ランサムウェアの脅威はここ数年で性質を変えました。暗号化して復号鍵と引き換えに身代金を要求する従来型に加え、暗号化前にデータを盗み出し「支払わなければ公開する」と迫る手法が主流となっています。この手法は「二重恐喝（ダブルエクストーション）」「二重脅迫」とも呼ばれます。本記事では以降「二重恐喝（ダブルエクストーション）」で統一します。IPA「情報セキュリティ10大脅威 2026」の組織の部1位はランサム攻撃による被害で、警察庁の被害統計では令和6年に対価要求手口を確認した134件中111件（82.8%）が二重恐喝型でした。

中堅エンタープライズ（従業員1000名以上）の情報システム部門やCISO（最高情報セキュリティ責任者）からは、「バックアップは整備したが、二重恐喝への打ち手が読めない」「侵入経路が多様化し、どこから着手すべきか分からない」「経営層へどう説明すべきか」といった声を多く伺います。

この記事では、二重恐喝の仕組みと攻撃フロー、現場で使える「5層防御フレーム」、上位記事で見落とされがちな「SaaS・退職者アカウントという侵入経路の盲点」、ランサム特化型のBCP（事業継続計画）と身代金支払いの意思決定フレームまでを、実装プレイブックとして整理します。

ランサムウェア二重恐喝とは｜なぜ二重恐喝が主流化したのか

二重恐喝型ランサムウェアとは、データの暗号化に加えて事前に機密データを外部へ持ち出し、「支払わなければ公開する」と二段構えで迫る攻撃手法です。従来型が「業務停止」を盾にしていたのに対し、二重恐喝は「業務停止」と「情報漏えい」の双方を武器にし、被害組織への圧力を高めています。

二重恐喝型ランサムウェアの定義

攻撃者は標的に侵入後、機密性の高いファイルサーバーやデータベースから情報を窃取し、続けてランサムウェア本体を起動して暗号化します。被害組織は「復旧できない」「漏えいを止められない」二重のリスクに直面します。攻撃者はリークサイト（攻撃グループが運営するTor上のWebサイト）に被害組織名と盗んだデータの一部を掲載し、カウントダウン形式で支払いを迫る手法を定着させました。

従来型と二重恐喝の違い｜暗号化／窃取／脅迫の三軸比較

両者の違いを三つの軸で整理します。

二重恐喝の時代には、「バックアップを取っているから大丈夫」という旧来の安心材料が成立しなくなったといえます。

二重恐喝が主流化した3つの背景

主流化の背景には3つの構造的要因があります。

第1に、バックアップ普及による攻撃者側の収益悪化。バックアップ運用が整備されると、暗号化のみで身代金を回収できる確率が下がります。攻撃者は新たな圧力源としてデータ窃取を併用するようになりました。

第2に、RaaS（Ransomware as a Service）モデルの台頭。開発者と実行犯が分業化され、技術力の低い攻撃者でも高度な攻撃が可能になりました。RaaSオペレーターはアフィリエイト（実行犯）にランサムウェア本体・リークサイト・交渉インフラを提供し、身代金の一部を受け取るビジネスモデルが定着しています。

第3に、リークサイトの常態化。LockBitやBlackCat（ALPHV）などの主要グループは、独自のリークサイトで被害組織名を晒すことを攻撃手法に組み込みました。掲載は取引先・監督官庁・メディアにも可視化され、組織への無形の圧力が大きくなります。

IPAと警察庁の最新統計が示す日本国内の実態

IPA「情報セキュリティ10大脅威 2026」では組織における脅威の第1位がランサムウェア攻撃で、複数年連続の1位を維持しています。警察庁の「ランサムウェアによる被害の発生状況」でも、令和6年では対価要求手口を確認した134件中111件（82.8%）が二重恐喝型と示されました。被害は大企業に限らず中堅・中小企業にも広く波及し、業種を問わない普遍的なリスクです。

参考:IPA「情報セキュリティ10大脅威 2026」

参考:警察庁「ランサムウェア被害防止対策」

参考:警視庁「マルウェア『ランサムウェア』の脅威と対策（脅威編）」

二重恐喝の攻撃フロー完全分解｜侵入から脅迫までの7ステップ

対策を組み立てるには、攻撃者がどう侵入し、どこでデータを盗み、いつ暗号化するかというアタックチェーンの理解が欠かせません。ここでは典型的な攻撃フローを7ステップに分解し、各段階での攻撃者の狙いと防御側のチェックポイントを整理します。MITRE ATT&CKフレームワークの戦術（Tactics）と対応づけて読むと、実装に落としやすくなります。

ステップ1: 初期侵入（VPN脆弱／RDP／フィッシング／公開資産）

最初の関門は「初期侵入」です。代表的な経路は4つ。1つ目はインターネットから到達できるVPN機器の脆弱性、2つ目はRDP（リモートデスクトップ）の認証情報を総当たりやリスト攻撃で奪う手口、3つ目はメールやSMSによるフィッシング、4つ目は公開Webアプリ・クラウド管理コンソール・外部露出したストレージなど公開資産の設定不備や脆弱性です。後段で詳しく述べるとおり、ここに「SaaSアカウントの乗っ取り」が新たな経路として加わってきています。

ステップ2-3: 足場確保と偵察（C2通信・LotL・特権昇格）

侵入直後、攻撃者は外部のC2サーバー（コマンド＆コントロールサーバー）と通信する経路を確立し、内部を偵察します。多用されるのが「LotL（Living off the Land）」で、Windows標準搭載のPowerShell、PsExec、WMI、リモート管理ツールなど正規のツールを悪用し、活動の痕跡を目立たなくします。同時にローカル管理者権限の奪取やドメイン管理者への特権昇格が進みます。

