ランサムウェア型マルウェアの最新動向|2025年の脅威
ランサムウェアの脅威は年々巧妙化しています。2025年の攻撃トレンドを理解することが、効果的な対策の第一歩です。
二重脅迫型から三重脅迫型への進化
従来のランサムウェアは単にファイルを暗号化するだけでしたが、2025年現在の攻撃は複数の脅迫手段を組み合わせています。
- 第一の脅迫:データ暗号化
- 従来通りファイルを暗号化し、復号キーと引き換えに身代金を要求します。バックアップがあっても、復旧には時間とコストがかかることを悪用し、業務停止による損失を脅迫材料とします。暗号化アルゴリズムは軍事レベルのAES-256やRSA-2048を使用し、解読はほぼ不可能です。
- 第二の脅迫:データ公開
- 暗号化前にデータを窃取し、支払わなければ機密情報を公開すると脅迫します。2024年は全ランサムウェア攻撃の85%がこの手法を採用しています。財務情報、顧客データ、契約書、人事情報などが標的となり、企業の評判と信頼を人質に取る戦術です。実際に「リークサイト」で段階的にデータを公開する事例も多発しています。
- 第三の脅迫:DDoS攻撃
- 身代金を支払わない組織に対してDDoS攻撃を実施し、業務継続を妨害します。顧客や取引先への通知も脅迫材料として使用され、「御社がサイバー攻撃を受けました」というメールを関係者に一斉送信するケースもあります。これにより、企業は多方面からの圧力を受けることになります。
表1: ランサムウェアグループ別の特徴一覧(2025年版)
| グループ名 | 脅迫手法 | 主な標的 | 平均要求額 | 特徴 |
|---|---|---|---|---|
| LockBit 3.0 | 三重脅迫 | 大企業・金融 | 8,000万円 | 高速暗号化、自動化された交渉 |
| ALPHV/BlackCat | 二重脅迫 | 医療・製造 | 5,500万円 | Rust言語使用、Linux対応 |
| Cl0p | データ窃取特化 | 中小企業 | 3,000万円 | ゼロデイ脆弱性を多用 |
| Royal | 三重脅迫 | 重要インフラ | 1億2,000万円 | 標的を慎重に選定、交渉期間が長い |
| Play | 二重脅迫 | 教育・自治体 | 2,000万円 | 公共機関を狙う、短期決戦型 |
この表からも分かるように、攻撃グループによって手法や標的が異なります。自社がどのグループに狙われやすいかを理解し、標的型攻撃(APT)への備えを強化する必要があります。
RaaS(Ransomware as a Service)の拡大
ランサムウェアの脅威が拡大している最大の理由は、RaaS(Ransomware as a Service)の普及です。これは、ランサムウェアをサービスとして提供するビジネスモデルで、技術力のない犯罪者でも簡単に攻撃を実行できるようになっています。
アフィリエイトプログラムの仕組み
RaaSは、ランサムウェアの開発者(オペレーター)と実行者(アフィリエイト)が分業する形態です。オペレーターはランサムウェアのコードと管理インフラを提供し、アフィリエイトは実際に企業への侵入と攻撃を実行します。
身代金が支払われた場合、その利益はオペレーターとアフィリエイトで分配されます。一般的な配分比率は、アフィリエイトが70-80%、オペレーターが20-30%です。この高い報酬率が、新規参入者を引き寄せています。
攻撃ツールはダークウェブのフォーラムで提供され、使い方のマニュアルや24時間サポートまで完備されています。まさに「攻撃の産業化」が進んでいるのです。
攻撃の産業化と分業化
RaaSエコシステムでは、さらに細かい分業が進んでいます:
- 初期アクセスブローカー: 企業ネットワークへの侵入経路を販売する専門家
- データ窃取スペシャリスト: 価値の高い情報を効率的に抽出する役割
- 交渉人: 被害企業と身代金交渉を専門に行う担当者
- 洗浄サービス: 暗号資産を追跡困難にするマネーロンダリング専門家
このような分業により、攻撃の効率と成功率が飛躍的に向上しています。この状況はサプライチェーン攻撃の脅威とも連動し、企業の防御をより困難にしています。
標的の変化と傾向
2025年のランサムウェア攻撃は、標的の選定がより戦略的になっています。
中小企業への攻撃増加
従来は大企業が主な標的でしたが、2025年は中小企業への攻撃が前年比200%増加しています。理由は明確です:
- セキュリティ投資が不十分で侵入しやすい
- IT専門人材が不足しており、検知・対応が遅れる
