学習

ランサムウェアとは? 仕組み・感染経路・対策・初動までやさしく解説【完全ガイド】

admin · · 最終更新 2026年6月5日 · 6 min read

Ransomware Guide — How it works, spreads, and how to respond fast. Illustrations by Storyset
Illustration: Storyset (line, brand-recolored)

ニュースで「ランサムウェア被害で工場が停止」「病院のシステムが使えなくなった」といった見出しを目にしない月はありません。いまや企業にとって最大級の脅威となったランサムウェア。本記事は、専門知識がなくても全体像をつかめるよう、仕組み・感染経路・被害の流れ・防ぎ方・感染時の初動までを一気通貫でやさしく解説する完全ガイドです。連載「はじめてのセキュリティ」第4回の内容を、ランサムウェアに絞ってさらに掘り下げます。

ランサムウェアとは ― 「データを人質に取る」攻撃

ランサムウェア(ransomware)は、「ransom(身代金)」と「software」を組み合わせた言葉です。感染した端末やサーバーの中のデータを暗号化して使えない状態にし、「元に戻してほしければ身代金を払え」と要求するマルウェアの一種です。ファイルは開けず、業務システムは止まり、画面には支払いを促す脅迫文が表示される——これがランサムウェア被害の典型的な姿です。攻撃者は追跡されにくい暗号資産での支払いを求めることが多く、払っても確実に復旧する保証はありません。

なぜ今、最大級の脅威なのか

ランサムウェアが恐れられる理由は、単なるデータ消失にとどまらないからです。背景には3つの変化があります。

  • 二重恐喝(ダブルエクストーション):近年は暗号化する前にデータを盗み出し、「払わなければ顧客情報を公開する」と脅す手口が主流。バックアップから復旧できても、情報漏えいの脅しは残る。
  • 攻撃の分業化(RaaS):ランサムウェアが「サービス」として提供され(Ransomware as a Service)、高度な技術を持たない攻撃者でも実行できるようになった。結果、攻撃の総量が増えた。
  • 事業停止に直結:製造ライン・受発注・医療・物流が止まれば、損失は身代金の何倍にもなる。「払わないから無関係」では済まず、止まること自体が最大の打撃になる。

どこから感染するのか ― 主な侵入経路

ランサムウェアは魔法のように現れるのではなく、決まった入口から侵入します。代表的な4つを押さえましょう。

  • ① メール:請求書や配送通知を装った添付ファイル・リンク(フィッシング)。最も古典的で、今も多い入口。
  • ② VPN機器・リモート接続の弱点:社外からの入口であるVPN装置やリモートデスクトップ(RDP)の脆弱性・弱いパスワードを突かれる。近年の大型被害で目立つ経路。
  • ③ 未更新のソフトの脆弱性:パッチを当てていない既知の穴から、開いただけ・つないだだけで侵入される。
  • ④ サプライチェーン:取引先や利用しているソフトの提供元が侵害され、そこ経由で被害が及ぶ。

感染すると何が起きるか ― 被害の時系列

ランサムウェアは「侵入した瞬間に暗号化」ではありません。多くの場合、次のように段階的に進みます。

  1. 侵入:上記の経路から最初の1台に入り込む。
  2. 潜伏・横移動:気づかれないよう社内を探索し、管理者権限を奪い、より多くの端末・サーバーへ広がる(この間、数日〜数週間のことも)。
  3. データ窃取:暗号化の前に、機密データを外部へ持ち出す(二重恐喝の準備)。
  4. 暗号化・恐喝:バックアップごと暗号化を試み、一斉にロック。脅迫文を表示し、支払い交渉に持ち込む。