ステップ4: 水平展開（Active Directory乗っ取り・他端末感染）

足場と特権を得た攻撃者は、社内ネットワーク内で他端末・サーバーへ感染を広げる「水平展開（Lateral Movement）」に進みます。中堅エンタープライズのオンプレミス環境では、Active Directoryの管理者アカウントを奪取されるとドメイン参加端末すべてへ横断的にアクセスできてしまいます。攻撃者はファイルサーバー、データベース、バックアップ装置までを射程に支配範囲を広げます。

ステップ5: データ窃取（C2経由・クラウドストレージ悪用）

水平展開を終えた攻撃者は、暗号化前に機密データを外部へ持ち出します。多用される経路は、自前のC2サーバーへの分割アップロード、Mega・Dropbox・MediaFireなどのクラウドストレージ、Rcloneのようなファイル転送ツールの悪用です。中堅エンタープライズでは対象データが顧客個人情報・財務データ・知的財産・取引先情報など多岐にわたり、窃取のリスクは事業全体に及びます。

ステップ6-7: 暗号化と脅迫（リークサイト掲載・カウントダウン）

データ窃取が終わると、攻撃者はランサムウェア本体を一斉展開します。ファイルサーバー、エンドポイント、仮想基盤のホストOSやハイパーバイザー、バックアップ装置までを暗号化し、業務を止めにかかります。同時に身代金要求書（Ransom Note）が表示され、Tor上の交渉サイトのURLと支払い期限が提示されます。期限までに応じない場合は、リークサイトに被害組織名と盗んだデータの一部が公開され、カウントダウン形式で全データの公開期日が突きつけられる流れが定型化しています。

参考:MITRE ATT&CK

参考:LAC WATCH「二重脅迫型ランサムウェア攻撃を想定したペネトレーションテスト」

参考:Check Point「ダブルエクストーション・ランサムウェアとは」

主要攻撃グループの最新動向｜LockBit・BlackCat・Cl0pほか

攻撃グループの動向は防御戦略の検討に役立ちます。ただしグループ名と手口は流動的で、摘発・解散・再ブランド化を経て新しい名前で再登場するケースが繰り返されてきました。重要なのは特定グループ名を追うことではなく、彼らの戦術・技術・手順（TTPs）に基づいて自社の防御を設計することです。

2026年時点で活動が観測される主要グループ

LockBitは2024年2月の国際捜査作戦「Operation Cronos」（英NCAやFBIなどが連携）でリークサイトやインフラの一部が押収され、組織としての影響力は低下しました。その後もリブランドの動きが観測されており、戦術が他グループへ流出している点も注視が必要です。

BlackCat（別名ALPHV）は、Rust言語実装のランサムウェアを用いるRaaSグループとして登場し、リークサイト機能を高度化させました。2023年12月にFBIが復号ツールを公開し、2024年には大規模な内部抗争（医療機関への攻撃を巡るアフィリエイトとの分配トラブル）を経て分裂・再編。元アフィリエイトはRansomHubなど別グループへ移籍したと報じられています。

Cl0pはファイル転送ソフトウェアのゼロデイ脆弱性を狙った大規模窃取で知られ、暗号化を行わずデータ窃取と脅迫だけで完結させる「データ窃取型恐喝」も併用します。Akiraは製造業・金融機関を中心に2023年以降に急成長した新興グループで、二重恐喝を基本戦術にしています。Play・RansomHubも二重恐喝とリークサイト掲載を標準装備に活動を続けています。

攻撃グループに依存しない防御設計の考え方

主要グループは摘発で一時的に弱体化しても、TTPsはアフィリエイト経由で他グループへ受け継がれます。したがって防御設計は「特定グループの存在を前提とせず、二重恐喝に共通するアタックチェーン（侵入→偵察→水平展開→窃取→暗号化）に着目する」のが基本方針です。次章で扱う5層防御フレームは、この考え方を実装可能な形に整理したものです。

参考:トレンドマイクロ「Operation Cronos以降のLockBit動向」

参考:Secureworks「法執行機関によるALPHV/BlackCatへの対応」

参考:Akamai「LockBitランサムウェアとは」

参考:SOMPO CYBER SECURITY「二重恐喝（用語集）」

二重恐喝が従来型対策（バックアップ依存）を無効化する理由

長く「ランサム対策＝バックアップ」とされてきた前提は、二重恐喝の登場で揺らぎました。バックアップは事業継続に欠かせない基盤ですが、データ流出を止める手段ではありません。バックアップで守れる範囲と守れない範囲を整理し、データ流出が事業に与える影響と被害コストを確認します。

バックアップが守れる範囲・守れない範囲

バックアップで守れるのは「業務システムの復旧」と「身代金支払いの回避」までです。暗号化されたデータを別世代のバックアップから書き戻せば、業務再開は一定時間で達成できます。しかし、流出した情報は取り戻せません。攻撃者はすでにコピーを保有しており、リークサイト掲載・データ取引市場での売買・第三者への二次配布を防ぐ手段はありません。

データ流出が引き起こす5つの二次被害

データ流出は、業務復旧後にも長く尾を引く5つの二次被害をもたらします。

1. 漏えい通知義務への対応コスト（個人情報保護法では、要配慮個人情報や1000人を超える漏えいなどで本人への通知と個人情報保護委員会への報告が原則義務化）
2. 訴訟・損害賠償リスク（顧客・従業員・取引先からの集団訴訟、慰謝料請求）
3. 取引停止・契約解除（重要顧客のサプライチェーンセキュリティ要件への抵触）
4. 株価・信用格付けへの影響（上場企業では適時開示・株主対応も発生）
5. レピュテーション低下（ブランド毀損・採用への波及・取引先の信用低下）

