ランサムウェアの主な種類と侵入経路、企業が取るべき対策を解説

ランサムウェアは、企業規模を問わず深刻な被害をもたらすサイバー攻撃の一つです。

近年は手口が高度化し、単にデータを暗号化するだけでなく、情報漏えいを前提とした脅迫型の攻撃も増えています。

この記事では、ランサムウェアの代表的な種類ごとの特徴、主な感染経路、そして企業が取るべき現実的な対策を整理して解説します。

なお、ランサムウェア被害の回避策についてはこちらの資料もあわせてご確認ください。

ランサムウェアとは

ランサムウェアとは、PCやサーバー内のデータを暗号化、またはシステムをロックして使用できない状態にし、復旧と引き換えに金銭を要求するサイバー攻撃です。

以前はデータ暗号化が中心でしたが、現在は情報を盗み出し、「公開する」「取引先に知らせる」といった二次被害を前提とした脅迫が増えています。このため、被害は復旧後も長期化しやすくなっています。

バックアップからデータを復元できたとしても、顧客情報の漏えいリスクが残れば、調査や説明対応に追われます。結果として、IT部門だけでなく経営や法務を巻き込む問題に発展します。

ランサムウェアは技術的な問題にとどまらず、経営リスクとして捉える必要があります。

ランサムウェアの主な種類

ランサムウェアにはいくつかの代表的な種類があり、それぞれ被害の性質が異なります。ここでは、企業被害で特に多いタイプを整理します。

暗号化型

暗号化型ランサムウェアは、ファイルやシステムを暗号化し、業務データにアクセスできなくします。業務停止という直接的なダメージを与えやすく、攻撃者にとって成功率が高いという特徴があります。

暗号化されると通常の操作では復旧できず、バックアップの有無が被害規模を左右します。例えば、ファイルサーバーや基幹システムが暗号化されると、受発注や会計処理が停止します。さらに、オンラインバックアップまで暗号化されるケースもあり、その場合は復旧が困難になります。

暗号化型は今もランサムウェア攻撃の中心であり、基本対策の重要性が高い種類です。

ロック型

ロック型ランサムウェアは、端末の画面をロックして操作不能にします。暗号化型より被害範囲は限定的なこともありますが、個々の端末が使えなくなることで、現場業務が止まるため、業務停止リスクは高いと言えます。

特に共有端末や業務端末が狙われると、影響は小さくありません。会計端末や受付端末などがロックされると、業務そのものが回らなくなります。暗号化が行われない場合でも、解除のために対応が必要になります。

二重脅迫型

二重脅迫型は、データを暗号化する前後に情報を盗み出し、「公開する」と脅す脅迫型です。近年、特に増加している危険性の高い種類で、バックアップによる復旧が通用しない点が特徴です。データが復旧できても、情報漏えいのリスクが残るため、企業は対応を迫られます。

仮に顧客情報や契約情報を盗まれ、「支払わなければ公開する」と脅迫された場合、被害はIT領域にとどまらず、信用問題に直結します。

二重恐喝型は企業の対応を複雑化させる代表的なランサムウェアと言えます。

三重脅迫型

三重脅迫型は、二重恐喝に加えて取引先や顧客にも圧力をかけるタイプです。企業単体では完結しない被害に発展しやすい種類で、サプライチェーン全体を巻き込むことで、支払いを強要しやすくなる点が特徴です。攻撃者は企業の社会的立場を巧みに利用します。

例えば、取引先に「この会社は情報を守れない」と通知するなどの手口があります。これにより、企業の信用は短期間で大きく損なわれます。三重恐喝型は経営リスクとして深刻なランサムウェアと言えます。

なお、ランサムウェア被害の回避策についてはこちらの資料もあわせてご確認ください。

ランサムウェアの感染経路

ランサムウェアは、特定の侵入経路を通じて、社内システムに入り込みます。
感染経路を理解することが、対策の第一歩です。

メール

メールは、感染の経路として多く利用される手段の一つです。添付ファイルやURLを開かせることで、利用者の操作をきっかけにマルウェアが実行されるケースが多く見られます。

近年は、取引先や社内担当者などを装った巧妙ななりすましメールも巧妙化しており、請求書や業務連絡を装った内容で感染に至る事例も増えています。

このような脅威に対して、従業員への注意喚起だけで完全に防ぐことは困難です。迷惑メールフィルタや添付ファイルの無害化、URLの検査といった技術的なメール対策を組み合わせて実施することが重要となります。

VPN／RDPの不正アクセス

VPNやRDPを経由した不正アクセスは、近年増加傾向にあります。リモートワークの普及により、社外から社内ネットワークへ接続できる環境が広がったことが背景にあります。