重要なのは、暗号化が始まる前に「気づいて止める」余地があること。だからこそ、後述する検知(EDR)と早期報告が効いてきます。

防ぐ ― 重ねて守るチェックリスト

単一の対策で防ぎきるのは難しいため、複数を重ねます(多層防御)。優先度の高い順に点検してください。

  • OS・ソフト・VPN機器を最新に保つ(既知の穴を塞ぐ。VPN/RDPは特に)。
  • 多要素認証(MFA)を有効化(弱いパスワード経由の侵入を防ぐ)。第2回参照
  • EDR/アンチウイルスで挙動を検知(潜伏・横移動の段階で気づく)。
  • 権限の最小化(日常作業を管理者権限で行わない。被害の横展開を抑える)。
  • メール・Webのフィルタリング従業員教育(最初の入口を狭める)。
  • RDPを不用意にインターネットへ公開しない(必要なら制限・VPN経由・MFA)。

最後の砦は「戻せるバックアップ」

あらゆる対策をすり抜けて暗号化されても、データの複製があれば事業は戻せます。鍵は3-2-1ルール——データは3つ持ち、2種類の媒体に分け、うち1つは離れた場所(オフライン)に保管する。ランサムウェアはバックアップごと暗号化しようとするため、ネットから切り離した/書き換え不能(イミュータブル)なコピーが決定的に重要です。そして「取っているはず」で安心せず、実際に戻せるかを定期的に試す(復旧訓練)。戻せないバックアップは、無いのと同じです。

もし感染したら ― 初動の順番

  1. ネットワークから切り離す:LANケーブルを抜く・Wi-Fiをオフ。被害の横展開を止めるのが最優先。
  2. 電源を切るかは慎重に判断する:復旧の手がかり(メモリ上の情報)が消えることもあるため、自己判断での再起動・初期化は避け、担当の指示を仰ぐ。
  3. すぐに情シス/セキュリティ担当(CSIRT)へ報告する:隠さず早く。初動の速さが被害規模を決める。
  4. 身代金は安易に払わない:復旧の保証はなく、次の標的にされやすい。まず公的機関(IPA・JPCERT/CC等)や専門家に相談する。
  5. バックアップから安全に復旧する:侵入経路を塞いだうえで、クリーンな状態に戻す。

中小企業・個人がまずやる3つ

  1. 自動更新をオンにする:OS・ソフト・ルーター・VPN機器。”直せたはずの穴”を放置しない。
  2. 重要データのオフラインバックアップを持つ:外付けドライブやクラウドで、3-2-1を意識する。
  3. 主要アカウントにMFAを設定する:メール・業務システム・クラウドから。

ランサムウェア対策の本質は、「戻せる」と「気づける」を先に用意すること。

Omamori AI の結論

  1. 事実:ランサムウェアは二重恐喝とRaaSの普及で最大級の脅威となり、被害は事業停止に直結する。侵入は段階的に進むため、暗号化前に検知・対処する余地がある。
  2. 判断軸:「感染ゼロ」を目標にするのではなく、「入られても戻せる・気づける」を設計する。バックアップは”取ること”より”戻せること”が本質。
  3. 打ち手:更新・MFA・EDR・権限最小化の多層防御を敷き、3-2-1のオフライン/イミュータブルバックアップと復旧訓練を整える。感染時はネット遮断と即報告を徹底し、身代金支払いは慎重に判断する。

関連記事

👉 連載「はじめてのセキュリティ」第4回 マルウェアとランサムウェア
👉 セキュリティ用語集 ― まず押さえたい20語
👉 信頼できる参考サイト 目的別まとめ

自社のリスクを手早く把握したい方は、無料の90秒セルフ診断もどうぞ。

TAGS 脅威別解説
SHARE 𝕏 in f
編集部
Omamori AI 編集部
CISO・情シス・経営層向けに、AIセキュリティの一次情報を編集視点で整理

あわせて読みたい

記事の論点を、自社のリスク評価に

90秒の自己診断 or CISO/情シス向け月次レビュー(顧問契約)でアクションに繋げます。

無料 90秒 自己診断 顧問契約 詳細