- サイバー保険に未加入で、身代金を支払う可能性が高い
- 大企業のサプライチェーン攻撃の踏み台として利用価値がある
中小企業こそ、基本的なセキュリティ対策とインシデント対応計画の整備が急務です。
重要インフラへの集中
一方で、医療機関、エネルギー供給、交通インフラなど、社会的影響が大きい重要インフラへの攻撃も増加しています。これらの組織は、業務停止による社会的損失が大きいため、身代金を支払う圧力が強くなります。
2024年には、日本国内でも複数の医療機関がランサムウェア攻撃を受け、電子カルテシステムが使用不能になる事態が発生しました。患者の生命に関わる可能性があるため、これらの業界では特に厳重な対策が求められます。
身代金額の高騰化
ランサムウェアによる経済的損失は年々拡大しています。
2025年の平均要求額
表2: 業界別ランサムウェア被害統計(2025年版)
| 業界 | 攻撃件数 | 平均要求額 | 平均支払額 | 支払率 | 完全復旧率 |
|---|---|---|---|---|---|
| 金融 | 1,245件 | 1億2,000万円 | 6,000万円 | 48% | 65% |
| 医療 | 2,103件 | 6,500万円 | 3,500万円 | 62% | 58% |
| 製造 | 1,876件 | 7,200万円 | 4,000万円 | 55% | 70% |
| 小売 | 1,532件 | 4,800万円 | 2,200万円 | 45% | 72% |
| 教育 | 987件 | 2,500万円 | 1,200万円 | 38% | 60% |
| IT・通信 | 1,654件 | 8,500万円 | 4,500万円 | 52% | 75% |
| 平均 | - | 5,200万円 | 3,100万円 | 50% | 67% |
この表が示すように、2025年の平均身代金要求額は5,200万円に達しています。さらに深刻なのは、身代金を支払っても完全に復旧できるのは約67%に過ぎないという事実です。
交渉戦術の巧妙化
攻撃者の交渉戦術も洗練されています。彼らは被害企業の財務状況、サイバー保険の加入状況、過去の支払い事例などを事前に調査し、「支払い可能な最大額」を算出します。
交渉では、以下のような心理的圧力をかけてきます:
- 「48時間以内に決断しないと要求額が2倍になる」という時間的圧力
- 一部のデータを実際にリークサイトに公開し、本気度を示す
- 他社が支払った事例を示し、「これが業界標準だ」と正当化する
- 復号ツールを部分的に提供し、「誠実に対応する」という信頼を演出する
こうした巧妙な心理操作は、ソーシャルエンジニアリングの手法と共通しており、冷静な判断を困難にします。
二重脅迫型ランサムウェアの手口|段階的攻撃プロセス
ランサムウェア攻撃は計画的に実行されます。各段階を理解することで、早期検知と対応が可能になります。
初期侵入フェーズ(Day 1-7)
攻撃者はまず、対象組織のネットワークへの侵入経路を確保します。
フィッシングメールでの侵入
最も一般的な侵入経路はフィッシングメールです。実在する取引先や公的機関を装ったメールに、マルウェアを仕込んだOffice文書やPDFを添付します。
2025年の手口は極めて巧妙です:
- 実際の業務メールに返信する形式で送信し、警戒心を下げる
- マクロではなく、正規の機能を悪用する新しい手法を使用
- 送信元のメールアドレスは、実在ドメインの誤字版(タイポスクワッティング)
- メール本文は自然な日本語で、誤字脱字がほとんどない
従業員教育を徹底し、不審なメールを開かない習慣を作ることが重要です。
VPN脆弱性の悪用
リモートワーク拡大に伴い、VPN機器の脆弱性悪用も急増しています。特にパッチ適用が遅れている組織が標的になります。
2024年には、FortinetやCisco、Pulse SecureなどのVPN製品に重大な脆弱性が発見され、これらを悪用したランサムウェア攻撃が多発しました。ゼロデイ攻撃のリスクも含め、常に最新のセキュリティパッチを適用する必要があります。
RDP総当たり攻撃
リモートデスクトッププロトコル(RDP)へのブルートフォース攻撃も依然として有効な侵入手段です。インターネットに直接公開されているRDPポートを自動スキャンで発見し、弱いパスワードを総当たりで突破します。
対策としては:
- RDPをインターネットに直接公開しない
- 多要素認証(MFA)を必須化する
- アカウントロックアウトポリシーを設定する
- VPN経由でのみアクセスを許可する