これらは復旧後にも数年単位で影響が残るため、暗号化被害より長期かつ広範な経営インパクトを持ちます。

IBM Cost of a Data Breachに見る平均被害額

IBM社が毎年公開する「Cost of a Data Breach Report」では、世界の組織が経験したデータ侵害の平均コストが集計されています。2025年版では世界平均コストが4.44百万米ドル（約7億円）に達し、検知・通知・事後対応・逸失収益などの内訳ごとに金額が示されています。ランサムウェア事案では身代金支払いを除いても被害額は高止まりし、業務停止と情報漏えいが重なる二重恐喝（ダブルエクストーション）ではコストはさらに膨らみます。いずれにせよ「億円単位」で論じるべき経営課題であることは継続して示されています。

「侵入される前提」へのパラダイムシフト

これらをふまえると、防御の前提は「侵入を完全に防ぐ」から「侵入される前提で被害を最小化する」へ転換する必要があります。経済産業省「サイバーセキュリティ経営ガイドライン」やNIST Cybersecurity Frameworkも、統治・識別・防御・検知・対応・復旧の6機能（CSF 2.0、2024年2月）をバランスよく設計することを推奨しています。次章の5層防御フレームは、このパラダイムシフトを現場の実装に翻訳したものです。

参考:IBM「Cost of a Data Breach Report」

参考:個人情報保護委員会「漏えい等の対応」

参考:経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」

参考:cloud.watch「NTTデータ新井氏インタビュー」

二重恐喝対策の核心｜5層防御フレーム（侵入・拡散・検知・復旧・初動）

二重恐喝対策の体系として「5層防御フレーム」を提案します。「侵入されにくくする／広げにくくする／持ち出しを見つける／復旧できる／初動で迷わない」の5層を縦に積み上げ、それぞれに必要な技術・運用・組織を割り当てる考え方です。NIST Cybersecurity Framework 2.0の6機能（Govern／Identify／Protect／Detect／Respond／Recover）を、二重恐喝の文脈に合わせて再構成したものとお考えください。なお、CSF 2.0で新設されたGovern（統治）は特定の層に収まらず、全5層を横断する経営・リスク管理機能として位置づけられます。リスク許容度の設定・セキュリティ方針の承認・投資判断・サプライチェーンガバナンスなど、経営レベルの意思決定をGoverが担います。

第1層 侵入されにくくする｜MFA・パッチ・公開資産棚卸・メール対策

攻撃者の足を入り口で止める層です。中堅エンタープライズの実務で優先度が高いのは次の4点。第1に、境界アクセス（VPN、リモートデスクトップ、SaaS、クラウドコンソール）への多要素認証（MFA）の徹底。第2に、インターネット境界機器・公開Webアプリ・ハイパーバイザーへの脆弱性パッチ適用速度の向上です。公知脆弱性のExploit化までの時間が年々短くなり、月次パッチサイクルでは間に合わない領域が広がっています。第3に、外部公開資産（ドメイン・IPアドレス・クラウドストレージ・公開リポジトリ等）の棚卸と継続監視。第4に、メールゲートウェイでの添付ファイル・URLサンドボックス検査と、ユーザー向けフィッシング訓練の継続実施です。

第2層 広げにくくする｜特権ID管理・セグメンテーション・AD保護・LAPS

侵入されても被害を局所化する層です。特権ID管理（PIM/PAM）でドメイン管理者・サーバー管理者・SaaS管理者の権限を必要最小限にし、利用ログを完全に記録します。ネットワークセグメンテーションでフラット構造を分割し、水平展開のコストを引き上げます。Active Directoryには、Tier 0/1/2の階層分離、特権アカウントの専用管理端末（PAW）からの操作徹底、Krbtgtの定期ローテーション、LAPS（Local Administrator Password Solution）によるローカル管理者パスワードのランダム化を組み合わせます。ここでつまずくと被害範囲が組織全体へ即時拡大しがちです。

第3層 持ち出しを見つける｜EDR・NDR・DLP・SaaS監査ログ・異常通信検知

暗号化に踏み切る前のデータ窃取段階で異変を捉える層です。エンドポイントはEDR（Endpoint Detection and Response）で異常プロセス・横展開の挙動を検知。ネットワークはNDR（Network Detection and Response）でC2通信・大量アップロードを検知。データはDLP（Data Loss Prevention）で持ち出しを制御します。クラウド・SaaS側は、Microsoft 365やGoogle Workspaceの監査ログをSIEM/XDRに集約し、異常な大量ダウンロード・大量共有・国外IPからのアクセスを継続監視します。窃取は「一度に大量」ではなく「分散して長時間」で行われるため、単発アラートだけでなく長期トレンドでの検知設計が欠かせません。

第4層 復旧できる｜3-2-1-1-0・イミュータブル・エアギャップ・RTO/RPO

被害を受けても事業を再開できる復旧能力の層です。バックアップ設計の基本は「3-2-1ルール」（3つのコピー、2種類のメディア、1つはオフサイト）ですが、二重恐喝の時代には拡張版の「3-2-1-1-0ルール」（さらに1つはオフライン／イミュータブル保管、復元検証でエラー数0）が国際的に推奨されています。イミュータブルバックアップは、書き込み後一定期間は変更・削除できないストレージ機能で、攻撃者が管理者権限を奪っても破壊できません。エアギャップは物理的・論理的にネットワークから切り離した保管手段です。RTO（目標復旧時間）とRPO（目標復旧時点）は業務影響分析に基づき再定義し、ランサム前提でも維持できる水準まで引き上げます。

第5層 初動で迷わない｜IRプレイブック・法務・広報・監督官庁通知

インシデント発生から最初の24〜72時間を迷わず動くための層です。IR（インシデント対応）プレイブックには、検知・封じ込め・根絶・復旧・教訓の各フェーズで誰が何を判断するかを明記し、エスカレーション基準・社内通報経路・外部委託先（CSIRT支援ベンダー、フォレンジック、法律事務所、広報支援）の連絡先を一元化しておきます。法務・広報・監督官庁への通知（個人情報保護委員会、所管省庁、警察）の判断フローも、平時から型化しておきます。経済産業省とIPAのガイドラインや、JPCERT/CCの早期警戒情報も活用してください。

