ランサムウェアはIPAの「情報セキュリティ10大脅威」で4年連続1位を占めており、2024年には国内大手企業での被害が相次ぎました。攻撃手口の高度化が続いていますが、対策の基本は変わりません。感染経路を正確に把握し、多層防御を段階的に整備することが、情シス担当者に求められる対応です。この記事では、ランサムウェアの仕組みから情シスが優先すべき7つの防御策、感染時の初動対応手順まで体系的に解説します。

ランサムウェアの被害実態と企業へのリスク

ランサムウェアによる被害は業種・企業規模を問わず発生しています。被害の深刻さを数値で把握しておくことが、社内での優先度づけと経営層への説得材料になります。「自社は狙われない」という前提を持ったままでは、対策への予算・人員の確保が困難になります。

国内企業の被害件数と主な事例

警察庁の発表によると、2024年に認知したランサムウェア被害件数は230件超で高水準が続いています。2024年の主な事例として、以下の被害が報告されています。

カシオ計算機（2024年10月）

ランサムウェア攻撃で従業員・取引先の個人情報が漏洩しました。業務システムが停止し、顧客へのサービス提供にも影響が生じました。

KADOKAWA（2024年6月）

約25万4,000人分の個人情報が流出し、主力Webサービスが長期停止に追い込まれました。ランサムウェアグループが関与を認め、データのリークサイトへの公開を実行しました。

セキュリティ投資を行っている大企業での事案であり、中堅企業であれば同等以上のリスクがあります。被害を受けた後に「対策が必要だった」と認識するより前に、予防的な体制整備を進めることが重要です。

攻撃成功後に起きること

ランサムウェアに感染すると、ファイルが暗号化されてシステムが利用不能になります。業務停止による機会損失・データ復旧費用・対外公表に伴うブランド毀損が同時に発生します。近年主流の「二重恐喝」では、暗号化と同時に機密データを窃取し、支払いがなければ公開すると脅してきます。身代金を支払っても、データが返還される保証はありません。

ランサムウェア被害が発生した場合の直接・間接コストを整理すると以下のようになります。

Ponemon Instituteの調査では、データ侵害1件あたりの平均コストは488万ドル（2024年版）に上ると報告されています。中堅企業にとっても、経営に深刻な影響を与えうる規模です。

中堅企業が狙われやすい理由

攻撃者は「効率的に成果を上げられる標的」を選びます。中堅企業はセキュリティ投資が少なく、専任担当者がいないケースも多いため攻撃が成功しやすいと判断されます。加えて、大企業のサプライチェーンに組み込まれている中堅企業は、大企業への侵入の踏み台としても狙われます。

RaaS（Ransomware as a Service）の普及により、高度な技術を持たない攻撃者でも組織的な攻撃を実行できるようになりました。攻撃のハードルが下がった結果、中小・中堅企業への攻撃件数が増加しています。「自社は標的にならない」という前提は通用しません。

参考: 【2025年最新】ランサムウェア被害企業・事例一覧

参考: 2025年の国内セキュリティインシデントを振り返る

ランサムウェアの仕組みと攻撃の流れ

対策を講じるには、攻撃の仕組みを正確に理解することが前提です。感染からデータ暗号化まで、攻撃の流れを把握しておくことで、どの段階でどの対策が機能するかを理解できます。

感染から暗号化・恐喝までのプロセス

攻撃は以下の段階をたどります。

1. 侵入: VPN機器の脆弱性悪用・フィッシングメールなどで初期侵入
2. 偵察・潜伏: ネットワーク構成・アカウント情報・重要資産の場所を調査
3. 権限昇格: 管理者権限を取得してシステム全体を掌握
4. 横展開（ラテラルムーブメント）: 接続しているシステムやネットワーク全体に感染を拡大
5. データ窃取: バックアップを含む重要データを攻撃者のサーバーに送出
6. 暗号化: 標的のファイルを一括で暗号化してシステムを利用不能にする
7. 身代金要求: 復号ツールの提供と引き換えに身代金を要求

