ランサムウェアとは?
企業ができる対策・感染した場合の対応について解説

ランサムウェアは、感染した端末に保存されているデータを暗号化し、その復元と引き換えに身代金を要求するマルウェア(悪意のあるプログラム)です。
近年は企業を狙ったランサムウェアの被害が拡大しており、多額の損害が発生するケースも少なくありません。
この記事では、ランサムウェアの概要をご紹介し、種類や被害の現状、症状や対策などについて解説します。
ランサムウェアとは

ランサムウェアとは、端末をウイルスに感染させて保存されているデータを暗号化し、その復元と引き換えに身代金を要求するマルウェアです。「Ransom(身代金)」と「Software(ソフトウェア)」を合わせた言葉です。
ランサムウェアに感染すると、その端末に保存されているデータが暗号化されて使用できなくなります。その際「復元のためには身代金の支払いが必要である」という旨のメッセージや、連絡先が表示されるのが一般的です。
会社のシステムがランサムウェアに感染すると、業務ができなくなるケースもあります。
日本では大手メーカーの受発注システムが感染し、工場を一時停止した事例も確認されました。
ランサムウェアの種類
ランサムウェアは1989年に初めて登場して以降、その種類は年々増え続けています。
代表的なランサムウェアは、以下の5つです。
- AIDSTrojan(エイズトロージャン)
- CryptoLocker(クリプトロッカー)
- WannaCry(ワナクライ)
- Ryuk(リューク)
- Maze(メイズ)
それぞれの特徴について、詳しく見てみましょう。
AIDSTrojan
AIDSTrojanは、1989年に登場し、「ランサムウェアの始まり」となったプログラムです。
ハードディスクやフロッピーディスクから侵入し、ファイルの復号と引き換えに身代金を要求していました。
ただし、AIDSTrojanはファイル自体ではなく「ファイル名」を暗号化したため、身代金を支払わなくても簡単に復号できていました。
CryptoLocker
CryptoLockerは、2013年に登場したランサムウェアです。外部のC&C(コマンド&コントロール)サーバーと通信して暗号化するため、AIDSTrojanと比べて復号が困難になりました。
CryptoLockerはメール経由で拡散され、膨大な数のコンピューターが感染しました。2014年に国際法執行機関による対策が取られるまで、多大な被害を出しています。
また、後述する「WannaCry」や「Ryuk」の先駆けとなったランサムウェアでもあります。
WannaCry
WannaCryは、2017年に登場し、猛威を振るったランサムウェアです。ファイル共有に使われる通信プロトコルの脆弱性を利用して拡散し、世界中に被害をもたらしました。
また、WannaCryは身代金として、仮想通貨であるビットコインを要求する手口も話題となりました。イギリスでは、国営医療サービス事業がWannaCryの被害に遭い、手術や診療が行えない事態が過去に発生しています。
Ryuk
Ryukは、2018年に登場したランサムウェアです。データ暗号化に加えて、システム復元オプションを無効化するため、バックアップを保存していなかったファイルの復元が不可能となりました。
Ryukは不特定多数ではなく、特定の企業や組織をターゲットにして攻撃をします。実際に、Ryukの被害にあったアメリカ企業の多くが、復元のための身代金を支払っています。
Maze
Mazeは、2019年に登場したランサムウェアです。データの暗号化に加えて、データのコピーを盗み取り「身代金を払わなければ情報を公開する」といった、二重脅迫を行うのが特徴です。
Mazeはメールや脆弱なセキュリティシステム、広告など、さまざまな経路で感染を拡大させます。
ランサムウェアの感染経路・手口
ランサムウェアの感染経路や手口は多様化しています。 特に、テレワークが普及した2020年頃は、ランサムウェアの感染経路や手口に 大きな変化が見られました。
以下より詳しく解説します。
従来のランサムウェア

2020年頃より前のランサムウェアは、不特定多数のユーザーにメールを送信し、添付されたファイルやWebサイトを経由して不正プログラムに感染させるのが一般的でした。感染したパソコンのデータを暗号化したうえで、復元と引き換えに身代金を要求します。
その手口から「ばらまき型ランサムウェア」と呼ばれており、前述のCryptoLockerやWannaCryなどが該当します。
近年のランサムウェア