5層は単独で完結するものではなく、最小権限・ゼロトラスト・可視化という共通前提のうえに積み重ねます。次章では、上位記事ではほとんど扱われない「侵入経路の盲点」を掘り下げます。

参考:NIST「Cybersecurity Framework」

参考:ネットアテスト「二重恐喝型ランサムウェアとは（10分で解説）」

参考:LANSCOPE「二重脅迫型ランサムウェアとは」

参考:JPCERT/CC

見落とされる侵入経路｜SaaS・退職者アカウント・シャドーITが盲点になる構造

対策記事では侵入経路の代表例としてVPN・RDP・フィッシングが繰り返し語られます。一方、中堅エンタープライズで近年増えている経路には、SaaSアカウント乗っ取り・退職者アカウントの放置・シャドーIT／シャドーAIといった「人とアカウント管理」に起因するものがあります。この盲点に踏み込み、SaaS管理プラットフォームでの統制までを実装プレイブックとして整理します。

SaaSアカウント乗っ取りから始まるランサム侵入シナリオ

ランサム攻撃の起点が社員のSaaSアカウント乗っ取りであるケースが増えています。よくあるシナリオは次のとおりです。

ステップ1で、攻撃者はフィッシングメールやリスト攻撃で社員のMicrosoft 365アカウントを奪取します。MFAが未設定なら即時成功し、設定されていてもMFA疲労攻撃やSIMスワップで突破される事例があります。ステップ2で、奪取したアカウントでOneDrive・SharePoint・Teamsの機密ファイルを大量ダウンロード。ステップ3で、社員がアクセスできる業務SaaS（Salesforce、Box、Slack、各種人事・経理SaaSなど）からも情報を吸い上げます。ステップ4で、社員のメールボックスから取引先や社内IT部門宛に内部フィッシングを発信し、より権限の強いアカウントへ足場を伸ばします。最終的にSaaSから抜き出した認証情報や社内ネットワーク情報をもとに、オンプレミスのVPN・社内ADへ侵入して暗号化と二重恐喝へ進みます。

厄介なのは、第1層でVPN・RDPをロックダウンしていてもSaaS側が緩ければ入り口を開け放しているのと変わらない点です。SaaSは社外からの正規アクセスが前提のため、境界防御では守れません。

退職者アカウント放置がランサム侵入経路化する3つの構造

退職者アカウントの放置は、ランサム侵入の温床として問題視され続けています。構造的な弱点は3つあります。

第1に、IDライフサイクルの分断。人事システムでは退職処理が済んでも、SaaSやオンプレミスのアカウントは個別管理者の手動停止に頼っており、停止漏れが起こります。中堅エンタープライズでは利用SaaSが数十〜100種類を超える組織も珍しくなく、手動で追い切るのは現実的ではありません。

第2に、個人デバイス・個人アカウントへの認証連携。退職時にSSO（シングルサインオン）に連携していないSaaSの認証が、個人メール宛のリセット機能で復活させられるケースや、個人アカウントとして引き継がれるケースが見られます。

第3に、権限の継承漏れ。退職者が共有していたサービスアカウント・特権アカウント・APIキーが残置され、ローテーションされないまま存在し続けます。攻撃者にとっては気づかれにくい長期的なバックドアとして魅力的です。

実務では、退職処理を起点に全SaaSアカウントを自動的に停止・削除する「デプロビジョニング自動化」が必須となります。

シャドーITとシャドーAIが攻撃面を拡げる

シャドーITとは、IT部門が把握していないSaaSやクラウドサービスを部門・個人が独自に契約・利用している状態です。ガバナンスが届かず、MFA未設定や退職時の停止漏れで第1層・第2層の対策がそもそも適用されません。近年は生成AIサービスを業務利用する「シャドーAI」も急速に広がり、機密情報がプロンプト経由で外部にコピーされる漏えい経路として加わっています。

現実的に有効なのは、(1)利用SaaSの自動検出と棚卸、(2)許可リスト・統制ポリシーの整備、(3)代替の安全な公式ツール提供、を組み合わせるアプローチです。

SaaS管理プラットフォーム（SMP）によるアカウントライフサイクル統制

ここまでの課題に対し、SaaS管理プラットフォーム（SaaS Management Platform、SMP）が中核的な役割を果たします。SMPは組織が利用するSaaSを横断的に可視化し、入社・異動・退職に連動した自動プロビジョニング・デプロビジョニングを実現するソリューションです。中堅エンタープライズで活用される主な機能は次のとおりです。

ジョーシスのSaaS管理プラットフォームは、これらの機能を中堅エンタープライズの実務に合わせて統合的に提供しており、ランサム対策の文脈では「侵入経路の盲点を埋める基盤」として位置づけられます。詳細はジョーシス公式サイトをご覧ください。

主要SaaSのMFA・条件付きアクセス・特権分離チェックリスト

主要SaaSで最低限実装したい設定を、簡易チェックリストで整理します。

• Microsoft 365: 全ユーザーのMFA有効化／条件付きアクセスでの国・デバイス制限／グローバル管理者の最小化と専用アカウント分離／監査ログの長期保管設定
• Google Workspace: 2段階認証プロセスの全社強制／コンテキストアウェアアクセスでの条件分岐／特権ロールの分離と最少化／ログのCloud LoggingまたはSIEM連携
• Salesforce: ログイン時間・IP制限／共有設定の見直し／APIアクセスの最小化／変更管理（Change Set）の権限分離
• Box: 共有リンクの有効期限・ドメイン制限／フォルダ単位の権限棚卸／監査ログの定期エクスポート
• Slack/Teams: 外部ゲストアクセスの制御／DLPの導入／重要チャネルでのファイル流出検知