侵入から暗号化まで数日〜数週間の潜伏期間がある場合が多く、この間にバックアップを含む広範なシステムへ感染が広がります。「バックアップがあれば安心」という認識は、バックアップが感染前の状態でなければ意味をなしません。オフライン・イミュータブルバックアップの重要性がここにあります。

二重恐喝（Double Extortion）とは

従来のランサムウェアはデータを暗号化して復号の対価を要求するだけでしたが、近年は「二重恐喝」が主流です。暗号化の前に機密情報を盗み出し、「支払わなければリークサイトに公開する」と二重に脅す手口です。バックアップから復元できても、盗まれたデータの公開を阻止できないため、身代金の支払い圧力が高まります。

二重恐喝が主流となったことで、「バックアップさえあれば身代金を支払わずに済む」という対策の前提が崩れました。データの窃取を防ぐための対策（権限管理・通信の監視・EDRの導入）が、バックアップと同様に重要になっています。

攻撃グループの組織化とRaaS（サービス型ランサムウェア）

現在の攻撃の多くはRaaS（Ransomware as a Service）モデルで運営されています。マルウェア開発者がランサムウェアをサービスとして提供し、実際の攻撃はアフィリエイトが担う分業体制です。このモデルにより、高度な技術を持たない攻撃者でも攻撃を実行できるようになり、件数が増加しています。

RaaSの普及により、攻撃の質・量ともに増加しています。一方、攻撃グループの狙撃・サーバーの差し押さえが国際的な協調捜査によって行われており、一定の抑止効果も生まれています。しかし、摘発後も別名・別グループとして活動を再開するケースが多く、攻撃の脅威は続いています。

参考: piyokango氏が読み解く、2024年のトレンドとランサムウェア動向

ランサムウェアの主な感染経路

警察庁の調査では、感染経路の83%がVPN機器経由またはリモートデスクトップ経由と報告されています。どの経路が主要かを知ることで、優先すべき防御策が明確になります。

VPN機器・リモートデスクトップの脆弱性

リモートワーク普及に伴い、VPNやRDP経由の侵入が最多の感染経路です。脆弱性が修正されていないVPN機器は、公開された脆弱性情報をもとに攻撃者に利用されます。SHODANなどのインターネット検索エンジンで脆弱なVPN機器を発見できるため、パッチ未適用の機器は格好の標的になります。

RDPではパスワードリスト攻撃でアカウントを突破されるケースが多く、MFAの有効化とデフォルトポートの変更が有効な対策です。インターネットから直接RDPに接続できる状態を放置することは、鍵のかかっていない扉を開けたままにするリスクと同等です。

フィッシングメール・添付ファイル

偽メールに添付されたマクロ付きOfficeファイルやPDFを開くことで感染するケースです。2024年のKADOKAWA事案でもフィッシングが侵入の起点となっています。AI技術を活用して精巧に作られた日本語フィッシングメールは、従来のスパムフィルターでの検知が困難なケースがあります。

フィッシングメールの手口は年々巧妙になっており、「取引先からの請求書」「社内からの業務連絡」を装ったメールが増えています。送信元ドメインの確認、URLへのカーソルオーバーによる遷移先確認、添付ファイルの不審な点への注意を従業員に習慣づける教育が重要です。

サプライチェーン経由の侵入

取引先・委託先を踏み台にして侵入するサプライチェーン攻撃が増加しています。自社のセキュリティを固めるだけでなく、委託先・仕入れ先のセキュリティ水準を確認・管理することが求められます。IPA「情報セキュリティ10大脅威2025」でも、サプライチェーン攻撃は2年連続で上位にランクインしています。

参考: 2025年ランサムウェア感染経路ランキング

ランサムウェア対策の7つの柱

多層防御の考え方で、複数の防御層を組み合わせることが基本です。情シス担当者が優先すべき7つの施策を整理します。単一の対策ツールを導入するだけでは不十分であり、複数の防御層を組み合わせることで感染リスクを大幅に低減できます。

