ランサムウェア対策の実践戦略
既存施策の限界を乗り越え、事業継続を確かなものにするために
近年の巧妙なランサムウェア攻撃に対し、侵入防止を主眼とした従来の対策では、事業継続を担保することが困難になっています。攻撃者は管理者権限を奪取して既存のセキュリティ機能を無効化し、バックアップまで破壊して復旧を完全に阻止しようとするためです。本記事では、昨今の攻撃手法から浮き彫りになった既存施策の「死角」を明らかにし、いま求められる「ランサムウェア対策」について詳しく解説します。
「ランサムウェア(Ransomware)」とは、英語で身代金を意味する「Ransom(ランサム)」と「Software(ソフトウェア)」を組み合わせた造語です。Ransomの意味のとおり、一般的には、感染したコンピュータのデータを暗号化して使用不能にし、その復旧と引き換えに金銭を要求する不正プログラム(マルウェア)を指します。
かつては不特定多数にメールを送りつける「ばらまき型」が主流でしたが、現在では特定の企業や組織を執拗に狙う「標的型」へと移行しました。さらに現在、ランサムウェア被害はIPA(独立行政法人情報処理推進機構)が発表する「情報セキュリティ10大脅威(組織編)」においても6年連続1位*となっており、単なる「データ暗号化ウイルス」という枠組みを超え、以下の3つの特徴を持つ「複合的な事業妨害攻撃」へと変貌を遂げています。
- データの窃取と暴露(二重・三重の脅迫)
データを暗号化する前に機密情報を外部へ盗み出し、「支払わなければ情報を公開する」「取引先や顧客に被害を通知する」と迫る手口です。システムが復旧できても、社会的信用の失墜を盾に脅迫を続けます。 - AIによる攻撃の高度化
生成AI(人工知能)を悪用し、ウイルス対策ソフトウェアの検知を巧妙に回避するためにコードを少し書き換えた亜種の作成や、経営幹部を装った精巧なフィッシングメールの作成が行われています。 - 「RaaS(Ransomware as a Service)」の普及
攻撃キットがサブスクリプション型や成功報酬型のサービスとして安価に提供されることで、多額の資金や高度な技術を持たない犯罪者であっても、最小限のコストで攻撃を開始できる環境が整いました。その結果、攻撃のハードルが下がり、世界中で攻撃の頻度が飛躍的に高まっています。
「収益モデルの多角化(多重脅迫)」、「攻撃技術の高度化(AI活用)」、そして「分業体制の確立(RaaS)」といった、これらの変化が連動することで、攻撃は単なる愉快犯や個人の犯行ではなく、高度に役割分担された「ビジネス(産業)」としての側面を強めています。潤沢な資金を持つ攻撃グループがAIなどの最新技術を取り込み、組織的に標的を追い詰める構造が定着しつつあるのです。
*2026年2月時点
出典:独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威」より、毎年の結果をもとに集計
このように、資金力・組織力・技術力を伴って「産業化」した攻撃が常態化する中で、多くの企業が「基本的なランサムウェア対策は講じているはずなのに、なぜ防げないのか」という壁に直面しています。昨今のランサムウェア感染経路は多岐に渡り、OSのアップデートや標準的なセキュリティソフトウェアの導入といった従来の「守りの定石」が、今や攻撃者の回避・無効化の対象となっています。国内のランサムウェア被害事例を見ても、その多くがこうした「死角」を突かれたものです。
境界防御の形骸化:正規IDの悪用による「正面突破」
かつてのセキュリティの定石は、社内ネットワークの境界をファイアウォールなどで遮断し、外部からはVPN(Virtual Private Network)という「正規の入り口」経由でのみアクセスを許可する、いわゆる「境界防御」でした。しかし、この前提は二つの要因によって崩れています。
一つは、「ネットワーク機器の脆弱性」を突いた侵入です。業務継続を優先するあまりパッチ適用が遅れたわずかな隙に攻撃者は脆弱性を突いて組織内へ侵入し、一般ユーザーの権限を取得後、権限昇格をしながら、「特権」を奪取します。
もう一つは、「正規ユーザーとしてのログイン」です。盗まれた本物のIDとパスワード、あるいはMFA(Multi-Factor Authentication:多要素認証)を中間者攻撃などで突破してログインする攻撃者を、入口で見分けることは困難です。もはや「入口を固める」だけでは侵入を防ぎきれない時代となっています。