関連記事：SaaS管理とは｜SaaS管理が事業にもたらす変化

関連記事：シャドーITとは

関連記事：SaaSセキュリティのベストプラクティス

参考:Microsoft「条件付きアクセスの概要」

参考:Cloud Security Alliance

参考:IPA「中小企業の情報セキュリティ対策ガイドライン」

中堅エンタープライズ1000+の実装難所｜海外子会社・M&A・SaaS乱立

従業員1000名以上の中堅エンタープライズには、大企業ともスタートアップとも異なる固有の難所があります。「3大難所」と経営層への説明ロジックまでを示します。

海外子会社の防御格差｜本社統制が届かない盲点

中堅エンタープライズの多くは製造・販売・開発の拠点を海外に展開しています。本社が日本で高い水準の統制を敷いても、海外子会社は現地ITベンダーや現地スタッフの裁量任せというケースが少なくありません。ランサム被害の発端が海外拠点で、グローバルADや業務システム経由で本社へ波及する事例は業界横断的に観測されています。

打ち手は、(1)本社が定める最低限の統制基準（MFA・パッチ・EDR・バックアップ・SaaS管理）のグローバル共通ポリシー化、(2)準拠状況の四半期モニタリング、(3)現地への技術支援とエスカレーションパス整備の3点が現実的です。海外子会社のSaaS利用状況を本社側で可視化する場面は、SaaS管理プラットフォームが特に有効に働く領域です。

M&A後の統合難所｜重複ID・特権集中・退職者残存

M&Aで事業を拡大している組織では、買収前の企業ごとに異なるID基盤・SaaS群・セキュリティポリシーが残存し、IDの重複や特権の集中、買収前の退職者アカウント残存といった問題が長期化しがちです。これらは攻撃者にとって「掃除されていない裏口」となり、ランサム侵入の温床になります。

統合プロジェクトでは、IDの統合（IDaaS／IGAでの一元化）、SaaS契約の棚卸と統廃合、特権アカウントの再設計とローテーション、過去退職者アカウントの一斉棚卸を計画的に実施することが要点です。M&A完了から数年経って統合を放置している組織ほど、リスクが累積しています。

SaaS乱立が攻撃面を膨張させる構造

中堅エンタープライズで利用されるSaaSの種類は、部門・拠点単位の独自契約も含めると数十〜100種類を超えることが珍しくありません。種類が増えるほど、設定不備・退職処理漏れ・シャドーITの確率は線形以上に増加します。さらにSaaSは認証連携・データ連携を介して相互に影響しあうため、1つのアカウント侵害が連鎖的に被害を広げます。

SaaSの数を絞るのが現実的でない以上、必要なのは「数を許容したまま統制を効かせる」運用基盤です。これがSaaS管理プラットフォームの中核的な役割で、可視化・棚卸・自動化を一括で担うインフラとして位置づけられます。

中堅エンプラがランサム対策で経営層に説明すべき論理

CISO・情報システム部門責任者が経営層・取締役会へ予算・体制を説明する際は、以下の論理構造を推奨します。

1. ランサム被害は事業中断のみならず、情報漏えい・訴訟・取引停止・株価影響を伴う複合経営リスクであることの認識合わせ
2. IPA・警察庁・IBM Cost of a Data Breach等の一次情報による業界水準・被害規模の客観的提示
3. 自社の各層（侵入／拡散／検知／復旧／初動）での現状ギャップ分析
4. 中堅エンタープライズ特有の難所（海外子会社・M&A・SaaS乱立）における自社の課題仮説
5. 投資ロードマップ（年次計画・優先順位・想定成果指標）

経営層が問うのは「いくらかけて、何が、どう良くなるのか」です。技術論ではなく経営リスクの言葉で語る準備が肝心です。

関連記事：アカウントプロビジョニングの自動化 関連記事：ITガバナンスとSaaS管理戦略

参考:経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」‍

参考:IPA「サイバーセキュリティ経営ガイドライン実践のためのプラクティス集」

参考:総務省「サイバーセキュリティ対策情報」

ランサム特化BCPと身代金支払い意思決定フレーム

二重恐喝に対するBCP（事業継続計画）は、自然災害を想定した従来型のIT-BCPとは設計思想が異なります。攻撃者が能動的に妨害してくる前提で、RTO/RPOの再定義、身代金支払いの意思決定フレーム、リークサイト掲載時の対外コミュニケーションまでを事前に型化しておく必要があります。

[画像: 身代金支払い意思決定フローチャートと、インシデント発生から72時間のBCP時間軸を組み合わせた図。判断ポイントごとに「経営層」「法務」「監督官庁」の関与タイミングを併記]

通常のIT-BCPとランサム特化BCPの違い

通常のIT-BCPは地震・火災・停電など物理的災害を中心に想定し、「自然事象は能動的に妨害してこない」前提でバックアップ拠点切替・代替設備での業務継続・データセンター冗長化を設計します。

ランサム特化BCPには、(1)攻撃者が能動的にバックアップを破壊しに来る、(2)業務システムだけでなく認証基盤・運用管理基盤までが暗号化対象となる、(3)情報漏えいを伴う、(4)対応中も追加侵害の可能性が残る、という前提が加わります。設計には「侵害された前提」での切り戻し手順、認証基盤の再構築手順、情報漏えい通知の同時並行対応が組み込まれます。

