ランサムウェアとは？最新動向から企業が実施すべき対策を簡単に解説

2-1. 2025年上半期におけるランサムウェアの状況

警察庁が公表した資料によれば、2024年に報告されたランサムウェア被害件数は222件でした。そして、2025年9月に公表された資料では、2025年上半期における被害報告件数はすでに116件に達しています。

参考：
「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について（警視庁サイバー警察局）」
「令和６年におけるサイバー空間をめぐる脅威の情勢等について（警視庁サイバー警察局）」

このペースのままで進むと、2025年は前年を上回る件数のランサムウェア被害が発生するかもしれません。また、特に注目すべき点としては、大企業に比べてセキュリティ対策が手薄になりがちな中小企業を狙った攻撃が増加している点です。

2023年に比べて、2024年は中小企業の被害件数が37％も増加しました。民間企業の調査でも被害件数は増加傾向にあり、2025年後半もこの傾向が続くものと懸念されています。

2-2. AIを活用したサイバー攻撃

近年、攻撃者は生成AIを悪用し、より巧妙なサイバー攻撃を仕かけています。例えば、ごく自然な日本語のフィッシングメールを自動生成したり、マルウェアのコードを解析されにくいように難読化したりする事例が報告されています。

生成AIを悪用することにより、高度な専門知識を持たない攻撃者でも効果的な攻撃を実行できるようになり、サイバー犯罪への参入障壁が低下している現状です。

2-3. RaaS（サービスとしてのランサムウェア）の進化

RaaS（Ransomware as a Service）は、サイバー攻撃をビジネスモデル化したものであり、ランサムウェアによる脅威を拡大させる大きな要因です。

専門的なスキルを持つ攻撃者が開発したランサムウェア攻撃のツールを、知見の乏しい別の攻撃者が利用料を払って使用します。この仕組みにより、誰でも比較的安価にランサムウェア攻撃を開始できるため、サイバー犯罪者の裾野が広がっています。

3-1. 主要感染経路の一覧

警察庁の報告によると、ランサムウェア被害のうち、特にVPN機器の脆弱性を悪用した侵入が半数以上を占めており、最大の脅威です。その他にも、さまざまな感染経路があるため、下記のとおり一覧表にまとめました。

多様な感染経路に対して、網羅的に対策を進めることが求められます。

3-2. 4段階の攻撃プロセス（侵入→拡大→攻撃→要求）

近年の標的型ランサムウェア攻撃は、一般的に4つの段階を経て実行されます。第1段階は「侵入」であり、VPN機器の脆弱性などを利用して社内ネットワークへの足がかりを確保します。

第2段階は、ネットワーク内部を偵察して管理者権限の奪取を試み、より重要なサーバーへと侵入範囲を「拡大」するフェーズです。続く第3段階の「攻撃」フェーズで機密情報を窃取し、ファイルを暗号化します。

最終段階で身代金を「要求」する脅迫メッセージを表示する、という流れです。

3-3. 標的型攻撃とばらまき型攻撃の違い

不特定多数を狙う「ばらまき型」に対し、「標的型攻撃」は特定の企業を入念に調査し、機器などの脆弱性を狙って計画的に実行されます。

近年では後者が多く見られ、データを暗号化するだけでなく、窃取した情報を公開するなどと脅迫する「二重恐喝」の手口が多用されています。

警察庁の報告によれば、令和5年に手口を確認できた被害175件のうち130件（74％）がこの二重恐喝でした。ランサムウェアを用いた二重恐喝は、企業にとって金銭的損失と情報漏洩の二重のリスクとなっています。

4-1. 従業員へのセキュリティ教育

ランサムウェア感染の多くは、ID・パスワードが安易であることや、従業員が不審なメールを開封するなどの人的ミスが起点となっています。そのため、全従業員を対象として定期的にセキュリティ教育を施すことが不可欠です。

標的型メール攻撃を想定した訓練などを通じ、不審なメールやWebサイトを見分ける能力と、インシデント発生時の正しい報告手順を周知徹底させることが求められます。

併せて、ランサムウェアの被害に遭うとどのようなことが起こるのか、という点も全社的に共有しておくことが重要です。

4-2. OS・ソフトウェアの定期更新

攻撃者は、OSやソフトウェア、VPN機器などに存在する脆弱性を狙って侵入を試みます。ソフトウェア開発元から提供されるセキュリティパッチやアップデートは、判明した脆弱性を修正するためのものです。

