CyberFix Noteランサムウェアの感染経路と被害最小化。初期侵入を断ち、復旧できる備えをつくる
対象の目安: 情報システム担当・運用担当 / 実務レベル
ランサムウェアは、組織のファイルやシステムを暗号化して使えなくし、復旧と引き換えに金銭を要求する攻撃です。IPAの「情報セキュリティ10大脅威 2025」では、組織向けの脅威として「ランサム攻撃による被害」が引き続き1位に選ばれており、2016年の初選出以来、近年は首位を維持し続けています。もはや一部の大企業だけの問題ではなく、警察庁の集計では被害報告の過半数を中小企業が占めています。
この攻撃が厄介なのは、一度暗号化が走ってしまうと、技術的にデータを取り戻す手段がほとんど残らない点にあります。攻撃者の鍵がなければ復号は事実上不可能で、身代金を払っても完全に戻る保証はありません。つまりランサムウェア対策の本質は、「感染してから何とかする」のではなく、「侵入させない」ことと「侵入されても復旧できる備えを先に用意しておく」ことの二本柱にあります。
この記事では、実際の被害で多い初期侵入経路、データを盗んでから暗号化する「二重恐喝」の仕組み、そして被害を最小化するためのバックアップ設計と隔離の考え方を、運用担当者が自分の環境に当てはめて判断できる粒度まで掘り下げて解説します。
まず押さえる早見表
ランサムウェア対策は、攻撃の流れ(侵入、横展開、窃取、暗号化)のどこを断つかで打ち手が変わります。全体像を一枚で把握しておきます。
| 攻撃の段階 | 攻撃者の狙い | 防御側の主な打ち手 |
|---|---|---|
| 初期侵入 | VPN・RDPの脆弱性や弱い認証情報から入る | パッチ適用、MFA必須化、不要な公開停止 |
| 横展開 | 内部を探索し権限を奪い拡大する | 権限の最小化、内部分割、管理者アカウントの保護 |
| データ窃取 | 暗号化前に重要データを抜き取る | 通信監視、機微データの保護、外部送信の検知 |
| 暗号化・恐喝 | ファイルを暗号化し身代金を要求 | 隔離されたバックアップ、復旧手順の事前整備 |
防御は一点突破ではなく多層で考えます。侵入を完全には防ぎきれない前提で、横展開を遅らせ、最終的に復旧できる備えを置くのが現実的な設計です。
初期侵入経路 ― 今の主流はメールではない
かつてランサムウェアは、不審なメールの添付ファイルやリンクから感染する「ばらまき型」が中心でした。しかし現在主流の「侵入型(人手による)ランサムウェア」は、攻撃者がネットワークに侵入し、内部を調べて権限を奪いながら、最大の被害を与えられるタイミングで暗号化を実行します。この侵入の入り口として圧倒的に多いのが、外部に公開されたVPN機器とリモートデスクトップ(RDP)です。
警察庁が公表している集計では、ランサムウェアの感染経路はVPN機器が最も多く、リモートデスクトップと合わせると侵入経路の大半を占めています。コロナ禍以降にテレワーク用として急いで導入されたVPNが、その後パッチを当てられないまま放置され、既知の脆弱性を突かれて侵入口になるケースが目立ちます。
JPCERT/CCの「侵入型ランサムウェア攻撃を受けたら読むFAQ」も、主な侵入経路として、(1) リモートアクセスの認証情報の窃取やブルートフォース、(2) 外部公開システムの脆弱性の悪用、(3) 管理を委託しているサービス事業者(MSP)経由、(4) 悪意あるメールによる端末のマルウェア感染、を挙げています。ここで誤解しやすいのは、「うちは怪しいメールを開かないよう教育しているから大丈夫」という考えです。今の主流は人の不注意ではなく、公開された機器の弱点を機械的に探して突く侵入であり、教育だけでは塞げません。
社員数が少なく専任のセキュリティ担当はいない。VPN装置は数年前に導入したきりで、ファームウェアの更新通知が来ていたのは知っていたが、業務を止めたくなくて後回しにしていた。攻撃を受けて初めて、その装置に既知の深刻な脆弱性が残っていたと知った。
この声が示すように、初期侵入対策で最も費用対効果が高いのは派手なツールの導入ではなく、外部公開している機器の棚卸しとパッチ適用、そしてVPNやRDPへの多要素認証(MFA)の必須化です。特にMFAは、認証情報が盗まれても侵入を一段階で食い止められる効果が大きく、まず着手すべき施策です。
注意
RDP(ポート3389など)をインターネットに直接公開するのは極めて危険です。攻撃者は常時スキャンしており、弱いパスワードは短時間で破られます。リモートアクセスはVPNやゼロトラスト型のゲートウェイ経由に限定し、いずれの経路にもMFAを必須にしてください。
横展開 ― 一台の感染を全体に広げない