RTO・RPOをランサム前提で再定義する

RTO（Recovery Time Objective）・RPO（Recovery Point Objective）を再定義する際のポイントは3点です。

第1に、業務影響分析（BIA）で「事業停止が経営インパクトに転化するまでの時間」を再評価します。サプライチェーン取引や金融サービスでは数時間で影響が顕在化するため、RTOを短く設定します。第2に、復旧対象の単位を「アプリケーション」だけでなく「認証基盤」「特権アカウント基盤」「ネットワーク基盤」まで含めて定義します。これらが復旧しないとアプリケーション復旧が連鎖的に止まります。第3に、バックアップの完全性検証（イミュータブル化と復元演習）をRTO/RPO算出の前提条件に加えます。バックアップが汚染されていれば、計算上のRTO/RPOは成立しません。

身代金支払い意思決定フレーム｜原則と例外条件の事前合意

「身代金は支払わない」が国内外の法執行機関・専門機関の基本スタンスです。警察庁・FBI・No More Ransomなどが支払いを推奨しない理由は、(1)復号鍵提供の保証がない、(2)犯罪組織への資金提供となる、(3)再標的化リスクが高まる、(4)漏えいデータ削除の保証もない、の4点です。

ただし現実には、人命・社会インフラ・重大な事業継続性が関わる例外的状況も想定する必要があります。実務では「原則として支払わない／法務・経営層・必要に応じて警察・監督官庁との協議を経た例外条件を事前定義する」という二段構えの意思決定フレームが推奨されます。平時に経営層・取締役会・法務・監査・情報セキュリティ責任者の合意で「支払い禁止原則」と「例外検討の要件」を文書化し、インシデント発生時はその枠組みに沿って判断します。

支払いの法的リスク（OFAC・反社条項・各国法令）

身代金支払いには法的リスクも伴います。米国財務省OFACは特定の制裁対象組織への身代金支払いが米国法違反となる可能性を警告しており、グローバル展開する日本企業は米ドル建て取引・米国子会社経由・米国制裁対象への支払いに注意が必要です。国内では暴力団排除条例や反社会的勢力との取引禁止規定が問題になり得るほか、上場企業では金融商品取引法上の適時開示義務にも関わってきます。

平時に法律事務所と相談して見解を整理しておくのが望ましく、インシデント発生時に初めて議論を始めては間に合いません。

リークサイト掲載時の対外コミュニケーション・法務対応フロー

リークサイトに自社名と盗まれたデータの一部が掲載された場合の対外対応も、平時に型化しておく領域です。実務では以下の流れが多くなります。

1. 検知（外部ベンダー・SOC・OSINTモニタリングからの通知）
2. 事実確認（フォレンジック・侵害範囲特定・データ内容確認）
3. 法的整理（個人情報保護委員会への報告対象か、適時開示対象か、所管省庁通知が必要か）
4. ステークホルダー通知（取引先・顧客・従業員・株主・監督官庁）
5. 公表方針決定（プレスリリース、Q&A、記者会見）
6. 継続モニタリング（追加掲載、二次配布、SNSでの拡散）

これらを、広報・法務・情報セキュリティ・営業・人事を巻き込んだクロスファンクショナルチームで動かす体制を、インシデント発生時の組織図とあわせて整備しておきます。

SaaSアカウント侵害時の対応プロセスは、アカウントプロビジョニングの自動化もあわせてご参照ください。

参考:米国OFAC「ランサム支払いに関するアドバイザリー」

参考:Newton Consulting「ランサムウェア特化型BCP」

参考:Guardian「IT-BCP策定ガイド」

参考:No More Ransom

三重・四重恐喝への備え｜DDoS・取引先脅迫・株主／顧客への直接連絡

二重恐喝は主流の手口となり、攻撃者は三重・四重恐喝へと圧力を多層化させています。最新動向と、サプライチェーン経由の波及防止、対外発信の事前準備を解説します。

三重恐喝（DDoS）と四重恐喝（取引先脅迫）の最新事例

三重恐喝は、二重恐喝（暗号化＋データ窃取）に加え、被害組織のWebサイトやサービスにDDoS攻撃を仕掛けて業務妨害と圧力を強化する手口です。サービス提供期間中の攻撃は顧客対応の混乱を直接引き起こします。

四重恐喝はさらに進んだ段階で、攻撃者が被害組織の顧客・取引先・株主・従業員・監督官庁・メディアへ直接連絡を取り、「この組織から情報が流出した」「身代金を支払わせるよう圧力をかけてほしい」とコンタクトしてくるパターンです。過去の大型インシデントでは、攻撃者が被害組織の顧客に個別メールを送付した事例が報じられています。

サプライチェーン経由の波及防止｜取引先との事前合意

波及を抑えるには、平時から取引先と「インシデント発生時の連絡基準・連絡経路・必要な情報共有の範囲」を合意しておくのが有効です。重要顧客やデータの預託契約がある取引先については、「データ漏えい発生時の通知期限」「対応の窓口担当」「再発防止策提示の期限」を契約条項に組み込むケースも増えています。M&Aや新規取引開始時のセキュリティアセスメント（サードパーティリスク管理、TPRM）も波及防止の重要なレイヤーです。

顧客・株主・メディアへの対外発信プレイブック

四重恐喝に備えた対外発信のプレイブックは、平時に作っておかないと現場で動けません。プレイブックには、(1)初動声明テンプレート（事実確認中段階の暫定発信）、(2)詳報テンプレート（被害範囲・対応状況・お詫び）、(3)Q&A（想定質問と回答）、(4)記者会見実施基準と進め方、(5)個別連絡優先順位（重要顧客・大口株主・規制当局）を盛り込みます。広報部門と法務部門が共同でメンテナンスし、年次のリハーサル（机上訓練）を実施する運用が効果的です。