① VPN・リモートアクセス環境の堅牢化

感染経路の83%を占めるVPN・RDP経由の侵入を防ぐことが最優先です。

• VPN機器のファームウェアを常に最新に保ち、CVEが公開されたら72時間以内にパッチを適用する
• 不要なRDPポート（デフォルト：3389）は無効化し、必要な場合はIPアドレス制限を設ける
• RDPをインターネットから直接アクセスできない構成にし、VPN経由のみに制限する
• 不要なVPNアカウントを定期的に棚卸しして削除する

VPN機器の脆弱性情報は、JPCERTやIPA、各ベンダーのセキュリティアドバイザリで確認できます。主要VPN製品のセキュリティ情報をRSSやメールで受信する体制を整えることで、脆弱性情報の取得を自動化できます。

② 多要素認証（MFA）の全社導入

VPN・RDP・SaaSすべてにMFAを導入することが、認証情報の窃取による不正アクセスを防ぐ最も効果的な対策です。フィッシングで認証情報が奪われても、MFAがあれば不正ログインを阻止できます。Authenticatorアプリを使ったTOTP方式が、コストとセキュリティのバランスの面で多くの企業に適しています。

MFAの展開は段階的に進めます。まず管理者権限を持つアカウントと重要システムへのアクセスに適用し、その後全従業員に展開します。展開前には従業員への説明会と操作手順書の配布を行い、急な変更による混乱を防ぎます。

③ EDRによるエンドポイント監視

端末の挙動を継続的に監視するEDR（Endpoint Detection and Response）は、未知のマルウェアや潜伏中の攻撃者の動きを検知します。暗号化が始まる前の段階でアラートを上げて封じ込めることで、被害を最小化できます。

従来のアンチウイルス（AV）は既知のマルウェアを署名ベースで検知しますが、EDRは挙動ベースの検知が可能なため、未知のランサムウェアにも対応できます。EDRの導入に際しては、アラートへの対応体制（24時間365日の監視体制またはMSSP委託）も合わせて整備することが重要です。アラートが発報されても対応できなければ、検知の価値が半減します。

④ パッチ管理の自動化

既知の脆弱性を放置すると、既知の攻撃手法の標的になります。パッチ管理ツールで適用状況を一元把握し、クリティカルな脆弱性は72時間以内に対応するプロセスを確立します。

パッチ管理の優先順位は以下のとおりです。

1. VPN機器・ファイアウォール・Webサーバー: インターネットに公開されているため最優先
2. メールサーバー: フィッシング経由の侵入を防ぐために重要
3. Windows OS・Active Directory: 権限昇格・横展開の踏み台になりやすい
4. 業務アプリケーション: 使用頻度が高いため侵入後の被害拡大に関与しやすい

パッチ適用のテスト環境を整備し、本番適用前に動作確認を行う体制を作ることで、パッチ適用による業務影響を最小化できます。

⑤ オフラインバックアップの整備

業務再開のための最後の砦がバックアップです。オフラインまたはイミュータブルなバックアップを整備し、定期的に復元テストを実施します。

バックアップの3-2-1ルールとして、以下の構成が推奨されています。

• 3つのコピー: 本番データ＋2つのバックアップ
• 2種類の媒体: 異なるメディア（ディスクとテープ、クラウドと物理媒体など）
• 1つはオフサイト: 物理的に離れた場所または隔離されたクラウド環境に保管

バックアップが感染端末とネットワークで繋がっていると、ランサムウェアがバックアップも暗号化するため、ネットワーク分離環境への保管が必須です。また、バックアップの存在だけでなく「復元できる状態にあるか」を定期的にテストすることが重要です。

⑥ インシデント対応計画（IR計画）の策定

「誰が何をするか」「どのシステムを優先的に復旧するか」「いつ経営層・顧客・監督官庁に報告するか」を文書化します。インシデント発生時は混乱した状況で迅速な判断が求められるため、事前に手順を整備しておくことが有事の対応品質を左右します。