サプライチェーンセキュリティの課題:統制の届かない「拠点」や「委託先」が攻撃の入り口に
自社のセキュリティを強固にしても、攻撃者は「対策が手薄な場所」を探し出します。それが、取引先であるパートナー企業や、海外拠点、グループ会社のネットワークです。 攻撃者は、グループ会社や拠点間における「信頼関係を前提に許可された通信」を巧みに悪用します。例えば、本来は安全なはずの拠点間ネットワークや、運用を委託しているMSP(Managed Service Provider)の管理用IDが侵害されれば、自社の重要サーバーへ「内側」から容易に到達されてしまいます。そのため、自社単体ではなく、「サプライチェーン全体」を俯瞰した実効性のあるガバナンスが不可欠です。
EDRを沈黙させる「無効化」と「ファイルレス攻撃」
侵入後の挙動を監視するEDR(Endpoint Detection and Response)があれば安心、という考え方にも死角があります。
- EDRの無効化
攻撃者が管理者権限を奪取した後、EDRのプロセスを強制終了させたり、検知機能をバイパス(回避)したりするこの行為は、通報手段を絶ってから犯行に及ぶような手法になるため、アラートが一度も鳴らないまま被害が拡大するケースが確認されています。 - ファイルレス攻撃
攻撃コードをディスク(保存領域)に書き込まず、メモリー上だけで展開・実行する攻撃の総称です。「足跡」としてのファイルが存在しないため、ファイルのスキャンを主とする従来のウイルス対策ソフトウェアでは、検知対象を見つけることは困難です。
ファイルレス攻撃の中でも、OSに最初から備わっているPowerShellや管理者用コマンドなどの「正規のツール」を悪用する手法を環境寄生型(LotL:Living off the Land)攻撃と呼びます。「外部から不正な道具を持ち込まず、家にある道具(環境)だけで犯行に及ぶ」ため環境寄生型と呼ばれています。
暗号化前の「潜伏期間」に潜むリスク
ランサムウェアが起動し、ファイルが暗号化されるまで、攻撃者は平均数日間(ときには数週間)ネットワーク内に潜伏すると言われています。この間に、機密データの窃取や、後述するバックアップの破壊準備を着々と進めます。「何も起きていない(暗号化されていない)」イコール「安全である」とは限らないのが、現代の巧妙な攻撃の恐ろしさです。
「点」の防御に潜む構造的なリスク
VPN、EDR、バックアップといった個々の施策(点)は、それ自体が優れた防御能力を持っています。しかし、攻撃側はこれらを「単体のハードル」として捉え、一つひとつを無効化する手法を確立しています。 特定の製品を導入しているという安心感が、かえって「その製品が沈黙した際」の無防備さを招いてしまう――。この「点」の防御への依存こそが、現代の対策における最大の死角と言えます。
【実務者向け】ランサムウェア対策クイックチェックリスト
本章で述べた「死角」を放置していないか、まずは以下の優先項目を点検してください。これらに一つでもチェックが入らない場合、現在の対策が「形骸化」している恐れがあります。
境界防御とパッチ管理
すべてのVPN・ネットワーク機器に対し、致命的な脆弱性が公表されてから24時間以内にパッチ適用、または通信遮断ができる運用体制があるか?
多要素認証(MFA)の徹底
クラウド管理コンソールやVPN、特権IDなどの重要ログインに対し、ID・パスワード以外の「物理キーや生体認証を用いたMFA」が例外なく適用されているか?
権限の最小化(PAM/最小特権)
定常業務での管理者権限使用を禁止し、必要なときだけ権限を付与する運用(JIT: Just-In-Timeアクセス)ができているか?
サプライチェーン管理
自社と同等のセキュリティ基準を、海外拠点や保守委託先、グループ会社に対しても適用し、監査・把握できているか?
EDR/SOCの即時性
EDRのアラートを24時間365日監視し、侵害検知から「30分以内」に隔離などの初動対応が完了するフローがあるか?
データの重要度分類
どのデータが「絶対に失えない事業継続の鍵」であるかを定義し、それらに対して優先的に高度な対策(イミュータブルバックアップやRDRなど)を行っているか?
