ランサムウェアの定義

「ランサムウェア」とは、Ransom（身代金）とSoftware（ソフトウェア）を組み合わせた造語のことです。ランサムウェアに感染すると、パソコン等に保存されているデータが不正に暗号化され、使用不可能になってしまいます。

そして、犯罪者がそのデータを復号するのと引き換えに、身代金として対価（金銭や暗号資産）を要求するという手口です。企業や組織にとって重要なデータが使用できなくなれば、事業の継続に大きなダメージをもたらします。

また、「身代金を払わなければ情報を漏えいする」といった脅迫行為に発展することもあり、被害者は暗号化と情報暴露という二重のリスクにさらされます。そのため、代表的なサイバー犯罪の一つとして、社会問題になっているのが現状です。

ランサムウェアの被害状況

ランサムウェアによる被害の実態については、警察庁が公表している「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について」で詳しく触れられています。資料によれば、ランサムウェアの被害件数は、2021年が146件であったのに対し、2022年は230件、2023年は197件、2024年は222件とされています。

さらに、2025年も上半期のみで116件の被害報告があり、過去数年で被害件数が増加しているのは明らかです。また、ランサムウェアの被害件数を組織規模別に見ると、2025年上半期は約3分の2が中小企業となっています。

この結果からは、ランサムウェアの攻撃実行者の増加に伴い、対策が比較的手薄な中小企業が狙われていると考えられます。被害による調査・復旧費用も高額化しており、中小企業での被害増加と費用負担の上昇によって、企業経営に大きな影響をもたらしていると言えるでしょう。

　

【関連記事】

サイバー攻撃の脅威について解説しています。

　

ランサムウェアによる攻撃手順

ランサムウェアによる被害は、どのような経路で発生しているのでしょうか。ここでは、ランサムウェアの主な感染経路や、攻撃手順について解説します。

ランサムウェアの感染経路

ランサムウェアの主な感染経路としては、次のようなものが挙げられます。

・VPN機器からの侵入
・リモートデスクトップからの侵入
・不審なメール
・改ざんされたWebサイト
・外部記憶メディア
・プリカーサーマルウェア

従来は不特定多数に電子メールを送り、添付されたファイルの開封等をトリガーとして感染させるといった手法が一般的でした。近年では、組織を標的に攻撃する手法が主流となっており、VPN機器等のネットワーク機器の脆弱性を狙って侵入してくるケースが増えています。

具体的には、「VPN機器の認証情報を悪用する」「リモートデスクトップから侵入する」「改ざんされたWebサイトの広告や画像をクリックさせて感染させる」「USB等の外部記録メディアにランサムウェアを仕込む」といった具合です。また、昨今では「プリカーサーマルウェア」を感染経路にした手口も増加しています。

プリカーサーマルウェアとは、感染をきっかけにほかのマルウェアの感染を呼び込むのが特徴であり、しばしばランサムウェア攻撃の前兆となります。

ランサムウェアの攻撃手順

ランサムウェアによる攻撃は、以下の4つの手順で行われます。

1. ネットワークへの侵入

2. 攻撃の足がかりとなる基盤の構築

3. 情報の窃取

4. ランサムウェアの実行

まずは、マルウェアを仕込んだフィッシングメールやVPN機器の脆弱性を悪用して、攻撃対象のネットワークに侵入します。その後、遠隔操作によってネットワーク内の端末を不正に操作し、各種の権限を取得しながら攻撃のための基盤を構築していきます。

ネットワーク内で権限を拡大したら、機密性の高いネットワーク階層への侵入を試み、企業を脅迫するための重要な情報を窃取するのが基本の手口です。この段階では既に重要な情報が盗まれているため、情報暴露の脅迫を受けるリスクが発生してしまいます。

最後に、グループポリシー機能等を使ってランサムウェアをネットワークに展開・実行し、情報を暗号化します。これにより、被害者側は重要な情報を一切利用できなくなるため、事業停止等による重大な損害リスクを負うこととなるのです。