2020年以降は、「標的型ランサムウェア」や「二重脅迫型ランサムウェア」と呼ばれるタイプのランサムウェアが登場しています。前述のRyukは標的型ランサムウェア、Mazeは二重脅迫型ランサムウェアに該当します。
近年のランサムウェアは、VPN機器やリモートアクセスシステムなどの脆弱性を狙って、特定の企業・団体のネットワークに侵入します。
また、端末に侵入してデータを暗号化するだけでなく、データを盗み取って「身代金を支払わなければ機密情報を公開する」と脅迫するのが特徴です。
ランサムウェア被害の現状
警視庁のサイバーセキュリティ対策本部の調査(令和6年上半期におけるサイバー空間をめぐる脅威の情勢について)によると、2024年上半期のランサムウェア被害の現状は、以下のとおりです。
-
発生件数
- ○ 全国:114件
- ○ うち都内:28件(全国の発生件数の24.5%)
-
感染経路
- ○ VPN機器:47%
- ○ リモートデスクトップ:36%
- ○ 不審メール:2%
- ○ その他:15%
2024年上半期においても、ランサムウェア被害は高い水準で推移しており、特に二重脅迫型ランサムウェアの被害が多い傾向にあります。
また、バックアップまで暗号化されるケースも多発しており、うち75%は復元が不可能でした。
独立行政法人情報処理推進機構(IPA)はランサムウェアについて、組織が最も注意すべきサイバー空間の脅威であるとしています。
ランサムウェアの感染が疑われる症状
ランサムウェアに感染した場合には、以下のような症状が見られます。
- ID・パスワードが勝手に変更されている
- データが勝手に暗号化されている
- 画面がロックされる
- データにアクセスした際に身代金を要求する警告文が表示される
上記の症状が見られる場合は、高確率でランサムウェアに感染しているため、感染の拡大を防ぐためにも迅速な対応を取りましょう。
また、ランサムウェアは感染したらすぐに症状が現れるのではなく、一定の潜伏期間を経て、感染を拡大させてから被害が出始めます。一般的に、ランサムウェアの潜伏期間は、15〜25日程度です。
ランサムウェアの被害に遭った場合の対応

ランサムウェアの被害にあった場合、取るべき対応としては以下の5つがあります。
- 感染した端末をネットワークから隔離する
- 感染状況・影響範囲を確認する
- 専門家・関係者に報告する
- 都道府県警察に通報する
- 調査・応急措置を行う
それぞれ順番に見ていきましょう。
感染した端末をネットワークから隔離する
ランサムウェアに感染したら、まずは端末をネットワークから隔離しましょう。ネットワークに接続されたままだと、ネットワーク上の別の端末にも感染を広げる可能性があるためです。
無線LANの場合、Wi-Fiルーターの電源を切ったり、端末を機内モードに切り替えたりして、ネットワークを切断します。有線LANの場合は、接続しているLANケーブルを抜いてください。
ランサムウェアの感染状況・影響範囲を確認する
端末をネットワークから隔離したあとは、端末の電源を切らずにランサムウェアの感染状況や影響範囲を調べましょう。
ランサムウェアの種類は、暗号化されたファイルの拡張子(txt、docxなど)から探せます。感染状況と並行して、感染した可能性のある端末の台数も調べましょう。被害が広範囲にわたるほど、事態は深刻といえます。
また、端末に起きている不具合や症状を見て、ほかのウイルス感染やサイバー攻撃の可能性が無いかを調査してください。
専門家・関係者に報告する
ランサムウェアの感染状況・影響範囲が判明したら、速やかに自社の情報システム部門や関連部門に報告し、判断を仰ぎましょう。なお、報告するときは、ランサムウェアに感染した疑いのある端末を使わないでください。
関連部門が無い場合、委託先のセキュリティベンダーやSOC(サイバー攻撃の検知・分析を行い、対策を講じる専門組織)に相談してみましょう。システムの復旧作業や今後の対策をスピーディーに行いたい場合は、専門業者を頼るのがおすすめです。
ランサムウェアの影響範囲によっては、支店や提携会社などにも連絡する必要があります。また、サイバー保険に加入していれば事故対応に必要となる費用の補償を受けられる可能性があります。
都道府県警察のサイバー犯罪相談窓口へ相談・通報する
ランサムウェアの被害にあった場合、実態を明らかにして被害を拡大させないためにも、警察に相談・通報をおこないましょう。
警察に相談することで、調査がスムーズに進んだり、ランサムウェア対策に関するアドバイスを得られたりする場合もあります。
相談する際の窓口は、会社がある都道府県を管轄する警察の「サイバー犯罪相談窓口」です。警察庁の公式ホームページに、各地域の相談窓口が掲載されています。
情報漏洩(えい)が発覚した場合は迅速に調査・応急措置を行う
ランサムウェアの感染により、個人情報等の漏洩(えい)があった場合には「個人情報の保護に関する法律についてのガイドライン」に則り、以下の対応を行う必要があります。
- 事業者内部における報告及び被害の拡大防止
- 事実関係の調査及び原因の究明
- 影響範囲の特定
- 再発防止策の検討及び実施
- 個人情報保護委員会への報告及び本人への通知
ランサムウェアによる情報漏洩(えい)が発覚した場合、上記の手順を踏む必要があり、多くの時間を費やさなくてはなりません。
また、情報漏洩(えい)の発生原因や範囲の特定、漏洩(えい)事実の公表には多くの費用が生じるうえに、漏洩(えい)範囲が大きい場合は、被害者への損害賠償が生じる可能性もあります。
企業が行うべきランサムウェア対策
企業がランサムウェアの被害にあうと、自社の業務がストップするのみならず、取引先や顧客の個人情報が漏洩(えい)してしまう可能性があります。このような事態を防ぐためには、日頃からランサムウェア対策を取ることが大切です。
以下では従業員個人が行うべき対策と、企業が組織として行うべき対策を、それぞれご紹介します。