ランサムウェア対策において重要なのは、単一の製品を導入することではなく、攻撃のフェーズに合わせて複数の「網」を組み合わせる「多層防御」の視点です。
ここでは、対策の全体像と、優先すべきステップを整理します。
多層防御の全体像:攻撃ステップにあわせた対策を連動させる
侵入を100%防ぐことが困難な現在、単一の「点」や「境界(線)」での対策に頼るのではなく、全体を多層的に守る「面」の防御が必要です。攻撃者が目的を果たすまでの各ステップに対し、有効なソリューションを体系化します。ここでは例としていくつかのソリューションを紹介します。
| 攻撃フェーズ | 対策の目的 | 主要ソリューション | 概要 |
|---|---|---|---|
| ①諜報活動 | 攻撃の「予兆」を捉える | EASM | 外部公開資産の脆弱性を洗い出し、外向きの弱点を先回りして塞ぐ |
| ITAM | IT資産や各IT資産へのパッチ適用状況を可視化し、攻撃の足がかりをなくす | ||
| ②初期導入 | 入り口で「悪意」を検知・防御する | IAM/MFA | 厳格なID管理と、多要素認証により盗まれたIDが用いられた「正面突破」を阻止する |
| SWG | 不審なサイトへの接続をクラウド上で遮断し、感染を水際で防ぐ | ||
| ③内部活動 | データ流出:被害の「拡大」を封じ込める | EPP/EDR/RDR | 端末の不審な挙動をリアルタイムに検知し、攻撃の連鎖を断つ |
| PAM | 特権ID(管理者権限)の利用を制限し、致命的な操作を防ぐ | ||
| マイクロセグメンテーション | ネットワークを細分化し、他部署への感染拡大(横移動)を遮断 | ||
| ④破壊活動 | 暗号化によるシステム停止や、重要データの消去という「実害」を食い止める | バックアップ | 「イミュータブル(不変)」技術などで、消されないデータを維持 |
| RDR | ランサムウェアの「検知(Detection)」と「対処(Response)」に特化し、万が一攻撃が始まってしまった場合でも、迅速な復旧を支援 | ||
| ⑤脅迫活動 | 社会的信頼を維持・回復する | CSIRT | 被害状況の特定、公表要否の判断、警察・JPCERT連携など、有事の司令塔として組織対応を統制する |
まず着手すべきは、侵入の主要な要因となっているVPN機器などの「脆弱性対策(パッチ適用・リプレースなど)」と、盗まれたID悪用を防ぐ「認証の強化(MFAなど)」です。これらに加え、「不審な挙動の検知・防御(EPP/EDR/RDR)」や、万が一の際の「破壊活動への備え(バックアップ/RDR)」を組み合わせることで、侵入から破壊までの各フェーズに隙のない網を張ります。なかでも、特に重視されるのが、「破壊活動への備え」です。現代のランサムウェア攻撃は「企業の自力復旧という選択肢を奪うこと」に主眼をおいているため、この備えの「実効性」が事業継続の鍵を握ります。
バックアップの破壊を狙う攻撃プロセス
攻撃者は、暗号化という「仕上げ」に取りかかる前に、バックアップ環境の無効化を行うためのステップを踏みます。彼らの目的は、企業に「身代金を支払う以外に道はない」と思わせることです。
- VSS(Volume Shadow Copy Service:ボリューム シャドウ コピー サービス)の削除
侵入したプログラムは、Windows標準の簡易バックアップ機能であるVSSを即座に消去します。これにより、ユーザーがOSの標準機能で数分前の状態に戻すことを封じます。 - バックアップサーバーの特定と直接攻撃
ネットワーク内を横断的に探索し、バックアップ専用ストレージや管理サーバーを特定します。その後、盗み出した管理者権限(特権ID)を悪用して、保存されているバックアップデータそのものを暗号化、あるいは物理的に消去します。 - クラウド管理コンソールの乗っ取り
バックアップをクラウドへ保管していても安心はできません。MFAが設定されていない、あるいはセッションが乗っ取られた場合、攻撃者は管理画面に侵入し、バックアップスケジュール自体を削除して過去の履歴をすべて抹消します。
「イミュータブル(不変)バックアップ」による保護
現代のバックアップにおいて、もはや必須要件となりつつあるのがデータの「イミュータブル(不変性)」です。
書き換え・削除を物理的に許さない仕組み
一度書き込まれたデータに対し、一定期間(例:30日間)は、たとえシステム管理者であっても削除や変更を不可能にする技術です。これにより、管理者権限(特権ID)を奪取した攻撃者がバックアップを消そうとしても、ストレージ側のポリシーがその命令を物理的に拒絶します。
