止策の検討が続いています。

なお、以下の記事では原因別による情報漏えいの事例や損害賠償の実態を紹介していますので、参考にしてください。

＞＞情報漏えいの事例9つ｜ランサムウェアや設定ミス、原因別にみる企業のリスク

＞＞情報漏えいによる損害賠償の実態とは？相場と事例まとめ

参考記事：地方独立行政法人　岡山県精神科医療センター　ランサムウェア事案調査報告

ランサムウエアに感染しないための対策

ひとたびランサムウェアに感染すると、業務に深刻な影響が及びます。

しかし、日頃から適切な対策を講じることで、被害リスクを大幅に低減することが可能です。

ここでは、企業がすぐに実践できる具体的な対策方法を紹介します。

定期的なバックアップ

ランサムウェアに感染すると、保存されているデータが暗号化され、復元が難しくなる場合があります。

そのため、定期的にデータのバックアップを取ることが非常に重要です。

バックアップは最新データを残せるように高頻度で行い、バックアップ先が感染しないようにネットワーク構成や接続設定を工夫しましょう。

クラウドストレージの活用も有効な手段です。

ウイルス対策ソフトの導入

ウイルス対策ソフトを導入しておくと、端末内に侵入したマルウェアを検知し、自動で駆除したり実行を防いだりできます。

これにより、ランサムウェアの感染や被害拡大を未然に防ぐ可能性が高まります。

OS・ソフトウェアを最新の状態に更新する

OSやソフトウェアには脆弱性が存在する場合があります。

これを放置するとランサムウェアに感染するリスクが高まるため、アップデート通知が来たらすぐに更新作業を行い、常に最新の状態にしておきましょう。

最新バージョンを維持することで、ランサムウェアによる被害を防ぐ効果が高まります。

多要素認証（MFA）導入

多要素認証（MFA）とは、パスワードに加えてSMS認証・ワンタイムパスワード・生体認証など複数の要素で本人確認を行う仕組みです。

万が一パスワードが漏えいしても、不正ログインを防止できるため、ランサムウェア感染の初期段階である「侵入」を防ぐ有効な手段です。

アクセス権限の最小化・定期的な見直し

感染時の被害を最小限に抑えるには、ユーザーごとに必要最小限のアクセス権限を設定することも重要です。

共有フォルダやネットワークドライブへのアクセス範囲も制限し、定期的に見直すことで、被害拡大のリスクを大幅に減らせます。

従業員へのITリテラシー教育

定期的なセキュリティ研修を実施し、全社員のITリテラシーを高めましょう。

不審なメールやリンクを開かない、信頼できない送信元を確認する、怪しいWebサイトからファイルをダウンロードしないなど、日常的な意識づけが何よりの防御になります。

万が一被害にあったときの対処法

いくら対策をしても、ランサムウェアの被害に遭う可能性はゼロではありません。

だからこそ、万が一感染が発覚した場合は、迅速かつ冷静な対応が被害の拡大を防ぐ鍵となります。

ここでは、実際に被害が発生した際に取るべきステップを順番に解説します。

ステップ①まずネットワークから切り離す

感染が確認されたら、まずはすべての端末やサーバーをネットワークから切り離すことが最優先です。

ネットワークに接続されたままだと、ランサムウェアが他の端末やシステムに広がる恐れがあります。

Wi-Fi接続はOFFにし、LAN接続の場合はケーブルを抜いて隔離しましょう。

ステップ②警察や専門機関への連絡

感染後は、社内で対応を完結させようとせず、専門機関へ相談することが重要です。

社内にセキュリティ専門家がいない場合は、警察（サイバー犯罪対策窓口）や、独立行政法人情報処理推進機構（IPA）などの公的機関に連絡しましょう。

また、SOC（セキュリティオペレーションセンター）やフォレンジック調査の専門家に依頼し、感染経路や原因を分析することも有効です。

ステップ③被害範囲の特定

次に、被害範囲を正確に把握することが重要です。

端末やサーバーのログ、暗号化されたファイル、攻撃者からのメッセージなどは削除せずに保存し、証拠保全を行います。

どのデータが暗号化されたのか、個人情報や機密情報が漏えいした可能性があるかなど、影響範囲を丁寧に確認しましょう。

ステップ④バックアップデータからの復旧

感染前に取得したバックアップデータがあれば、それを使ってシステムを復元できます。

必要に応じてOSの再インストールを行い、感染前の状態に戻します。

ただし、バックアップの時期によっては一部データが失われる可能性があるため、定期的かつ多層的なバックアップ体制を構築しておくことが理想です。

ステップ⑤身代金の支払いは原則NG

攻撃者の要求に応じて身代金を支払うことは、原則として避けるべきです。

支払っても暗号化が解除される保証はなく、かえって追加の脅迫や二次被害につながる恐れがあります。

攻撃者の要求に応じるのではなく、専門機関の指導のもとで冷静に対応することが大切です。

ステップ⑥再発防止のための社内対応

感染経路や原因を特定したら、再発防止策を徹底しましょう。

ウイルス対策ソフトの導入・強化、OSやソフトウェアの最新化、メールやWebフィルタリングの設定、従業員へのセキュリティ教育など、日常的な運用体制の見直しが不可欠です。

とくに、「人的ミス」や「設定ミス」が再発の引き金になるケースが多いため、社内全体で意識を共有することが重要です。

まとめ

ランサムウェアは、一度感染すると業務停止や情報流出など、甚大な被害をもたらすサイバー攻撃です。

しかし、正しい知識と日頃の対策を徹底すれば、被害を防ぐことは十分に可能です。

定期的なバックアップの実施、ウイルス対策ソフトの導入、OSやソフトウェアの更新、アクセス権限の管理、従業員へのITリテラシー教育など、日常的なセキュリティ対策を怠らないようにしましょう。

また、万が一感染してしまった場合も、ネットワークの切断・専門機関への連絡・バックアップからの復旧といった冷静な初動対応が、被害拡大を防ぐ決め手となります。

日頃の備えと迅速な行動、この2つの意識が組織をランサムウェアから守る最大の武器となります。