身代金を要求する悪質なプログラム
「ランサムウェア(Ransomware)」とは、感染したコンピュータやサーバー内のデータを勝手に暗号化して読み取れない状態にしたり、端末そのものをロックして操作不能にしたりする「マルウェア(悪意のあるソフトウェア)」の一種です。英語で「身代金」を意味する「Ransom(ランサム)」と「Software(ソフトウェア)」を組み合わせた造語です。
ランサムウェアの攻撃者は、企業の資産であるシステムやデータを「人質」にとって、その復旧と引き換えに金銭を要求します。これは、愉快犯的にシステムを破壊したり、ひっそりと情報を盗み出したりしていた、かつてのマルウェアの攻撃者とは異なる点です。また、攻撃者は追跡が困難なビットコインなどの暗号資産(仮想通貨)での支払いを要求することが多くなっています。
重要なポイントは「身代金を支払ってもデータが復元される保証はどこにもない」ということです。支払いに応じることは、犯罪組織への資金提供につながるだけではありません。匿名性が高くサイバー犯罪の温床となっているダークウェブ上のリストに「金を払う企業」として掲載され、再攻撃を受けるリスクを高める可能性もあります。そのため、警察やセキュリティ機関は「支払いは推奨しない」という立場をとっています。
攻撃の歴史と「二重脅迫」への進化
ランサムウェアの歴史は意外に古く、1989年にフロッピーディスクを通じて配布された「AIDSトロイの木馬」が初期の例とされています。当時は物理媒体での配布でしたが、インターネットの普及とともにメールの添付ファイルなどを通じて感染を広げる手法が一般化しました。
日本でも知名度が高いランサムウェアに、2017年に登場した「WannaCry(ワナクライ)」があります。これはWindowsの脆弱性を悪用し、ネットワークに接続しているだけで感染が広がる自己増殖型の「ワーム機能」を持っていました。WannaCryが猛威を振るったことで世界中の工場や医療機関などが機能を停止し、ランサムウェアの脅威が社会問題として広く認識されるきっかけとなりました。
現在、攻撃はさらに悪質化し、「二重脅迫」と呼ばれる手口が主流となっています。従来のランサムウェアは「データを暗号化して使えなくする」だけだったため、「バックアップから復元する」という対策が可能でした。そこで攻撃者が編み出した新たな手口が、機密情報を暗号化する前に盗み出しておき、「身代金を払わなければ盗んだデータをインターネット上で公開する(リークする)」と脅す手法です。企業側は「システムの復旧」と「情報漏えいの阻止」という二重の対策が必要になります。
さらに最近では、被害企業の顧客や取引先に直接連絡して脅す「三重脅迫」や、DDoS攻撃(サーバーへの大量アクセス攻撃)を組み合わせるなど、手口は巧妙化・悪質化の一途をたどっています。
メールやVPN機器などの感染経路
ランサムウェアの主な感染経路として挙げられるのが、「メール」「VPN(仮想プライベートネットワーク)機器」「リモートデスクトップ(RDP)」です。
メール経由の攻撃では、実在する取引先や公的機関を装ったフィッシングメール(標的型攻撃メール)が使われます。請求書や連絡事項を装った添付ファイルを開かせたり、本文中の不正なURLリンクをクリックさせたりすることでウイルスに感染させます。最近では生成AIを悪用して自然な日本語の文面を作成するケースも増えており、見抜くことが非常に難しくなっています。
近年、特に被害が多発しているのが、VPN機器やRDPの脆弱性を突いた侵入です。テレワークの普及に伴い、外部から社内ネットワークに接続するためのVPN機器を導入する企業が急増しました。しかし、その機器のセキュリティ更新(ファームウェアのアップデート)やパスワード管理が不十分なままで運用されているケースは少なくありません。攻撃者はインターネット上を巡回し、脆弱性が放置された機器を見つけ出し、そこを「裏口」として社内ネットワークに侵入します。また、RDPの認証情報が漏えいしたり、設定に不備があったりすると、攻撃者が遠隔操作で侵入しランサムウェアを感染させることもあります。
一度侵入を許すと、攻撃者はネットワーク内で権限を昇格させながら横展開(ラテラルムーブメント)を行い、最終的に重要なサーバーやバックアップシステムに到達して侵害範囲と被害を拡大します。
国内企業を襲う「サプライチェーン攻撃」の脅威
2025年秋に相次いだ国内企業の被害事例は、ランサムウェアが単なる「データの暗号化」にとどまらず、企業の事業継続そのものを破壊するリスクであることを浮き彫りにしました。
1つは、製造業における「操業停止」のリスクです。アサヒグループホールディングスの事例では、サイバー攻撃によりシステム障害が発生し、国内工場の稼働停止や決算発表の延期を余儀なくされました。工場のラインが止まることは、製品供給の寸断に直結し、企業の信頼と収益に甚大なダメージを与えます。
もう1つ、より深刻な課題として顕在化したのが「サプライチェーン攻撃」による被害の連鎖です。オフィス通販のアスクルが攻撃を受けた事例では、配送遅延が発生しただけでなく、その子会社に物流業務を委託していた良品計画(無印良品)などのECサイトも機能停止に追い込まれました。
これらの事例が示唆しているのは、「自社のセキュリティが堅牢であっても、ビジネスは止まってしまう」という現実です。委託先や取引先(サプライチェーン)の一角が崩されれば、物流網が麻痺するだけでなく、顧客情報の漏えいリスクまで共有することになります。ランサムウェア対策は、もはや一企業単独で完結するものではなく、取引先を含めた供給網全体で取り組むべき経営課題といえるでしょう。
企業が今すぐ取り組むべきランサムウェア対策
脅威に対抗するために、企業はどのような対策を講じるべきでしょうか。
1. 脆弱性対策とパッチ適用
VPN機器やサーバーのOSは常に最新の状態に保つことが基本中の基本です。特にVPN製品の脆弱性は攻撃者に狙われやすいため、ベンダーからの通知を見逃さず、迅速に修正プログラム(パッチ)を適用する必要があります。
2. 多要素認証(MFA)の導入
パスワードだけの認証では、万が一パスワードが漏れた際に簡単に侵入を許してしまいます。スマートフォンでの承認などを組み合わせた多要素認証を導入し、リモートアクセスや重要システムへのログイン認証を強化しましょう。
3. オフラインバックアップ(3-2-1ルール)
ランサムウェアはバックアップデータも同時に暗号化しようとします。ネットワークに接続されたHDDやサーバー上のバックアップだけでは不十分です。「データは3つ持つ(本番+バックアップ2つ)」「2つの異なる媒体に保存する」「そのうち1つは遠隔地やオフライン(ネットワークから切り離した状態)で保管する」という「3-2-1ルール」を徹底し、最後の砦を確保することが重要です。
4. 従業員教育と訓練
技術的な対策だけでなく、人の意識向上も欠かせません。標的型メール訓練などを定期的に実施し、「不審なメールは開かない」「マクロを有効にしない」といった基本動作を組織全体に浸透させることが、感染リスク低減につながります。
サイバー攻撃は、もはや「もし起きたら」ではなく「いつ起きてもおかしくない」現実の脅威です。アサヒグループやアスクル、無印良品の事例を“他山の石”とし、自社のセキュリティ体制を今一度見直すことが求められています。