IR計画に含めるべき主な要素は以下のとおりです。

• 初動対応チームの構成と連絡先（担当者・外部ベンダー・法律事務所）
• 感染端末の識別とネットワーク切断手順
• 被害範囲の確認と証拠保全の手順
• 経営層・法務・広報への報告タイミングと内容
• 警察・IPAへの届け出と外部フォレンジック会社の選定
• 業務継続計画（BCP）と復旧優先順位

定期的にシミュレーション訓練（テーブルトップ演習）を実施することで、有事に機能する体制を作ります。訓練の中で発見した課題を計画に反映させ、継続的に改善します。

⑦ SaaSアクセス管理の徹底

退職者のSaaSアカウント残存は、不正アクセスの起点になります。退職者のSaaSアカウントが残存していると、乗っ取られた場合に不正アクセスの起点になります。SaaSから内部のSlackやGoogleドライブにアクセスし、フィッシングメールを内部から送信したり機密ファイルを窃取したりすることができます。

具体的な対策として以下を実施します。

• 利用中のSaaSを棚卸しして全数を把握する
• 退職者アカウントを退職日当日に全件削除するプロセスを確立する
• シャドーITを検出して対応する（MFAを強制できない未承認SaaSの排除）
• 管理者権限を持つアカウントを最小限に絞り、定期的に見直す

参考: 【2025年版】ランサムウェアの感染経路6つ｜手口や対策を全解説

情シス視点での優先実施事項

情シス2〜3名体制では、すべての対策を同時に進めることは現実的ではありません。フェーズを分けた実施計画が重要です。「やるべきことはわかっているが、どこから手をつけるか」という問いへの答えを明確にすることが、実効性のある対策整備につながります。

まず手をつけるべき「今日できる対策」

最初の1週間で実施すべきことは4点です。ツール導入不要で、今すぐ着手できます。

1. VPN機器・RDPのファームウェアバージョンを確認し、最新版を適用する
2. 主要システムのMFA設定状況を確認し、未設定のものをリストアップする
3. バックアップの最終取得日とオフライン保管状況を確認する
4. インシデント発生時の連絡先（経営層・外部ベンダー・警察）を一覧化する

この4点を実施するだけで、最も発生しやすいリスクへの対処が始まります。

1か月以内に整備すべき体制

1か月以内に着手すべき施策は以下のとおりです。

• 全サービスへのMFA展開（管理者アカウント優先）
• パッチ適用ポリシーの文書化と適用状況の一元把握
• EDR導入のPoC（概念検証）実施
• フィッシング訓練の初回実施
• SaaS棚卸しと退職者アカウントの確認

MFAの展開は費用対効果が最も高い対策であり、最優先で進めます。認証情報の窃取による不正アクセスを防ぐだけでなく、フィッシング被害の軽減にもつながります。

MSSP活用で運用負荷を軽減する

24時間365日の監視を少人数で担うのは困難です。MSSPにSOC機能をアウトソースすることで、情シスは本質的な業務に集中できます。「セキュリティを外注する」のではなく、対応できない時間帯をカバーする補完的な体制構築として位置づけます。

参考: 【2025年最新】国内外におけるランサムウェアの被害企業一覧

感染が疑われるときの初動対応手順

初動対応のスピードが被害規模に直結します。手順を事前に把握しておくことが重要です。感染後の対応手順を文書化しておくことで、パニック状態でも冷静に行動できます。

感染端末の即時ネットワーク切断

不審な挙動（ファイルが開けなくなった・デスクトップに見覚えのないメッセージが表示された）を発見したら、最初に行うべきことは感染端末のネットワーク切断です。LANケーブルを抜くかWi-Fiを無効化して、物理的にネットワークから切り離します。

シャットダウンは証拠となるメモリ情報が失われる可能性があるため、電源を入れたまま専門家に引き渡すことが推奨されます。ネットワーク切断によって横展開を止め、被害範囲を最小化することが最優先です。

被害範囲の特定と初期対応

ネットワーク切断後、以下の手順で被害範囲を特定します。

1. 暗号化されたファイルの場所と範囲を確認する
2. 同一ネットワーク内の他端末への感染拡大を確認する
3. バックアップが感染前の状態であることを確認する
4. 経営層・法務部門への第一報を行う
5. フォレンジック専門会社または外部ベンダーへ連絡する