参考:SOMPO CYBER SECURITY「二重恐喝（用語集）」

参考:JPCERT/CC「早期警戒情報」

参考:IPA「情報セキュリティ10大脅威 2026」

ランサム対策チェックリスト50項目【DL資料化】

5層防御フレームを実装に落とすチェックリストを、各層10項目ずつ計50項目で整理しました。記事内では各層の代表項目を抜粋し、全50項目はダウンロード資料でご提供しています。情報システム部門・CISO・内部監査部門での自社評価、サイバー保険更新時のセルフチェック、経営層への状況報告にご活用ください。

第1層チェックリスト｜侵入されにくくする（抜粋5項目）

• VPN・RDP・SaaS・クラウドコンソールのすべてに多要素認証（MFA）を強制している
• 公開Webアプリ・境界機器・ハイパーバイザーの脆弱性パッチを月次以下のサイクルで適用している
• 自社が外部公開している資産（ドメイン・IP・クラウドストレージ・公開リポジトリ）の棚卸を四半期ごとに実施している
• メールゲートウェイで添付ファイルとURLのサンドボックス検査を実施し、フィッシング訓練を年2回以上実施している
• インターネット経由でアクセス可能な認証エンドポイントへのリスクベース認証を導入している

第2層チェックリスト｜広げにくくする（抜粋5項目）

• 特権アカウント（ドメイン管理者・サーバー管理者・SaaS管理者）が必要最小限に絞り込まれ、利用ログが完全に記録されている
• Active DirectoryのTier 0/1/2階層分離と、特権アカウント専用の管理端末（PAW）運用が実装されている
• LAPSによってローカル管理者パスワードがランダム化・自動ローテーションされている
• ネットワークセグメンテーションが業務単位・拠点単位で実装され、フラットなネットワーク構造を排除している
• Krbtgtパスワードの定期ローテーションを実施している

第3層チェックリスト｜持ち出しを見つける（抜粋5項目）

• すべての業務エンドポイントにEDRが導入され、24時間365日のSOC/MDR運用が実施されている
• ネットワーク側にNDRまたは類似の異常通信検知ソリューションが配置されている
• DLPによる外部送信制御が、メール・Web・SaaSのすべてのチャネルで適用されている
• Microsoft 365・Google Workspace等のSaaS監査ログがSIEM/XDRに集約され、異常な大量ダウンロード・大量共有が検知される
• 国外IPからのアクセス・夜間の大量転送・通常業務外の挙動が継続的にモニタリングされている

第4層チェックリスト｜復旧できる（抜粋5項目）

• 3-2-1-1-0ルールに基づくバックアップ設計（3コピー・2メディア・1オフサイト・1オフライン／イミュータブル・復元エラー0）が実装されている
• イミュータブルバックアップまたはエアギャップ保管が、最重要データセットすべてに適用されている
• バックアップの復元演習を年2回以上実施し、RTO/RPOが業務影響分析と整合している
• 認証基盤（Active Directory、IDaaS、特権ID管理）の復旧手順がランサム前提で整備されている
• バックアップ管理者アカウントが、業務システムの管理者と分離されている

第5層チェックリスト｜初動で迷わない（抜粋5項目）

• IRプレイブックが文書化され、検知・封じ込め・根絶・復旧・教訓の5フェーズで判断者と判断基準が明記されている
• 外部の支援先（CSIRT支援ベンダー、フォレンジック、法律事務所、広報支援）が事前に契約・連絡先一覧化されている
• 個人情報保護委員会への報告フロー、所管省庁通知フロー、警察への被害届の判断基準が文書化されている
• 取引先・顧客・株主・メディアへの対外発信プレイブック（初動声明・詳報・Q&A・記者会見基準）が準備されている
• 年1回以上の机上訓練（テーブルトップ演習）でIR体制が更新されている

全50項目チェックリストを資料でダウンロード

抜粋した25項目に対し、残り25項目を含む全50項目の詳細版チェックリストをPDFでご提供しています。「自社のランサム対策の現状を網羅的に評価したい」「経営層・取締役会向けに体系化した資料が欲しい」「サイバー保険更新の自己点検に使いたい」方は、ジョーシスの資料ダウンロードページからご請求ください。

参考:IPA「情報セキュリティ対策実践チェックシート」

参考:CIS Controls v8

参考:NIST「Cybersecurity Framework」

ランサム対策ツール選定ガイド｜EDR・NDR・IDaaS・SaaS管理・IRM・バックアップ

5層防御フレームの実装には複数のセキュリティ製品・サービスを組み合わせる必要があります。主要なツール領域を6カテゴリに整理し、役割・中堅エンタープライズ視点での選定基準・優先導入順・SaaS管理プラットフォームの位置づけを解説します。

6カテゴリの役割分担マトリクス

ツール領域は、大きく6カテゴリに整理できます。

中堅エンタープライズ向け優先導入順｜小さく始めて積み上げる

すべてを一度に導入するのは現実的ではありません。実務では次の優先順位での段階導入が効果的です。

「侵入と拡散の最低ライン」と「復旧の最低ライン」を先に底上げし、検知の高度化や持ち出し制御は次のフェーズで上積みするほうが、限られた予算で実効性を出しやすいためです。

選定の落とし穴｜ツール乱立とサイロ化を避ける

ツールを増やすほど運用工数が増え、検知ログがサイロ化し、結局誰も全体を把握できない状態に陥りがちです。選定基準として重視したいのは、(1)既存環境（クラウド・オンプレ・SaaS）との統合性、(2)運用負荷（自社運用かMDR委託か）、(3)海外子会社・グローバル展開対応、(4)自動化のしやすさ、(5)エビデンス取得・レポート機能、の5点です。

SaaS管理プラットフォームがランサム対策で果たす役割

SaaS管理プラットフォームは、5層フレームのうち主に第1層（侵入）と第2層（拡散）に効きます。具体的には、(1)利用SaaSの可視化とシャドーIT検出で攻撃面を縮減、(2)アカウントライフサイクル自動化で退職者放置・権限超過を排除、(3)MFA・SSO・条件付きアクセスの統制状況の可視化、(4)監査ログ集約で第3層（検知）の素材を提供、という役割を担います。EDRやIDaaSとは競合せず、互いに補完しあう関係です。

