急増するランサムウェア攻撃対策を解説

2025年11月15日

アサヒグループホールディングスやアスクルなどが相次いでランサムウェア(身代金要求型マルウェア)の被害に遭っています。日本企業を狙ったサイバー攻撃はこれまで以上に深刻さを増しており、実際に受注・出荷・生産が停止するケースも発生するなど、社会への影響は大きい状況です。

 

今回は、ランサムウェア攻撃のリスクを最小限に抑えるための重要な対策を、予防・検知・対応の3つのフェーズに分けて詳しく解説します。

ランサムウェア

ランサムウェアとは

ランサムウェア(Ransomware)とは、悪意のあるソフトウェアの一種で、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。

 

このマルウェア(悪意のあるソフトウェア)は、標的のコンピューターやネットワークに侵入し、システム内のファイルやデータを勝手に暗号化して利用不能にします。そして、データへのアクセスを元に戻すこと(復号)と引き換えに、被害者に対して金銭(通常は仮想通貨)を要求してきます。

 

単にデータを暗号化するだけでなく、近年では、データを盗み出して「身代金を支払わなければ公開する」と脅す二重脅迫(ダブルエクストーション)の手口が主流となっており、企業や組織の事業継続にとって、最も深刻で頻繁に発生するサイバー脅威の一つです。

予防

最も重要かつコスト効率の高い対策は、「予防」です。ランサムウェアがシステムに侵入し、データを暗号化するのを未然に防ぐことが重要。

 

「いつ狙われるかわからない」「狙われないかもしれない」と、予防を怠っていると大変なことになりかねません。まずは「予防」すること。それがランサムウェア攻撃のリスクを最小限に抑えるための重要な対策です。

1.重要なセキュリティ基盤の確立

●強固なバックアップ戦略の確立

ランサムウェアに遭ったとき、バックアップこそが命綱です。攻撃者にアクセスされないよう、ネットワークから切り離した場所に、データを保存してください。データは常に3つのコピーを持ち、2種類のメディアに保存し、1つはオフサイト/オフラインに保管する「3-2-1ルール」を徹底しましょう。特に、一度書き込んだら変更できないイミュータブル(不変)なバックアップを持つことが、暗号化対策として極めて有効です。

 

●ソフトウェアを常に最新にする

OSやアプリケーションのセキュリティパッチは、既知の脆弱性を悪用した攻撃を防ぐための最前線です。すべてのシステムとソフトウェアを常に最新の状態に保つための、自動化された仕組みを導入し、パッチの適用漏れを防いでください。


●多要素認証(MFA)の義務化

リモートアクセス、クラウドサービス、重要なシステムへのログインには、パスワードだけでなく、別の要素(例:スマートフォンアプリのコード、生体認証)を要求するMFAを必須とします。これにより、認証情報が盗まれたとしても、攻撃者の侵入を大幅に難しくできます。

2.ネットワークとアクセスの制御

●必要な人だけに必要な権限を与える(最小特権の原則)

従業員やサービスが必要とする最小限のアクセス権限のみを与え、職務に必要のないシステムへのアクセスを制限します。万が一、アカウントが侵害された場合でも、攻撃者が横展開できる範囲を限定できます。

 

●ネットワークを分離する(セグメンテーション)

ネットワークを論理的に分離し、重要度の高いシステムや機密データがあるネットワークへのアクセスを厳しく制限します。これにより、一部のシステムが感染しても、被害が他のシステムに波及するのを防ぐことができます。

 

●エンドポイントセキュリティの強化

従来のアンチウイルスソフトに加え、EDR(Endpoint Detection and Response)のような、不審な挙動やファイルレスマルウェアの検知に特化した高度なエンドポイント保護ソリューションを導入します。

セキュリティ

検知

どんなに予防策を講じても、攻撃を完全に防ぐことは困難です。予防策をすり抜けた攻撃の被害を最小限に抑えるためには、異常を早期に検知し、感染の拡大を食い止める能力が必要です。

 

●セキュリティ監視体制(SOC/SIEM)の導入

システムログ、ネットワークトラフィック、エンドポイントのアラートを一元的に収集・分析するSIEM(Security Information and Event Management)などのツールを活用し、不審なファイルアクセス、大量のファイル暗号化操作、権限昇格の試みなどをリアルタイムで監視します。

 

●おとりシステム(ハニーポット)の活用

実データを含まない「おとり」のシステム(ハニーポット)をネットワーク内に配置することで、ランサムウェアや攻撃者の偵察活動を誘い込み、実際のシステムが被害を受ける前に検知する仕組みを導入します。

対応

攻撃が発生した場合の混乱を防ぎ、迅速に事業を復旧させるための計画と訓練が不可欠です。

1.インシデント発生時の手順を決めておく

●体系的な対応手順の確立

ランサムウェア感染が確認された際に、「誰が、いつ、何をするか」を明確に定めたインシデント対応計画(IRP)を事前に策定します。これには、感染システムの隔離手順、経営層や法務部門への報告ライン、外部のセキュリティ専門家への連絡先などが含まれます。


●定期的なシミュレーションと訓練

IRPを机上の空論に終わらせないため、ランサムウェア感染を想定した模擬訓練(テーブルトップ演習)を定期的に実施します。これにより、対応チームのスキル向上と計画の不備の洗い出しを行います。

2.復旧を最優先する

●身代金は支払わない

身代金を支払っても、必ずしもデータが元に戻る保証はありません。また、支払いは攻撃者を利し、さらなる犯罪を助長します。強固なバックアップがあれば、支払いを拒否し、安全なバックアップからシステムを復元することが、事業を継続するための最善策です。


●侵入経路を徹底的に調査する

システムの復旧と並行して、ランサムウェアの侵入経路、潜伏期間、影響範囲を特定するためのデジタルフォレンジック調査を実施します。これは、再発防止策を講じる上で極めて重要です。

人的対策

技術的な防御を突破される最大の原因は、多くの場合、人為的なミスです。従業員を「最強の防御層」に変えるための教育と意識改革が欠かせません。

 

●定期的なセキュリティ教育

フィッシングメールの見分け方、不審な添付ファイルやリンクを開かないことの重要性、そしてMFAが有効になっていてもパスワードを共有しないことなど、現実的な脅威に基づいたトレーニングを全従業員に年複数回実施します。特に、リモートワーク環境におけるセキュリティ意識の向上に注力します。

 

●フィッシングシミュレーションの実施

従業員が実際にフィッシングメールに対応する訓練(フィッシングシミュレーション)を定期的に行い、学習効果を高めます。

まとめ

ランサムウェア対策は、一回限りの作業ではありません。「予防」「検知」「対応」のサイクルを継続的に回し、技術と人の防御を常に最新の状態に保つ総合的なリスクマネジメントです。

 

ランサムウェア攻撃が高度化する中、組織の信頼と事業を守るためには、これらの対策を速やかに導入し、セキュリティ文化を組織全体に根付かせることが求められます。