ランサムウェアによる被害の事例

ランサムウェアによる被害は、多様化・複雑化しているのが現状です。ここでは、ランサムウェア被害における直近の事例も含めて、よくある事例や被害の実態について見ていきましょう。

ランサムウェア被害の最近の事例

2025年9月29日、アサヒグループHDが犯罪グループ「Qilin（キリン）」によるランサムウェア攻撃の被害を受け、大規模なシステム障害に陥りました。物流システムに甚大な被害が生じ、数日間にわたる出荷停止に陥ったことで大きなニュースとなり、12月現在においてもシステムの完全復旧には至っていません。

さらに11月末の記者会見では、200万件近くの個人情報漏えいの可能性があると報じられ、大きな波紋を呼びました。会見によれば、攻撃者がグループ拠点のネットワーク機器を経由してデータセンターのネットワークに入り込み、そこでランサムウェアを実行させたとされています。

また、アスクルでは、10月19日にランサムウェアの被害を受けたことを公表しています。「RansomHouse（ランサムハウス）」というグループから攻撃を受けたとされており、複数の通販サービスで出荷・受付業務の停止を余儀なくされました。

その結果、10月21日から11月21日までの1か月の売上高が前年同期と比べて95％の大幅減となり、業績を大きく左右する事態に発展しました。日本を代表する企業が相次いで被害を受けたことで、ランサムウェア攻撃に対する危機感が改めて高まっているのが実情です。

ランサムウェア被害でよくある事例

ランサムウェア攻撃の典型的な事例は、暗号化されたデータを復元するために身代金を要求するというものです。例えば、警察庁に寄せられたある相談事例では、パソコンの画面が急に制御不能になり「パソコンのファイルを暗号化し、戻すために、ビットコインを支払え。」といった画面が表示されました。

被害者が警告を無視して画面を閉じたところ、パソコン上のファイルが次々と閲覧できなくなってしまったというケースが報告されています。ほかにも、「サーバがウイルスに感染してシステムが使えなくなった」「内部のファイル名が改ざん、暗号化されており、解除するために金銭の支払いを要求された」といった相談事例が寄せられています。

また、「リークサイトへのデータ流出を止めるために金銭を要求する」といったケースも、ランサムウェア被害の典型的な例です。海外からの攻撃も増えており、インターネットの閲覧中に英語で「ファイルの暗号化を解除するために１万ドル分の暗号資産（仮想通貨）を要求する」「支払われなければ、コンピュータ内に保存されているデータを公開する」といった趣旨のメッセージが表示された事例もあります。

【関連記事】

情報セキュリティ体制の整備について解説しています。

　

ランサムウェアの被害によって企業が受ける影響

さまざまなサイバー攻撃のなかでも、ランサムウェアによる被害は高額化しやすい傾向にあります。ここでは、ランサムウェア攻撃が企業に与える影響を3つのポイントに分けて見ていきましょう。

【関連記事】

企業における情報セキュリティの脅威について解説しています。

　

事業停止のリスクが発生する

ランサムウェアは重要なデータやシステムを使用不能にするため、事業の運営に重大な影響をもたらす恐れがあります。一度感染すれば、ネットワークを通じてさまざまな経路に侵入するため、自社のみならずサプライチェーン全体に被害がおよぶ可能性もあるでしょう。

特に複数の提携先を持つ大企業では、サプライチェーンにまで間接的な被害がおよび、事業の継続が難しくなる場合も少なくありません。また、前述したアサヒHDの事例にもあるように、システムの復旧対応に多くの工数や時間をとられてしまうケースも多いです。

情報漏えいが引き起こされる

ランサムウェア攻撃では、攻撃者が内部のデータにアクセスできるため、機密情報等を窃取されてしまうリスクもあります。そして、盗んだ機密情報や顧客データ等を盾に、高額な金銭を要求するというのが基本的な手口です。

