ランサムウェアとは？仕組み・感染経路・対策をわかりやすく解説

「社内のファイルが突然暗号化されて開けなくなった」「身代金を要求する画面が表示された」――こうした被害報告が、企業規模を問わず急増しています。

ランサムウェアは、いまや中小企業にとっても”対岸の火事”ではなく、情シス担当者であれば確実に押さえておきたい脅威です。

この記事では、ランサムウェアの仕組み・主な感染経路・具体的な防御策について、現場で使えるレベルで解説します。「何から手をつければいいのか分からない」という方にも実践しやすい対策を中心にまとめました。

ランサムウェアとは？なぜ今これほど危険なのか

ランサムウェア（Ransomware）とは、パソコンやサーバー内のファイルを勝手に暗号化し、「元に戻してほしければ金を払え」と身代金（Ransom）を要求するマルウェア（悪意あるソフトウェア）の一種です。

近年のランサムウェアが深刻な理由は、主に3つあります。

・二重脅迫（ダブルエクストーション）: ファイルを暗号化するだけでなく、盗んだデータを「公開するぞ」と脅す手口が主流になっています
・RaaS（Ransomware as a Service）の普及: 攻撃ツールがサービスとして販売されており、技術力の低い攻撃者でも実行できる状態です
・中小企業が標的に: セキュリティ投資が手薄な中小企業が「入りやすいターゲット」として狙われるケースが増えています

IPA（情報処理推進機構）が毎年発表する「情報セキュリティ10大脅威」でも、ランサムウェアは組織向け脅威として常に上位にランクインしています。

ランサムウェアの攻撃の仕組み

ランサムウェアの攻撃は、大まかに以下の流れで進行します。防御策を考えるうえで、攻撃者がどのように動くかを理解しておくことが重要です。

1. 侵入（初期アクセス）

攻撃者はまず、標的のネットワークに侵入する足がかりを作ります。主な手口はメールの添付ファイル、VPN装置の脆弱性の悪用、リモートデスクトップ（RDP）への不正ログインなどです。

2. 内部探索と権限昇格

侵入後、攻撃者はネットワーク内を横方向に移動（ラテラルムーブメント）しながら、管理者権限の取得やファイルサーバーの特定を行います。この段階で重要データの窃取も同時に進めるケースが一般的です。

3. 暗号化と身代金要求

十分な情報を集めた後、一斉にファイルを暗号化します。バックアップも同時に破壊するケースが多く、被害者は「払うしかない」と追い込まれる構図です。暗号化完了後、身代金を要求するメッセージが表示されます。

この一連の流れは、侵入から暗号化まで数日から数週間かかることが多く、「気づいたときには手遅れ」というのが実態です。

主な感染経路を知っておく

防御のためには、「どこから入ってくるのか」を把握しておくことが欠かせません。

1. フィッシングメール

もっとも多い感染経路です。請求書や配送通知を装ったメールに、マルウェアを仕込んだ添付ファイルやリンクが含まれています。最近は日本語が自然なフィッシングメールも増えており、一見して見分けがつかないケースが少なくありません。

2. VPN機器の脆弱性

テレワークの普及に伴い、VPN機器を狙った攻撃が急増しました。既知の脆弱性にパッチを当てていないVPN装置は、攻撃者にとって「開いたままのドア」と同じです。

3. RDP（リモートデスクトップ）の不正利用

インターネットに直接公開されたRDPポート（3389番）に対して、総当たり攻撃（ブルートフォース）や漏洩した認証情報で不正ログインされるケースです。

4. サプライチェーン攻撃

取引先や利用しているソフトウェアのアップデート機能を経由して侵入する手口です。自社のセキュリティが万全でも、サプライチェーンの弱い部分を突かれる可能性があります。

具体的な防御手順

ランサムウェアへの備えは、「侵入させない」「被害を最小化する」「復旧できる」の3層で考えるのが基本です。

1. バックアップの「3-2-1ルール」を徹底する

ランサムウェア対策の最重要項目がバックアップです。以下の「3-2-1ルール」を守りましょう。

・3つのコピー: オリジナルを含め、データを3つ以上保持する
・2種類のメディア: 異なる種類の記録媒体（例: NASとクラウド）に保存する
・1つはオフサイト: 最低1つはネットワークから切り離した場所に保管する

ネットワーク接続されたバックアップだけでは、ランサムウェアに同時に暗号化されるリスクがあります。オフラインバックアップやイミュータブル（書き換え不可）バックアップが有効です。

2. OS・ソフトウェアのアップデートを迅速に適用する

既知の脆弱性を放置しないことが鉄則です。特にVPN機器、リモートアクセス関連のファームウェア更新は最優先で対応してください。

# Linux環境でのセキュリティアップデート確認例
# RHEL/CentOS系
sudo dnf check-update --security

# Ubuntu/Debian系
sudo apt list --upgradable 2>/dev/null | grep -i security

3. メール対策を強化する

フィッシングメールへの対策として、以下を導入・設定します。

・SPF/DKIM/DMARC: 送信ドメイン認証を設定して、なりすましメールを検知する
・添付ファイルフィルタリング: 実行ファイル（.exe, .js, .vbs等）の添付をブロックする
・従業員教育: 不審なメールの見分け方を定期的に周知する。技術対策だけでは防ぎきれない部分です

4. ネットワークのセグメンテーション

社内ネットワークをセグメント（区画）に分割しておくと、万が一侵入されても被害範囲を限定できます。重要なファイルサーバーや基幹システムは、一般の業務端末と別のセグメントに配置するのが望ましい構成です。

5. RDPとVPNのアクセス制御

・RDPをインターネットに直接公開しない。必要な場合はVPN経由に限定する
・VPN接続には多要素認証（MFA）を導入する
・不要なポートは閉じ、アクセス元IPを制限する

# firewalldでRDPポートへのアクセスを特定IPに制限する例
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="3389" protocol="tcp" accept'
sudo firewall-cmd --reload

中小企業でも今日からできること

「予算も人員も限られている」という中小企業の情シス担当者に向けて、すぐに着手できる対策をまとめます。

予算が限られていても、バックアップと多要素認証の2つだけで被害リスクを大幅に下げられます。まずはこの2つから始めてみてください。

よくある誤解と注意点

【注意】「身代金を払えば復旧できる」は正しくない

身代金を支払っても、データが完全に復旧する保証はありません。実際に支払った企業のうち、完全復旧できたのは一部にとどまるという調査結果もあります。さらに、支払いが攻撃者の資金源となり、次の攻撃を助長する点も見逃せません。

【注意】「ウイルス対策ソフトだけで防げる」は過信

アンチウイルスソフトは重要な防御層の一つですが、それだけでは十分とは言えません。最新のランサムウェアは検知を回避する技術を備えていることが多く、多層防御（Defense in Depth）の考え方が必要です。

【注意】「うちは小さいから狙われない」は危険な思い込み

攻撃者は企業規模で標的を選んでいるわけではありません。脆弱性が露出しているかどうかで自動的にスキャンしており、防御の甘い組織が無差別に狙われます。

本記事のまとめ

ランサムウェアは、ファイルを暗号化して身代金を要求するマルウェアです。近年は二重脅迫やRaaSの普及により被害が拡大しており、中小企業も例外ではありません。

防御の基本は「バックアップ」「脆弱性対策」「アクセス制御」の3つです。身代金を払っても復旧の保証はなく、日頃の備えこそが最大の防御策となります。

Linuxサーバーのセキュリティ強化については、姉妹サイトLinuxMaster.JPでも詳しく解説しています。firewalldやSELinuxの設定方法を知りたい方はぜひあわせてご覧ください。