誤解してはならないのは、新しい対策の登場によって「バックアップが不要になる」わけではない、ということです。バックアップは依然として、さまざまな災害や侵害からデータを救い出す手段の一つであり、対策の根幹です。しかし、実務においてこの「バックアップ」を機能させるには、二つの大きな課題を解決する必要があります。一つは、「復旧ポイント(リカバリポイント)の見極め」に要する膨大な時間です。攻撃者は潜伏期間中にバックアップデータにも細工をしている可能性があるため、どの時点のデータが安全(クリーン)なのかを特定する作業は困難を極めます。
もう一つは、「リストア(復旧)そのものの物理的な時間」です。テラバイト級の大容量データをネットワーク経由で書き戻すには、数時間から、環境によっては数日を要し、その間ビジネスは停滞してしまいます。これからの対策に求められるのは、バックアップという「確かな備え」を維持しつつ、「安全な地点を即座に特定し、いかに瞬時にビジネスを再開させるか」というレジリエンス(回復力)を上乗せしていく考え方です。
迅速な復旧と確実な保護を実現する「レジリエンス技術」
バックアップが持つ「確実性」は活用しつつ、そこに至るまでの「空白の時間」を埋めるために、以下のような補完的な技術の組み合わせが推奨されます。
- RDR(Ransomware Detection and Response)による「迅速な復旧」
ランサムウェアはファイルを暗号化する際、必ず「キー」を生成して処理を行います。このキーをOSの深層部で特定・取得することで、万が一暗号化が始まってしまっても、取得されたキーを用いて対象ファイルを元の状態へ戻すことが可能になります。これは、「どのバックアップなら安全か」と検証に費やす時間を削減し、ネットワーク経由の大規模なリストアを待たずにエンドポイント単体で「正常な状態への即時修復」を行う、極めて即効性の高い技術です。 - 復旧の確実性を担保する「エアギャップ(隔離保護)」
「迅速な復旧」といった「速度」を追求する一方で、最後の最後で頼れる「確実なデータ」を確保しておくことも不可欠です。本番環境のネットワークから完全に切り離された空間にデータを保管する「エアギャップ」は、物理的なオフライン保管だけでなく、通信を厳格に制限した論理的隔離により、ランサムウェアの連鎖感染が絶対に届かない場所を確保します。
従来のバックアップと、これらの技術を組み合わせることで、「データの保存」と「復旧の速さ」の両立が可能になります。「絶対に失えないデータ」に対し複数の手段で多層的に備えることが重要です。
暗号化前の「不自然な動き」に気づくための内部監視
潜伏期間中の攻撃者は、大量のデータを外部へ転送したり、普段使われない管理者用コマンドを実行したりといった、特徴的な動きを見せます。
ファイルサーバーのアクセスログを監視し、短時間での大量の読み出しや、特権IDの不自然な挙動を検知する仕組みをバックアップ運用と並行して整えることで、暗号化が始まる前の「予兆」を捉えることが可能になります。ここまで述べたとおり、イミュータブルバックアップやRDRといった技術は、ランサムウェアという強大な敵から事業を守るための強力な武器となります。しかし、これらの高度な武器も、それだけで組織を守り抜けるわけではありません。
実際の現場では、「これは本当に攻撃なのか、それともシステムトラブルなのか」「即座に全ネットワークを遮断すべきか、それとも一部の隔離に留めるべきか」といった、正解のない緊迫した判断が瞬時に求められます。たとえ高度な「検知・防御(EPP/EDR/RDR)」対策を導入していても、現場が状況判断に迷ってしまうと、被害は拡大してしまいます。また、「復旧技術」が整っていても、「どの時点のデータが安全か」という見極めに手間取れば、事業再開までの貴重な時間が失われることになります。
つまり、ランサムウェア対策における「復旧戦略」とは、技術的な仕組みを整えることと、それを動かすための「組織の判断力」を養うことが両輪となって、初めて完成するのです。次章では、この「有事の判断」を支える実務的な対処と、ガバナンスのあり方について詳しく説明します。
どれほど強固な防御を築いても、リスクをゼロにすることは困難です。「感染したかもしれない」という事態に直面した際、組織がパニックに陥らず、冷静に事業を立て直すことができるよう、実務的なプロセスを整理します。
初動対応:ランサムウェアに感染した際の隔離と「証拠保全」
万が一、ランサムウェアに感染したら、現場が最も優先すべきは「感染拡大の阻止」です。異常を検知した際のランサムウェア感染直後の対応が、その後の復旧の成否を分けます。
- ネットワークの物理的・論理的遮断