特に、パスワードの漏えいや使い回し、推測されやすい認証情報が狙われやすく、MFA（多要素認証）が導入されていない環境では侵入リスクが高まります。

実際に、リモートワーク用のVPNが突破され、内部ネットワークへ侵入された後、複数の端末やサーバーへ横展開されるケースも多く報告されています。

このような被害を防ぐためには、VPNやRDPの利用状況を適切に把握し、MFAの導入やアクセス制御の見直し、不要なリモート接続の無効化など、リモート接続に関する管理を強化することが重要です。

ソフトウェアの脆弱性悪用

ソフトウェアの脆弱性を悪用した攻撃も、マルウェア感染や不正侵入の代表的な手口の一つです。ソフトウェアや機器に見つかった脆弱性は公開されることが多く、攻撃者側でも情報が共有されるため、修正が行われていない環境は特に狙われやすくなります。

実際に、VPN機器やサーバーOSの未修正の脆弱性が悪用され、侵入や感染につながるケースがあります。対策が遅れるほど被害リスクは高まるため、OSやソフトウェア、ネットワーク機器のアップデートを計画的に実施し、パッチ管理を徹底することが重要です。

パスワード漏えい・使い回し

パスワードの漏えいや使い回しも、マルウェア感染や不正アクセスにつながる代表的な要因の一つです。過去に流出した認証情報が攻撃者の間で共有・売買されており、それらを利用した不正ログインが行われるケースが増えています。

特に、複数のサービスで同じパスワードを使い回している場合、1つのサービスから情報が漏えいすると、他のシステムや社内環境にも連鎖的に侵入される可能性があります。

こうしたリスクを低減するためには、サービスごとに異なるパスワードを設定し、パスワード管理ツールの活用や多要素認証の導入など、認証情報の管理体制を見直すことが重要です。

改ざんされたWebサイト経由の感染

改ざんされたWebサイトを閲覧したことをきっかけに、マルウェアに感染するケースもあります。攻撃者が正規サイトに不正なコードやリンクを埋め込み、ユーザーがアクセスすると自動的にマルウェアがダウンロード・実行される手口です。

見た目では改ざんに気付きにくいため、被害が拡大しやすい点が特徴です。ブラウザやプラグインを常に最新の状態に保ち、不審なサイトへのアクセスを避けるなどの対策が重要です。

ランサムウェア対策

ランサムウェア対策は、多層的に行う必要があります。

侵入を防ぐ対策（入口対策）

ランサムウェア被害を防ぐうえで、まず重要となるのが侵入させないための対策です。メールやVPN、リモート接続、ソフトウェアの脆弱性など、さまざまな経路から侵入しますが、そもそも侵入を許さなければ被害は発生しません。

そのため、MFA（多要素認証）の導入やVPN・RDPのアクセス制限、OSやソフトウェアへのパッチ適用といった基本的なセキュリティ対策を確実に実施することが重要です。あわせて、メールのフィルタリングや不正URLのブロックなど、メールを起点とした攻撃への対策も重要です。

これらの取り組みにより、攻撃者が利用できる入口を減らし、感染リスクを大きく低減できます。

感染拡大を防ぐ対策（内部対策）

ランサムウェア対策では、侵入を防ぐ入口対策に加え、侵入後の被害拡大を防ぐための備えも重要です。すべての攻撃を完全に防ぐことは難しいため、万一侵入された場合でも被害を最小限に抑えられる体制を整えておく必要があります。

具体的には、ユーザーやシステムの権限を必要最小限に設定する、ネットワークを分離して感染範囲を限定するなどの対策が有効です。また、EDRの導入やログ監視を行うことで、不審な挙動を早期に検知し、迅速な対応につなげることができます。

あわせて、従業員へのセキュリティ教育を継続的に実施することで、内部からのリスク低減も図れます。

まとめ

この記事では、ランサムウェアについて以下の内容を解説しました。

• ランサムウェアの概要

• ランサムウェアの主な種類

• ランサムウェアの感染経路

• ランサムウェア対策

ランサムウェアには複数の種類があり、手口は年々高度化しています。感染経路と種類の違いを理解することで、適切な対策が見えてきます。

まずは侵入を防ぐ基本対策を徹底し、次に内部対策で被害を抑える体制を整え、継続的に取り組むことが重要です。

『FGLテクノソリューションズ』では、安定したITインフラ運用を支えるため、セキュリティ対策や保守管理をはじめとしたIT分野の幅広いサポートを行っています。貴社のセキュリティポリシーや運用状況に応じて、必要な対策をご提案いたします。