ランサムウェア感染経路と手口｜対策・対処法を完全解説

ランサムウェアとは、パソコン内のデータを暗号化して使用できない状態にし、解除のための「身代金 (ランサム)」を要求する悪意のあるソフトウェアです。感染すると業務データやシステムが使えなくなり、企業活動が停止することもあります。個人ではなく企業や自治体を標的にした攻撃も増えています。攻撃者は金銭だけでなく、機密情報の盗難や恐喝を目的とすることもあり、あらゆる業界が警戒すべき脅威です。

2025年9月に警察庁サイバー警察局が発表した「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」(注1) では、1・2による被害が8割を占めています。

リモートワークの普及で多くの企業が導入しているVPN (Virtual Private Network) ですが、その設定ミスやソフトウェアの脆弱性を狙った攻撃が増えています。攻撃者は公開情報からVPNの種類やバージョンを調べ、セキュリティの穴を突いて不正に侵入します。一度内部に入られると、管理者権限を奪われてネットワーク全体にマルウェアを広げられる危険があります。古いVPN機器や更新が止まっている製品は特に狙われやすく、パスワードの使い回しもリスク要因です。常に最新のファームウェアに更新し、多要素認証を設定することが有効な防御策です。

リモートデスクトップは、外出先から社内のパソコンを操作できる便利な仕組みですが、設定によっては攻撃者にとっても侵入しやすい入り口になります。特に多いのが、パスワードを無数に試して突破を狙う総あたり攻撃です。一度ログインされると、社内システムの操作やランサムウェアの設置が容易になり、被害が深刻化します。安全に使うには、インターネットへ直接公開せず、VPN経由で接続する方法が効果的です。さらにポート番号の変更や多要素認証を組み合わせることで、侵入のリスクを大きく減らせます。

ランサムウェア感染で一般的なのが、フィッシングメールをきっかけとするケースです。実在の企業や取引先を名乗り、「請求書の確認」や「重要なお知らせ」といった件名でメールを送ります。添付されたファイルを開くと、内部に仕込まれたマクロ (作業を自動化する機能) が自動的に実行され、ランサムウェアがパソコンに侵入します。ある中小企業では、経理担当者が取引先を装ったメールの請求書を開封したことで全サーバーが暗号化され、復旧に数週間を要しました。送信元アドレスの確認、不審なリンクを開かない、マクロを有効化しないことが基本的な防御策です。

Webサイトを閲覧しただけで感染する、ドライブバイダウンロード攻撃も広がっています。これは、Webサイトを不正に改ざんし、アクセスした利用者の端末に自動的にマルウェアを送り込む手法です。利用者が何も操作しなくても感染してしまう点が極めて危険です。OSやブラウザ、プラグインが古いと攻撃を受けやすく、特に更新を怠った企業端末が狙われます。信頼できるサイトでも改ざんされる可能性があるため、常に最新版へアップデートし、セキュリティソフトで通信を監視することが重要です。

USBメモリや外付けドライブなどの外部記録メディアは、便利な一方で感染源になりやすい点が要注意です。社外から持ち込まれたUSBにマルウェアが潜んでいると、接続した瞬間に端末へ感染し、社内ネットワーク全体へ広がるおそれがあります。対策として、私物デバイスの利用は禁止し、検査済みの社内専用USBのみを使う運用が効果的です。また、利用後はデータの削除やフォーマットを行うなど、不要なメディアは廃棄前に破壊処理をするなど、物理的な管理も徹底することが求められます。

攻撃者はOSやアプリケーションの脆弱性を突いて侵入します。特に修正プログラム (パッチ) が公開される前の「ゼロデイ攻撃 (注2)」は防ぎにくく、被害が大きくなりやすいのが特徴です。知らないうちに感染していることも多く、定期的なアップデートと監視が欠かせません。企業では、ソフトウェア資産を一覧で管理し、更新漏れがないよう仕組みを整えることが効果的です。自動更新設定を活用し、サポートが終了した製品は早めに入れ替えましょう。

ランサムウェアの脅威を防ぐために、実効性が高い6つの対策を優先度の高い順に紹介します。すぐに始められる内容ばかりなので、できる対策から取り組みましょう。

ランサムウェアは、古いソフトウェアの脆弱性を突いて侵入するケースが多くあります。OSやアプリを最新の状態に保つことは、攻撃者に狙われにくくする対策です。更新作業は後回しにされがちですが、自動更新を設定すれば手間をかけずに安全を維持できます。Windowsでは「設定」→「Windows Update」で自動更新を有効にできます。Macでは「システム設定」→「一般」→「ソフトウェアアップデート」で同様の設定が可能です。業務システムなどで動作確認が必要な場合は、検証用端末でテストを行い、問題がなければ順次適用する運用ルールを整えると安心です。

多要素認証は、パスワードに加えて別の要素で本人確認を行う仕組みです。例えば、IDとパスワードの入力に加えて、スマートフォンのアプリやSMSに届く確認コードを使うことで、第三者による不正ログインを防ぎます。最近では指紋や顔などの生体認証を組み合わせた二段階認証も広く利用されています。攻撃者は総あたり攻撃やフィッシングでパスワードを入手しようとしますが、多要素認証を設定しておけば、それだけでは突破できません。VPNやリモートデスクトップなど、社外から社内へアクセスする仕組みには特に有効です。