被害範囲の確認と並行して、通常業務の継続のための代替手段を確保します。メールが使えない場合の連絡手段、重要システムが停止した場合の手作業での対応手順などを、BCP（業務継続計画）として事前に定めておきます。

バックアップからの復旧フロー

感染したシステムを洗い出し、バックアップが感染前のものであることを確認したうえで復旧を進めます。復旧には通常数日〜数週間かかるため、その間の業務継続計画（BCP）をあらかじめ策定しておきます。

復旧の優先順位は、業務上の重要度と依存関係を基に決定します。「どのシステムが止まると業務が最も停止するか」を事前に洗い出しておくことで、復旧の順序を迷わず決定できます。

警察・IPAへの届け出と外部専門家の活用

ランサムウェア被害は警察への届け出が推奨されます。IPAの「情報セキュリティ安心相談窓口」でも無料で相談を受け付けています。フォレンジック調査が必要な場合に備え、専門会社を事前にリスト化しておくと有事の初動が早まります。

個人情報が漏洩した可能性がある場合は、個人情報保護法に基づく個人情報保護委員会への報告が義務付けられています（72時間以内に速報、30日以内に確報）。報告義務の要件と手順を事前に確認しておくことが重要です。

参考: ランサムウェアに感染したらどうなる？企業が取るべき対策や事例

SaaS管理とランサムウェア対策の関係

SaaSのアカウント管理の不備が、ランサムウェア感染の入り口になるケースが増えています。IT資産管理ツールによるSaaS管理の整備が、ランサムウェア対策として直接機能します。

退職者アカウントが侵入口になるメカニズム

退職者のSaaSアカウントが残存していると、攻撃者がそのアカウントを乗っ取った場合に社内ネットワークへの入り口になります。SaaSから内部のSlackやGoogleドライブにアクセスし、フィッシングメールを内部から送信したり機密ファイルを窃取したりすることができます。利用SaaSの種類が多いほど、手動での退職処理では削除漏れが発生しやすくなります。

シャドーITが広げるアタックサーフェス

情シスが把握していないSaaSは、MFAの強制もセキュリティ設定の確認もできません。攻撃者は管理の手薄なサービスを優先的に狙います。シャドーITが多いほど、攻撃者に開かれた侵入口の数が増えます。シャドーIT管理の徹底は、攻撃対象を縮小するアタックサーフェス管理の観点から重要な対策です。

JosysによるSaaS可視化でリスクを最小化

Josysは、社内で利用されているSaaSをすべて可視化し、退職者アカウントの自動削除からアクセス権限の最小化までを一元管理するSaaS管理プラットフォームです。シャドーITの発見と退職日に合わせたアカウント自動無効化を実現します。SaaS管理を自動化することで、ランサムウェア感染のリスクを下げながら情シスの運用工数を削減できます。

Josysの資料をダウンロードして、SaaS管理によるランサムウェア対策の詳細を確認する

資料ダウンロードはこちら

参考: SaaSを利用する際のセキュリティリスクと企業に求められる対策‍

参考: 増え続けるSaaSアカウント。効率よく管理する方法は？

まとめ

ランサムウェアの感染経路の大部分はVPN・リモートデスクトップ経由であり、MFAとパッチ適用だけで多くの感染を防げます。EDRとオフラインバックアップを加えることで、感染前の予防と感染後の早期復旧に対応できます。SaaS管理の徹底は攻撃面の縮小につながる重要な施策です。

対策をフェーズに分けて着実に進めることが、限られたリソースで最大の防御効果を得る方法です。「今日できること」から始め、段階的に体制を厚くしていく進め方が、実効性のあるランサムウェア対策につながります。

Josysでランサムウェア対策の死角をなくす

Josysは、SaaS可視化・アカウント管理を通じてリスクを低減するプラットフォームです。運用負荷を下げながら、セキュリティ水準を向上させましょう。

Josys資料ダウンロード（無料） | 無料トライアルを申し込む