時間の経過とともに暴露される内容が増え、情報漏えいによる被害が深刻化する恐れがあるため、企業としても対応に悩んでしまうことが多いです。

関係者からの信用が失われる

事業の停止等の直接的な被害に加えて、社会的な信用を損失してしまうのも大きなリスクです。実際に情報漏えい等が発生すれば、顧客や取引先といった関係者からの信頼を失い、その後の事業運営に支障をきたす可能性もあるでしょう。

実際に、ランサムウェアの一つである「DarkSide」の被害事例では、ファイルの暗号化、窃取した情報の暴露（情報漏えい）に加えて、DDoS攻撃によって被害組織の顧客やサプライチェーン関係者への脅迫も行われました。暗号化・情報の暴露・DDoS攻撃・関係者への連絡という四重の脅迫被害を生み出すことから、企業にとっては大きなダメージにつながる恐れがあります。

ランサムウェアの被害に遭った時の対応

自社をランサムウェアから守るためには、実際に攻撃を受けてしまった時に備えて、被害を最小限にとどめる手段を検討しておく必要があります。ここでは、どのような手順で対応すべきなのか、基本的な流れを解説します。

被害状況を特定する

ランサムウェア攻撃を受けていることが発覚した場合には、早急に被害の実態を把握する必要があります。まずは、被害を受けているエンドポイントやデータを明らかにし、どの範囲にまで影響がおよんでいるのかを正確に特定しなければなりません。

暗号化されているデータ・ファイルや、ランサムノート（身代金を要求するテキスト等）が存在するサーバ・クライアントを特定し、リストアップします。また、ネットワークに侵入されている場合は、遠隔操作によって不審な通信が行われている可能性も考えられます。

システムログ等を参照し、「本来使用されるはずのない端末上でネットワーク管理者アカウントが使われている」といった疑わしい事象がないかもチェックしましょう。それ以外には、「管理者アカウントが乗っ取られていないか」「窃取された情報が既に暴露されていないか」等も確認しておく必要があります。

感染した機器をネットワークから遮断する

既にネットワークが感染している場合、さらなる拡大を防ぐためにも、組織ネットワークをインターネットから切断する必要があります。ただし、影響範囲が特定できているのであれば、組織ネットワーク全体をインターネットから切断する必要はありません。

全体を遮断してしまうと、業務停止等の大きな影響が生まれる恐れもあるため、侵害を受けているセグメントのみを隔離するといった柔軟な対応策も検討しましょう。また、RDP（デスクトップをリモートコントロールするための機能）やファイル共有機能が悪用されている恐れもあるため、通信を遮断しておくと安心です。

その後は、被害端末で発生した不審な動きやアカウント等をチェックし、各問題点の対応を決めます。例えば、管理者アカウントの乗っ取りが考えられるようであれば、速やかにパスワード変更等の対策を講じることが重要です。

さらに、ドメインコントローラー（ネットワーク内で認証・アクセス制御等を一元管理するサーバ）への侵害が疑われる場合は、不正に変更された設定やポリシーの無効化を行いましょう。

関係機関と連携する

ランサムウェアの被害に遭った場合は、関係各所と連携を図ることも大切です。被害を受けた事実が明らかになったら、保存した通信ログ等を用意し、最寄の警察署またはサイバー犯罪相談窓口に通報・相談しましょう。

また、サーバの管理やセキュリティ対策を外部に任せている場合は、速やかに情報共有を行い、対策の方針や内容を話し合うことが大切です。

【関連記事】

中小企業のランサムウェア被害について解説しています。

　

ランサムウェアの被害を防止するための対策

ランサムウェアの被害を避けるためには、日ごろから危機管理を徹底し、社内のセキュリティを強化しておくことが大切です。最後に、被害を防止するために必要な取組を見ていきましょう。