攻撃者は侵入直後に暗号化するわけではありません。多くの場合、まず内部を探索し、より強い権限を持つアカウント(特にドメイン管理者)を奪い、サーバーやバックアップの所在を把握してから、被害が最大になるよう一斉に暗号化を仕掛けます。この「横展開」の段階をいかに遅らせ、検知するかが被害規模を左右します。
横展開を難しくする基本は、権限の最小化とネットワークの分割です。日常業務で管理者権限を常用しない、サーバーごとに到達できる範囲を絞る、といった地道な設計が効きます。とりわけ重要なのは、バックアップ用のサーバーやストレージを、通常の業務ネットワークから論理的・物理的に切り離しておくことです。攻撃者はバックアップを最初に破壊しようとするため、ここが本番系と同じ権限で自由に到達できる状態だと、いざというときに復旧の頼みの綱ごと失います。
メモ
管理者アカウントの保護は横展開対策の要です。管理者アカウントにもMFAを必須にし、日常作業用と管理作業用のアカウントを分け、推測されにくい強固なパスワードを使ってください。攻撃者が管理者権限を握った瞬間、被害は局所から全体へと一気に拡大します。
二重恐喝 ― 暗号化しないだけでは終わらない
近年のランサムウェア攻撃で主要な手口になっているのが「二重恐喝(ダブルエクストーション)」です。攻撃者は暗号化を実行する前に、組織内の機微なデータ(顧客情報、契約書、技術資料など)を外部に盗み出しておきます。そのうえで暗号化を行い、「復旧したければ身代金を払え。さらに払わなければ盗んだデータを公開する」と二段構えで脅します。
この手口が広まったことで、防御側の前提が大きく変わりました。かつては「バックアップから復旧できれば、身代金を払う必要はない」と言えました。しかし二重恐喝では、たとえ暗号化されたデータを自前のバックアップで戻せたとしても、すでに盗まれたデータを公開されるという情報漏えいの脅威が残ります。JPCERT/CCも、攻撃者がリークサイトを設けて被害組織名を公開し、ファイルを暴露すると脅して支払いを迫る実態を解説しています。
JPCERT/CCのFAQでは、攻撃者がリークサイト上で攻撃の事実を公開し、ファイルの暴露をちらつかせて身代金支払いを促す二重恐喝の手口が説明されています。被害発生時の初動と相談先も整理されています。
ここで実務上重要な判断基準があります。それは「身代金を払っても、盗まれたデータが本当に削除される保証はない」という点です。相手は犯罪者であり、約束を守る保証はどこにもありません。支払いは攻撃を助長し、次の標的を生むことにもつながります。だからこそ、暗号化への備え(バックアップ)と並んで、そもそもデータを盗まれにくくする対策(外部への大量送信の検知、機微データの保護、通信の監視)が必要になります。詳しい復旧設計は あわせて読みたい ランサムウェア被害からの復旧とバックアップ設計。3-2-1とイミュータブルで「戻せる」備えをつくる
被害最小化の核心 ― 攻撃者から切り離されたバックアップ
ランサムウェアに対して最後に効くのは、攻撃者の手が届かないバックアップです。逆に言えば、バックアップが本番系と同じネットワークにつながり、同じ管理者権限で書き換えられる状態なら、それは「あるようでないバックアップ」です。攻撃者は復旧を妨げるため、暗号化の前にバックアップを探して破壊・暗号化しようとします。IPAも、バックアップ自体が標的になることを踏まえ、ネットワークから隔離された場所への保管や、取得時以外は外部記憶装置の接続を物理的に切ることが望ましいとしています。
バックアップ設計の指針として広く使われるのが「3-2-1ルール」です。考え方を分解すると次のようになります。
| 数字 | 意味 | ランサムウェア観点での狙い |
|---|---|---|
| 3 | データを3つ持つ(本番+バックアップ2つ) | 一つが暗号化・破壊されても残りで復旧できる |
| 2 | 2種類の異なる媒体に保存する | 単一の故障や障害で全滅しないようにする |
| 1 | うち1つはオフサイト(別拠点)に置く | 火災・盗難や拠点単位の被害でも残る退避先を確保する |
ただし3-2-1はあくまで土台で、本来の「1」は別拠点保管を指し、ネットワーク経由の攻撃そのものを防ぐ仕組みではありません。ランサムウェア対策で決定的に重要なのは、この退避先を攻撃者の手から切り離しておくことです。具体的には、取得後に接続を切るオフラインのストレージ、書き換えや削除を一定期間禁止できるイミュータブル(変更不可)ストレージ、あるいは本番とは別の認証系を持つクラウドのバックアップなどが該当します。常時マウントされたNASにバックアップを取っているだけでは、本番もろとも暗号化される危険がある点に注意してください。NAS活用時の注意は あわせて読みたい ランサム対策に効くバックアップ機器(NAS)の選び方。隔離とスナップショットで復旧力を残す