セキュリティソフトは、ランサムウェアを含むマルウェアの侵入を防ぐ基本的な防御策です。ウィルス検知や不正アクセスの遮断に加え、最近ではAIが未知の脅威を検出する機能も搭載されています。ただし、導入するだけでは十分ではありません。パターンファイルと呼ばれるウィルス定義データを常に最新に更新し、定期的にスキャンを実施することが欠かせません。法人向けのソフトであれば、複数端末を一元管理でき、感染時の隔離やログ確認も容易です。特にテレワーク環境では、社外パソコンの監視を含めて管理できる仕組みを選ぶと安心です。

ランサムウェア対策として特に効果を発揮するのが、日ごろからバックアップを取っておくことです。万が一データが暗号化されても、別の場所に残しておいたコピーがあれば復旧できます。中でも有名なのが「3-2-1ルール」で、データを3つ保管し、2種類のメディアを使い、1つは社外に置くという方法です。クラウドと外付けHDDを組み合わせるなど、分散保存することでリスクを大幅に減らせます。また、自動バックアップを設定しておくと負担が少なく、取り忘れも防げます。さらに、実際に復元できるかどうかを定期的にテストし、バックアップ先にアクセス制限を設けておくと、より安全性が高まります。

攻撃者は、日常的に届く業務メールになりすまして感染のきっかけを作ります。請求書や出荷通知を装ったメールを送り、添付ファイルを開かせようとする手口が代表的です。中には、ファイルを開いた直後に「マクロを有効にしてください」と促し、そこから不正なプログラムを動かすケースもあります。まずは送信元のアドレスや文章の不自然さを確認し、少しでも違和感があれば開かない判断が大切です。企業では、危険な添付やURLを自動で隔離するメールフィルタリングを導入すると、急増する攻撃にも備えやすくなります。また、怪しいメールを受け取った際にすぐ相談できる窓口を設置することで、被害拡大を防ぐ体制が整います。

マルウェア対策は技術だけで完結するものではなく、日々システムを使う従業員の行動も大きく影響します。どんなにセキュリティ環境を整えても、誤って不審なリンクを開いてしまえば感染リスクは高まります。そこで効果的なのが、定期的なセキュリティ研修です。最新の攻撃手口を共有したり、実際のメールを模した標的型訓練を実施したりすることで、危険を察知する力が自然と身に付きます。また、パスワード管理や外部メディア利用のルールをまとめたポリシーを社内で共有し、誰でも迷わず行動できる環境づくりも欠かせません。繰り返し学ぶ機会を設けることで、組織全体の安全意識が着実に高まります。

それぞれの具体的な手順を紹介します。

ランサムウェアは、1台の端末に入り込むだけで終わらず、社内ネットワークを経由して他のパソコンやサーバーへ広がる危険があります。そのため、感染の可能性が少しでもある端末は、早急にネットワークから切り離す必要があります。LANケーブルをはずす、Wi-Fiを停止するなど、通信を遮断する方法が確実です。また、USBメモリや外付けHDDのような周辺機器もはずし、データが勝手に移動する状況を防ぎましょう。企業環境では、1台の感染が全体のシステム障害に発展するケースもあります。初期対応として端末を隔離できれば、被害を大幅に抑えられる可能性があります。

隔離後は、どの範囲まで被害が広がっているかを正確に確認します。暗号化されたファイルやアクセス不能なフォルダを特定し、感染時間や被害端末の台数を整理しましょう。また、サーバーや共有ドライブ、バックアップ領域が影響を受けていないかも重要な確認ポイントです。社内で判断が難しい場合は、システム管理者やセキュリティベンダーに調査を依頼します。感染経路やマルウェアの種類が特定できれば、再発防止策にもつながります。調査結果は記録に残しておくと、警察や保険会社への報告時にも役立ちます。

感染経路や被害範囲を特定するには専門知識が必要であり、誤った操作でデータが完全に失われることもあります。まずはセキュリティ専門機関へ相談しましょう。日本国内では、JPCERT/CC (一般社団法人JPCERTコーディネーションセンター) やIPA (情報処理推進機構) が相談窓口を設けています。また、重大な被害が出ている場合は警察のサイバー犯罪相談窓口への通報も検討しましょう。こうした機関は技術的支援だけでなく、被害報告や法的対応に関する助言も行っています。早期に連絡することで、復旧の可能性を高められます。

感染後のデータ復旧は、感染した端末からランサムウェアを完全に削除することが前提です。セキュリティソフトを使ってスキャンし、駆除が難しい場合はOSの再インストールや端末の初期化も検討します。その後、感染前に取得していたバックアップを使ってデータを復元します。バックアップは、感染したネットワークとは別の安全な場所に保存しておくことが重要です。一部のランサムウェアについては、セキュリティ機関が無料で公開している「復号ソフト (暗号を解除するプログラム)」を使える場合があります。ただし、偽の復号ソフトも存在するため、必ず信頼できる情報源から入手してください。

ランサムウェアは、企業の規模を問わず被害を及ぼす深刻な脅威です。感染を完全に防ぐことは難しくても、日ごろからの対策で被害を最小限に抑えることはできます。OSやソフトウェアの更新、バックアップの徹底、従業員教育の継続が効果的な予防策です。もし感染してしまった場合も、慌てずに端末の隔離・報告・調査・復旧の流れに沿って対応することが重要です。早期の判断と行動が、事業継続と信頼維持の鍵となります。