従業員個人が行うべき対策
従業員一人ひとりが行うべきランサムウェア対策は、以下の4つです。
- 不審なメール・Webサイトを開かない
- パスワードを適切に設定・管理する
- OS・ソフトウェアを最新の状態にアップデートする
- データのバックアップをとる
それぞれ詳しく見てみましょう。
不審なメール・Webサイトを開かない
不審なメールやWebサイトを開かないことが、ランサムウェア対策の基本です。
メールやSNSの添付ファイルを開いたり、URLにアクセスすることで、ランサムウェアに感染するケースは少なくありません。また、特定の社員を狙う「標的型攻撃メール」により、ランサムウェアに感染させようとする事例も報告されています。
特に長期休暇明けは多くのメールが溜まりやすく、あまり確認せずにメールを開いてしまう傾向にあるため、注意が必要です。
メールアドレスに少しでも違和感を覚えたら、送信元の企業や社員に確認しましょう。
パスワードを適切に設定・管理する
パスワードは第三者に特定されないような文字列を設定しましょう。
「12345」や「password」など、規則性のある文字列や実在する単語は、すぐに突破されてしまいます。破られにくいパスワードを設定するポイントは、以下の6点です。
- 12文字以上の文字列で構成する
- パスワードのなかに数字や記号(例:@、%、&)を混ぜる
- 法則性のあるパスワード(12345678、abcdefg)は使わない
- 辞書に載っている単語は使わない
- パスワードのアルファベットに大文字と小文字の両方を入れる
- サービスごとに異なるパスワードを設定する
桁数はできるだけ多くし、ランダム性のある文字列を設定することがポイントです。
OS・ソフトウェアを最新の状態にアップデートする
利用している端末のOS(基本ソフト)や業務で使うソフトウェアは、つねに最新の状態にしておきましょう。
最新バージョンでは、旧バージョンで見つかった脆弱性が解決されていたり、最新のランサムウェアに対処できるように修正されているためです。
OSやソフトウェアをアップデートせずに放置すると、脆弱性がそのままになってしまいます。脆弱性は攻撃者のターゲットになりやすいため、旧バージョンで使い続けないようにしましょう。
データのバックアップをとる
ランサムウェアの感染に備え、定期的にデータのバックアップをとりましょう。仮に暗号化されたデータが復元できなかった場合も、バックアップがあれば復元が可能です。
データのバックアップは、ネットワークから切断した状態でこまめに行いましょう。さらに、バックアップを保存している記憶媒体は、バックアップが終了するたびに端末から取り外し、ネットワークに接続しないようにしてください。
ネットワークに接続されたままだと、バックアップしたデータもランサムウェアに感染する可能性があります。
企業が組織として行うべき対策

企業が組織として行うべきランサムウェア対策は、次の4つです。
- セキュリティソフトを導入する
- メールフィルタリングを導入する
- 従業員へのセキュリティ教育を徹底する
- サイバー保険に加入する
以下、ひとつずつ詳しく見てみましょう。
セキュリティソフトを導入する
セキュリティソフトを導入すると、ランサムウェアに感染するリスクを減らせます。
セキュリティソフトがランサムウェアを検知すると、アラート発令やダウンロードの自動停止、通信ブロックなどの対策を講じてくれるためです。
また、サイバー攻撃の手口は次々と現れるため、セキュリティソフトもOSと同様に、つねに最新の状態を保つ必要があります。
メールフィルタリングを導入する
ランサムウェア感染の多くは、フィッシングメールや不審な添付ファイルを介して広がります。
メールフィルタリングを導入することで、これらの不審なメールを自動的に検知・隔離し、感染リスクを大幅に低減できます。
メールフィルタリングの主な機能として、以下の機能があげられます。
- スパムメールのブロック
- 添付ファイルのスキャン
- 危険なURLの検出
- メッセージログの記録
サイバー保険に加入する
サイバー保険に加入すると、さまざまなサイバーリスクに備えられます。
ランサムウェア感染をはじめとするサイバー事故の対応や、損害賠償などにかかる費用を、保険会社が補償してくれるためです。
サイバー保険が補償する主な費用は、以下の3つです。
-
サイバー事故により生じた第三者への損害賠償責任
- ○ 損害賠償費用
- ○ 訴訟費用
-
事故対応に必要となる費用
- ○ 事故原因調査
- ○ コールセンター設置
- ○ 記者会見
- ○ 見舞金
- ○ 法律相談
- ○ 再発防止策の策定
- 自社の利益損害・営業継続費用
サイバー犯罪の手口は年々増えてきており、セキュリティ対策を実施しても被害が発生するケースもあります。
万が一に備えて、サイバー保険の加入を検討してみましょう。