そのため、これらを速やかに適用し、システムを常に最新の状態に保つことが、基本的でありながらも重要な対策となります。

4-3. セキュリティ対策ソフトの導入

攻撃手法が高度化するなか、既知の脅威を検知する従来のアンチウイルスソフトだけでは対策としては不十分です。

未知のマルウェアによる不審な挙動を検知するNGAV（次世代アンチウイルス）や、感染後の被害拡大を防ぐためのEDR（Endpoint Detection and Response）といった、より高度なセキュリティソリューションの導入が推奨されます。

4-4. メールフィルタリングとスキャン機能

主要な感染経路の一つであるメールからの侵入を防ぐため、高機能なメールフィルタリングの導入は非常に有効です。

特に、業務内容や個人情報などを悪用する巧妙な標的型攻撃メールを見抜くためには、サンドボックス機能などを備える高度な分析が可能なシステムが不可欠です。

標的型攻撃メールの精度も上がっており、ターゲットしか知り得ない情報やターゲット個人に関連する情報を含むメールが使用されることもあります。そのため、気を付けていてもうっかり開封してしまうかもしれません。

高度な分析機能を持つフィルタリングシステムを用いることによって、脅威が従業員に届く前に遮断することが可能です。

4-5. データバックアップの3－2－1ルール

万が一ランサムウェアに感染し、データを暗号化された場合の最後の砦となる手段がバックアップです。重要なデータは「3－2－1ルール」にしたがって管理することが強く推奨されます。

3－2－1ルールとは、3つのコピーを作成し、2種類の異なる媒体に保存し、そのうち1つは社内ネットワークから切り離したオフラインかつ遠隔地に保管する、というものです。

3－2－1ルールに則ったバックアップにより、有事の際にも安全なデータからの迅速な復旧が可能となります。

5-1. 感染端末のネットワーク隔離

ファイルが暗号化されるなどの感染の兆候を確認したら、被害の拡大を防ぐために、ただちにその端末をネットワークから隔離します。LANケーブルを抜く、Wi-Fiをオフにするといった物理的な切断が最も確実な方法です。

その際、のちに行なわれる調査のために証拠保全が必要なため、端末の電源はシャットダウンせずに維持しておくことが推奨されます。シャットダウンするとランサムウェアの動作ログ、メモリ上のデータ、感染経路などの重要な調査情報が失われる可能性があることが理由です。

5-2. 初動対応と感染範囲の確認

隔離措置と並行して、速やかに社内の情報システム部門やCSIRTなどのインシデント対応担当者に報告します。担当者は、他の端末やサーバーにも感染が広がっていないか、ネットワーク全体のログなどを確認し、被害の全体像を把握します。

この段階で影響範囲を正確に特定することが、その後の対応を左右することになるため、しっかりとした対応が必要です。

5-3. インシデント対応策の決定と実施

被害の範囲と影響度が明らかになったら、具体的な復旧計画を策定します。バックアップからの復旧手順、関係各所への報告、外部への公表方針などを決定し、実行に移しましょう。

自社のみでの対応が困難な場合には、被害調査や復旧作業の知見を持つ外部の専門業者へ支援を要請することも有効な選択肢の一つです。

5-4. 警察・関連機関への通報

ランサムウェア被害はサイバー犯罪であるため、必ず最寄りの警察署や都道府県警のサイバー犯罪相談窓口に通報・相談しましょう。また、IPAなどの専門機関に報告することにより、技術的な助言や対応支援を得られる場合があります。

これらの機関と連携することで、適切な対応が可能になります。

5-5. 被害の最小化と原状回復

復旧作業は、事前に取得しておいたバックアップデータから行ないます。事業への影響を最小化するため、基幹システムや業務上不可欠なサーバーから優先的に復旧するなど、優先順位を定めて計画的に作業を進めることが重要です。

感染した端末は、初期化したうえでOSを再インストールし、クリーンな状態に戻してから復旧を試みましょう。