加えて見落とされがちなのが、復旧テストです。バックアップは「取れていること」ではなく「戻せること」が価値です。実際に隔離環境へリストアして、業務が再開できるかを定期的に確かめておかないと、いざというときにバックアップが壊れていた、世代が足りなかった、手順が分からず時間がかかった、という事態に陥ります。復旧にかかる目標時間(RTO)と、どの時点まで戻せるか(RPO)を決め、その前提でバックアップの頻度と世代数を設計します。
感染を検知したときの初動
万一感染が疑われたら、慌てて端末をシャットダウンする前に、被害を広げないことと証拠を残すことを意識します。JPCERT/CCも、まず正常なバックアップを保護し、感染した機器を隔離して感染拡大を止めることを優先するよう示しています。
- 1
正常なバックアップを守る
まだ無事なバックアップがあれば、ネットワークから切り離して保護します。攻撃者が復旧を妨げようとするため、これを最優先にします。
- 2
感染端末をネットワークから隔離する
感染が疑われる端末はLANケーブルを抜く・Wi-Fiを切るなどして即座に隔離し、横展開を止めます。電源を切ると揮発性の証拠が失われるため、初動では切らない判断もあります。
- 3
影響範囲を把握し記録する
どの端末・サーバーが影響を受けたか、いつ何が起きたかを記録します。ログや脅迫文(ランサムノート)も保全します。後の調査・報告・相談に不可欠です。
- 4
相談・報告窓口に連絡する
社内の責任者に報告し、IPAや警察、JPCERT/CC、契約しているセキュリティ事業者など適切な窓口へ連絡します。個人情報の漏えいが疑われる場合は法令上の報告義務も確認します。
注意
攻撃者から提示された連絡先での交渉や身代金の支払いは、自己判断で進めないでください。支払っても復旧・データ削除の保証はなく、攻撃を助長します。専門家や警察に相談したうえで、組織として方針を決めるべき領域です。
ここで強調したいのは、初動の巧拙が被害規模を大きく左右するということです。隔離が遅れれば横展開が進み、バックアップを守れなければ復旧の手段を失います。だからこそ、感染してから手順を調べるのではなく、誰が何をどの順で行うかを事前に決めて訓練しておくことが、技術的な防御と同じくらい重要になります。
よくある質問
身代金を払えばデータは戻りますか。
中小企業でも狙われるのですか。
バックアップを取っていれば安心ですか。
メール対策をしていれば防げますか。
感染したらまず電源を切るべきですか。
まとめ
ランサムウェア被害最小化チェックリスト
- 外部公開しているVPN・RDPを棚卸しし、パッチを最新に保っているか
- リモートアクセスと管理者アカウントにMFAを必須化しているか
- バックアップを攻撃者から切り離して(オフライン・変更不可で)保管しているか
- 実際に隔離環境へリストアする復旧テストを定期的に行っているか
- 感染検知時の初動(バックアップ保護・隔離・記録・通報)を手順化し訓練しているか
ランサムウェアは「侵入を完全には防げない」前提で備える攻撃です。だからこそ、入り口(VPN・RDP・MFA)を固めて侵入の確率を下げつつ、最終的に攻撃者の手が届かないバックアップで復旧できる状態をつくることが、被害最小化の現実的な答えになります。二重恐喝が一般化した今は、暗号化への備えに加えてデータを盗まれにくくする対策も欠かせません。復旧の設計やバックアップの具体的な選び方は、 あわせて読みたい ランサムウェア被害からの復旧とバックアップ設計。3-2-1とイミュータブルで「戻せる」備えをつくる あわせて読みたい ランサム対策に効くバックアップ機器(NAS)の選び方。隔離とスナップショットで復旧力を残す
出典・参考
関連する記事
ランサムウェア被害からの復旧とバックアップ設計。3-2-1とイミュータブルで「戻せる」備えをつくる
暗号化されたデータは攻撃者の鍵なしには戻せません。本記事は3-2-1ルール、隔離・イミュータブルなバックアップ、そして復旧訓練までを、運用担当が自分の環境で判断できる粒度に噛み砕いて解説します。
ランサム対策に効くバックアップ機器(NAS)の選び方。隔離とスナップショットで復旧力を残す
ランサムウェアはバックアップごと破壊しにいきます。だからNAS選びの軸は容量より「隔離」と「変更不可スナップショット」。3-2-1の原則から実在製品の見極めまで、経営と現場の判断材料を実務目線でまとめます。
MITRE ATT&CKで攻撃を体系的に理解する。戦術と技術のマトリクスを検知・防御にどう活かすか
攻撃者の行動を戦術と技術のマトリクスで整理するMITRE ATT&CKを、原理から実務での使い方まで解説します。検知ルールの評価やレッドチーム演習、脅威インテリジェンスへの活用の勘所を具体的に示します。