ジョーシスのSaaS管理プラットフォーム概要

ジョーシスは、中堅エンタープライズのSaaS管理を一元化するクラウド型プラットフォームです。利用中SaaSの自動検出、入社・異動・退職に応じた自動プロビジョニング・デプロビジョニング、権限可視化、シャドーIT検出、内部統制レポートを統合的に提供しており、ランサム対策の文脈では「侵入経路としてのSaaS／退職者アカウント／シャドーITを継続的に統制するインフラ」として位置づけられます。導入事例・機能詳細・無料相談についてはジョーシス公式サイトをご参照ください。

ツール選定の周辺論点として、シャドーITとは、SaaS管理とは、SaaSセキュリティのベストプラクティスもあわせてご確認ください。

参考:Gartner「Magic Quadrant for Endpoint Protection Platforms」

参考:IPA「中小企業の情報セキュリティ対策ガイドライン」

参考:中部テレコミュニケーション「ランサム対策バックアップ」

ランサム二重恐喝対策の要点と次の一手

ここまでの内容を踏まえ、要点と「次の一手」を整理します。

5つの要点

1. 二重恐喝はバックアップ依存の従来型対策では守りきれない複合経営リスクであり、暗号化と情報漏えいの双方を前提に防御を再設計する
2. 防御の核心は「侵入されにくくする／広げにくくする／持ち出しを見つける／復旧できる／初動で迷わない」の5層フレームに落とし込み、各層の最低ラインを揃える
3. 見落とされがちな侵入経路として、SaaSアカウント・退職者アカウント・シャドーITの盲点を、SaaS管理プラットフォームで統制する
4. 中堅エンタープライズには海外子会社・M&A・SaaS乱立という固有の難所があり、これを経営層に説明する論理を持つ
5. ランサム特化BCPと身代金支払い意思決定フレームを平時に整備し、初動で迷わない体制を作る

まず1ヶ月で着手すべき3つのアクション

ジョーシスは、SaaS管理プラットフォームを通じて中堅エンタープライズのランサム対策における「侵入経路の盲点」と「アカウントライフサイクル統制」を支援しています。資料ダウンロード・無料相談はジョーシス公式サイトよりお問い合わせください。

よくある質問（FAQ）

Q1. 二重恐喝と二重脅迫は何が違いますか？

実務上はほぼ同義です。英語の「Double Extortion」を訳す際に、「二重恐喝」「二重脅迫」「ダブルエクストーション」のいずれもが使われており、メディアやベンダーで表記が分かれます。攻撃手口の中身（暗号化＋データ窃取＋リークサイト掲載）は共通です。

Q2. バックアップを取っていれば二重恐喝の被害は防げますか？

業務復旧の観点では欠かせない基盤ですが、流出した情報は取り戻せないため、完全な防御策にはなりません。バックアップに加え、第1層（侵入対策）・第2層（拡散対策）・第3層（窃取検知）・第5層（初動対応）の組み合わせが必要です。

Q3. 身代金は払うべきですか？

警察庁・FBI・No More Ransomを含む各国機関は支払わないことを原則として推奨しています。理由は、(1)復号鍵提供の保証がない、(2)犯罪組織への資金提供となる、(3)再標的化リスクが高まる、(4)漏えいデータ削除の保証もない、の4点です。一方、人命・社会インフラ等が関わる例外的な状況もあるため、平時に経営層・法務・監査と「支払わない原則と例外検討の要件」を文書化しておくことを推奨します。

Q4. SaaSアカウントが侵害されたら何をすべきですか？

最初に行うのは、(1)該当アカウントのパスワードリセットとMFA再登録、(2)アクティブセッションの一斉ログアウト、(3)監査ログでの異常活動範囲特定（メール送受信・ファイル共有・アプリ連携付与）、(4)関連する内部・外部への影響範囲特定（成りすまし送信、共有リンク悪用）、(5)SOC/CSIRTでのフォレンジック判断、です。SaaS管理プラットフォームでアクセス履歴を横断的に可視化できると、影響範囲特定の時間が大幅に短縮できます。

Q5. 中堅企業はEDRとNDRのどちらを優先すべきですか？

一般にEDRを先に導入する組織が多くなります。EDRは端末側の異常挙動を捉えやすく、ランサムウェアの初動段階での隔離にも有効だからです。NDRはEDRが導入できない環境（OT、IoT、ゲスト端末）や、暗号化通信の出口統制を強化したい場面で価値を発揮します。EDRと24時間365日の監視運用（SOC／MDR）を先に整え、その後の段階でNDRやXDRを検討する流れが現実的です。

Q6. リークサイトに自社データが掲載されたら最初に何をすべきですか？

最初の数時間で行うのは、(1)事実確認（フォレンジックで侵害範囲・データ内容を特定）、(2)社内エスカレーション（CISO・経営層・法務・広報）、(3)外部支援先（CSIRT支援ベンダー、法律事務所、広報支援、警察）への連絡、(4)個人情報保護委員会・所管省庁への報告判断、(5)対外発信の初動声明準備、です。平時のIRプレイブックに沿って動けるよう準備しておくことが、初動の速度と質を決めます。

参考:IPA「情報セキュリティ10大脅威 2026」

参考:警察庁「ランサムウェア被害防止対策」

参考:No More Ransom

参考:個人情報保護委員会「漏えい等の対応」

Josysで実現するIT資産・SaaS管理の可視化

事例によってはIT工数を最大50%・ITコストを最大75%削減したケースがあります。（効果は個社の状況により異なります）

資料ダウンロード（無料）

無料デモを申し込む