従業員に対するセキュリティ教育を実施する

ランサムウェアの感染原因の一つには、「人為的なミス」や「セキュリティ管理の不徹底」が挙げられます。一つの端末であっても、ひとたびマルウェアに感染すれば、ネットワークに侵入して企業全体に影響を与える恐れもあります。

そのため、従業員へのセキュリティ教育は、端末を使う可能性があるすべてのメンバーを対象に行うことが大切です。具体的には、「不審なファイルが添付されたメールを開かない」「推測されやすいパスワードを設定しない」「セキュリティソフトの更新、パスワードの変更を定期的に行う」「会社で定めた機器以外を業務で使用しない」といった点が基本となります。

各メンバーが定期的に振り返られるように、情報セキュリティに関するマニュアルを作成し、ポイントを明文化した状態で研修等を行うと良いでしょう。

VPN機器等の脆弱性に対処する

先にも触れたように、ランサムウェア攻撃では、VPN機器等の脆弱性が悪用されるケースも多いです。VPNそのものが通信の安全性を高めるためのサービスである一方、万が一悪用されれば社内に与える影響は計り知れません。

定期的にセキュリティ対策を行うとともに、インシデントが発生した時に対応手順も明確化しておくことが大切です。また、端末についてもOSやソフトウェアに脆弱性があると、日常的な操作であってもマルウェアに感染するリスクが高くなってしまいます。

不要なリスクを避けるためには、定期的にアップデートを行い、脆弱性を放置しないようにすることが重要です。

重要な情報について定期的なバックアップを行う

ランサムウェアによって情報が暗号化されれば、自力で元に戻すことは困難です。また、仮に要求された身代金を支払ったとしても、約束通りに復元してもらえるとは限りません。

そのため、万が一の事態に備え、ファイルを定期的にバックアップしておくことも重要な対策となります。ただし、安易に私的なクラウドストレージやセキュリティ性の低いUSBメモリを使用すれば、かえって情報漏えいのリスクを高めることにもなります。

バックアップの方法については、使用するツールも含めて社内ルールを定め、従業員に徹底してもらうことが肝心です。

アクセス権限の範囲を限定する

サイバー攻撃のリスクを避けるためには、アクセス権限の範囲を限定し、不要なルートを遮断しておくのもポイントです。ユーザアカウントに割り当てる権限や、アクセス可能とする範囲等は必要最小限にし、むやみに権限を割り当てないようにしましょう。

また、インターネットに公開しているサーバや機器が乗っ取られた場合に備えて、公開用のサーバ等からアクセスできる範囲もあらかじめ制限しておくことが大切です。

インシデントに対する管理体制を見直す

ランサムウェア攻撃に対抗するためには、事前にインシデント発生時のための管理体制を整えておくことが大切です。「不審な動きを発見した際の窓口や通報ルートを明確にする」「被害状況データ集約・分析をしておく」「外部と連携を図る際の担当者を決めておく」等、いざというときにすぐ動けるような仕組みを作りましょう。

また、管理体制を構築するプロセス自体が、社内全体のセキュリティ意識を高めるのに有効な取組となります。

まとめ

ランサムウェアは内部のネットワークに入り込み、重要なデータを盗んだり暗号化したりする代表的なマルウェアです。企業においては、「データやファイルを人質に身代金を要求される」「システムに影響が出て業務停止を余儀なくされる」等、重大なリスクを伴うサイバー攻撃と言えます。

ランサムウェアの被害を防ぐためには、「機器やネットワークのセキュリティ対策を徹底する」「管理体制を整備する」「従業員教育を実施する」等、日ごろの取組が重要となります。自社の情報資産を守るためにも、セキュリティ対策には十分な時間をとり、丁寧にリスク管理を行いましょう。

【参考情報】

2025年12月10日付　警察庁　「ランサムウェア被害防止対策」
2025年9月付　警察庁　「令和７年上半期における サイバー空間をめぐる脅威の情勢等について」