感染が疑われる端末のLAN(Local Area Network)ケーブルを抜く、あるいはWi-Fiをオフにします。これにより、ほかの端末やサーバーへの横展開(ラテラルムーブメント)を物理的に遮断します。 - 「電源を切らない」という鉄則
反射的にPCの電源を切りたくなりますが、これは推奨されません。ランサムウェアの実行プロセスや、メモリー(記憶装置)上に一時的に残された暗号化キー、攻撃の痕跡(ログ)が消去されてしまうためです。フォレンジック(原因調査)の精度を高めるためにも、通電状態を維持したままネットワークから切り離すのが実務上の定石です。
組織の回復力(レジリエンス)を高める:机上演習の重要性
立派なマニュアルがあっても、実際に攻撃を受けた際にそれを正しく運用できるかは別問題です。
意思決定のトレーニング
システム部門だけでなく、経営層、法務、広報、事業部門が参加する「机上演習」を定期的に実施します。「対外発表のタイミングはいつか」「警察やJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)へどの情報を伝えるか」といったシナリオを事前にシミュレーションしておくことで、有事の際の「迷い」を最小限に抑えます。
復旧判断におけるリスクと社会的責任
「一刻も早くデータを戻したい」という焦りから、攻撃者との交渉を検討されるケースもありますが、そこには多大なリスクが潜んでいます。
- 身代金支払いに伴うリスク
支払いに応じても、提供される復号ツールが不完全でデータが破損したり、追加の金銭を要求されたりする事例が後を絶ちません。また、反社会的勢力への資金源となるだけでなく、「支払いに応じる企業」としてリスト化され、将来的な再攻撃の標的とされるリスクも高まります。 - 「No More Ransom(ノー・モア・ランサム)」などの活用
法執行機関やセキュリティベンダーが連携し、既知のランサムウェアに対する復号ツールを無償公開しているプロジェクトがあります。独自に交渉を始める前に、こうした信頼できるリソースを確認することが重要です。
経営層と合意すべき「許容範囲」
ランサムウェア対策の成否は、技術的なツール以上に、組織としての意思決定の速さに左右されます。
- RTO(Recovery Time Objective:目標復旧時間)の設定
「全システムが停止した際、何日以内に復旧できれば事業が継続可能か」という基準を、経営課題として事前に合意しておきます。この時間が短ければ短いほど、前述の「イミュータブル(不変)バックアップ」などの高度な投資が必要になります。 - 法令遵守と報告フロー
改正個人情報保護法にもとづき、漏洩の恐れがある場合には個人情報保護委員会への報告および本人への通知が義務化されています。また、警察庁やJPCERT/CC(Japan Computer Emergency Response Team Coordination Center:一般社団法人JPCERTコーディネーションセンター)への相談窓口を事前に整理しておくことが、迅速な事後対応に繋がります。
本稿では、現在の高度化したランサムウェア攻撃に対し、定義の再考から今押さえておきたい防御・復旧技術、そして組織としての備えまでを概説してきました。ここで改めて強調したいのは、ランサムウェア対策に「完了」という状態は存在しないということです。現在の最新のセキュリティ製品や高度なバックアップソリューションも、攻撃者がその仕組みを研究し、回避策を見つけ出した瞬間に、かつての「定石」と同じように死角を抱えることになります。重要となるのは、特定のツールを導入して安心することではありません。導入した技術が正しく機能しているかを常に評価し、攻撃の変化に合わせて、自社の防御・復旧のプロセスと運用体制を常に見直し、更新し続ける組織文化を築くことです。
技術と運用が一体となった「面」の防御
サプライチェーンを悪用した侵入や、セキュリティ機能の無効化といった多角的な脅威に対し、「検知・遮断」や「バックアップ・復旧」などの各機能を、それらを動かすための判断や権限管理といった運用とセットで「面」として機能させ続けることが重要です。
判断力の継続的な訓練
最新の脅威シナリオを用いた机上演習を繰り返し、テクノロジーという「武器」を使いこなすための組織のレジリエンスを高め続ける。
こうした「継続的な改善」の積み重ねこそが、ランサムウェアという巨大な脅威から、企業の未来と社会的価値を守り抜くための、確かな道筋となるはずです。
※ 本ページの一部は、生成AIにより生成されたコンテンツを使用しています。
ランサムウェア対策ソリューション
昨今深刻化しているランサムウェア攻撃に対し、脅威の事前検知からインシデント発生後までトータルで対応を支援します。
