LABORATORY

ひらめき研究室

対策してもなぜランサムウェアに引っかかる？
中小企業が陥りやすい落とし穴

基幹システムがランサムウェアに感染して全業務が停止！？

ランサムウェア被害はなぜなくならないの？

ランサムウェアは、データを暗号化して人質に取り、復旧と引き換えに身代金を要求する極めて悪質なマルウェアです。警視庁サイバー警察局の調査^※によると、ランサムウェア被害を受けた組織のうち、復旧に総額1,000万円以上がかかった組織は全体の5割を超えています。また、被害を受けてから1カ月未満で復旧した組織は全体の5割強に留まるなど、被害が長期化する傾向にあります。

そして被害者となった企業の約6割を、中小企業が占めています。これらの事実から、企業規模を問わず万全な対策が必要だと言えます。

しかしこれほど警戒され、対策も進んでいるはずなのに、なぜ被害が後を絶たないのでしょうか。その理由を一緒に考えてみましょう。

※「令和７年におけるサイバー空間をめぐる脅威の情勢等について」

脆弱性だらけのVPN機器を使い続けている
数年前のセキュリティのままで安心している
リモートワーク中に不正アクセスされる
なりすましメールを何の疑いもなくクリックしている

ランサムウェア攻撃の流れを大解剖

まずは、ランサムウェアによる攻撃の流れを理解することから始めましょう。

攻撃のフェーズ1は、攻撃対象のネットワークや端末への初期侵入です。VPN機器の脆弱性をついた社内ネットワークへの不正アクセスや、フィッシングメールなどによる端末乗っ取り、脆弱なパスワードによるリモートデスクトップへのログインなどが侵入経路となります。

フェーズ2では、一度内部へ侵入すると、攻撃者は組織ネットワーク内を自由に動き回って管理者のIDやパスワードを盗み出し、より高い権限を持つサーバーへと侵入範囲を拡大。バックアップサーバーも含め、組織の中枢システムを掌握していきます。なお、中小企業では一人情シスや兼務担当者が多く、監視の目が届きにくいため、管理者権限を奪取する動きに気づけないケースが目立ちます。

十分な権限を得た攻撃者は、フェーズ3で機密データを外部サーバーへ密かに転送し、窃取します。そして一斉にデータを暗号化し、システムを強制停止させます。これにより、侵入された企業の業務は麻痺状態に陥ります。

最後にフェーズ4では、復旧のための「復号キー」と引き換えに多額の身代金を要求します。近年は「お金を支払わなければ盗んだデータを公開する」と脅す二重脅迫が主流となっており、企業に極めて苦しい選択を迫ります。

被害を最小限に防ぐ「フェーズごとの対策法」

ランサムウェアによる被害を最小限に防ぐためには、「防御→検知→対応→復旧」と攻撃フェーズに合わせた対策を講じることが重要です。

どこか一部のフェーズへの対策しか行っていないと、「メール訓練は実施していたが、従業員の不注意によりランサムウェアの侵入を許した後、なすすべもなく重要なデータを全て暗号化され、業務が停止した」など、重要なインシデントにつながる可能性があります。

侵入に対する防御

ネットワークの対策、端末の守りを固める
感染の早期検知・被害拡大防止

ウイルスを早期に発見
データ窃取・暗号化への対応

データのセキュリティ向上
システム停止後の復旧

バックアップデータからの復旧

まず対策1では、侵入しやすい入り口を作らないことが重要です。VPN機器の脆弱性を放置したり、端末へのアクセス管理を徹底したりして、システムの“穴”を放置しない運用ルールを確立します。また、不審なメールに対する従業員の意識向上を図り、組織全体の「防壁」を強化します。

次に対策2では、万が一端末が乗っ取られたり、ランサムウェアに感染したりしたとしても、早期に察知できれば致命傷を避けられます。社内ネットワーク内での不自然な動きを常に監視し、一部のパソコン（PC）が乗っ取られても他の端末へ被害が広がらないよう、感染した端末をネットワークから切り離しておくなどの対策が有効です。

対策3では、二重脅迫型ランサムウェアは、窃取したデータを人質に取り、多額の身代金を要求します。このような脅迫への対策として、万が一データを窃取されても内容を閲覧できないよう、あらかじめデータを暗号化しておくことが有効です。これにより、情報漏洩のリスクを低減できます。

対策4では、ランサムウェアによりデータが暗号化された場合、システムやデータを復旧するための最後の砦はバックアップです。しかし、攻撃者はバックアップデータも攻撃対象として暗号化を試みるため、バックアップを「取得しているだけ」では不十分です。バックアップの保存場所を分散させるといったルールを徹底し、身代金の支払いに頼らず自力で復旧できる体制を構築することが、最大の防御となります。

大塚商会がご紹介！

中小企業向けランサムウェア対策セット

ランサムウェアの侵入を防ぎ、感染させない

ランサムウェアの感染を防ぐためには、侵入経路の防御と端末の防御力強化の両面から対策を講じることが重要です。
特にVPN機器は、脆弱性が放置されたまま利用されているケースも多く、実際のランサムウェア被害の多くが、VPN機器の脆弱性を突いた侵入を許しています。
また、端末のセキュリティ対策はPCだけでなく、重要なデータを保管しているサーバーに対しても適切に実施する必要があります。あわせて、従業員一人ひとりのセキュリティ意識を向上させることも、忘れてはならない重要な対策です。

こんなお悩みを解決！

「エンドポイントセキュリティ」がよくわからない
VPN機器のメンテナンスを任せたい
サーバーのセキュリティを確保したい
効果的な社員教育を実施したい

端末の脆弱性対策
- たよれーる SKYSEAクラウド
- LANSCOPE エンドポイントマネージャー
外部からのウイルス侵入を防ぐ
ウイルスからPCを保護
- ワンコイン・ビジネスセキュリティサービス２
- らくらくNGAV for Deep Instinct
ウイルスからサーバーを保護
- らくらくサーバーセキュリティ One
セキュリティに関する社員教育
- eラーニングいちおしコース
- 標的型メール訓練サービス　100 / 200 / 300

お気軽にご相談！

お問い合わせ

ウイルスを早期に検知し、被害を広げない

万が一、ランサムウェアの侵入を許してしまった場合は、被害の拡大を防ぐために早期発見と感染端末のネットワークからの迅速な切り離しが必要です。
ランサムウェア感染時の迅速な対応と被害の最小化を実現する手段として、従来のウイルス対策に加え、端末に対してEDR（エンドポイント検知・対応）の導入が有効です。
また、攻撃者にデータを窃取された場合でも、あらかじめデータを暗号化しておくことで、情報漏洩を防ぐ対策も重要となります。

こんなお悩みを解決！

ランサムウェア感染を早期発見したい
人員不足でシステム監視やログ監視が難しい
ネットワーク分離や権限最小化のやり方がわからない
データが盗まれても情報漏洩を防ぎたい

ランサムウェア感染を早期に検知
サーバーのセキュリティを強化
- らくらくサーバーセキュリティ One
ウイルスを拡散させない
- SubGate / SubGate AP
データ暗号化ソリューション
- ファイル暗号化・追跡ソリューションFinalCode
- DataClasys

お気軽にご相談！

お問い合わせ

すばやくデータを復旧し、業務を元に戻す

攻撃者は、バックアップデータも攻撃対象として暗号化します。そのため、システムを確実に復旧させるには、バックアップデータが暗号化されない仕組みが不可欠です。
社内ネットワークから隔離された場所へのバックアップ保管や、バックアップデータの書き換えができない領域に保管することで、バックアップデータの暗号化・改ざん・消去を防止できます。