これらの基本対策だけでも、侵入リスクを大幅に低減できます。
権限昇格と横展開(Week 1-4)
ネットワークへの初期侵入に成功した攻撃者は、次に権限を拡大し、ネットワーク全体を掌握しようとします。
Active Directory掌握
企業ネットワークの中核であるActive Directory(AD)を掌握することが、攻撃者の主要目標です。ADの管理者権限を奪取すれば、ネットワーク全体を支配できるからです。
攻撃者は以下の手法を使用します:
- Kerberoasting: サービスアカウントのパスワードハッシュを取得し、オフラインで解析
- Pass-the-Hash: 平文パスワードがなくてもハッシュ値だけで認証
- Golden Ticket攻撃: Kerberos認証の根幹を掌握し、任意のアカウントになりすます
これらの攻撃は、正規ツール悪用(Living off the Land)の範疇に入り、従来のアンチウイルスでは検知が困難です。
正規ツールを悪用した潜伏
攻撃者は検知を避けるため、OSやアプリケーションに標準搭載されている正規ツールを悪用します:
- PowerShell: スクリプトでマルウェアをメモリ上で実行
- WMI(Windows Management Instrumentation): リモートでコマンドを実行
- PsExec: 複数のコンピュータに一斉に命令を送信
- RDP: 横展開で他の端末に移動
これらは本来、システム管理のための正規ツールです。しかし攻撃者に悪用されると、通常のセキュリティツールでは不正な活動と判別することが困難になります。
EDR(Endpoint Detection and Response)のような高度な検知ツールが必要です。
表3: 攻撃段階別の対策マトリクス
| 攻撃段階 | 攻撃者の目的 | 使用される手法 | 効果的な対策 | 検知の難易度 |
|---|---|---|---|---|
| 初期侵入 | ネットワークへの足がかり | フィッシング、VPN脆弱性 | メールフィルタ、従業員教育、パッチ管理 | 低 |
| 権限昇格 | 管理者権限の奪取 | 脆弱性悪用、認証情報窃取 | 特権管理、MFA、最小権限原則 | 中 |
| 横展開 | ネットワーク全体の掌握 | RDP、PsExec、WMI | ネットワーク分離、EDR、ログ監視 | 中 |
| データ窃取 | 機密情報の外部送信 | クラウドサービス悪用 | DLP、トラフィック監視、アクセス制御 | 高 |
| 暗号化 | システム全体の無力化 | ランサムウェア実行 | バックアップ、EDR、セグメンテーション | 低(実行時) |
| 脅迫 | 身代金要求 | リークサイト、交渉 | インシデント対応計画、法執行機関連携 | - |
データ窃取フェーズ(Week 3-6)
二重脅迫型ランサムウェアの特徴は、暗号化前に価値のあるデータを盗み出すことです。
- 収集対象の選定
- 攻撃者は財務情報、顧客データ、知的財産、人事情報など、公開されると最も被害が大きいデータを優先的に収集します。ファイルサーバーの構造を解析し、フォルダ名やファイル名から重要データを特定。経営会議資料、契約書、個人情報データベースなどが標的です。攻撃者は1週間以上かけて慎重にデータを選別し、平均して100GB-500GBのデータを窃取します。
- 外部送信の手法
- 窃取したデータの外部送信には、MEGA、Dropbox、Transfer.sh、Google Driveなど正規のクラウドストレージサービスを使用します。これにより、通常の業務通信に紛れ込ませ、ファイアウォールやDLP(Data Loss Prevention)による検知を回避します。データは分割・圧縮され、複数回に分けて送信されるため、トラフィック監視でも異常を発見しにくくなっています。夜間や週末など、監視が手薄な時間帯を狙うケースも多いです。
- 証拠隠滅
- データ窃取後、攻撃者は証拠を隠滅します。具体的には、セキュリティログの削除、イベントビューアのクリア、Windowsシャドウコピーの削除、バックアップの破壊を実行します。さらに、システム復元ポイントも削除し、復旧を困難にします。この段階でバックアップの破壊・改ざんが行われるため、オフラインバックアップやイミュータブルバックアップの重要性が高まっています。
この段階は最も検知が困難です。しかし、異常なデータアクセスパターンや大量のファイル操作、深夜の不審な通信などを監視することで、早期発見の可能性があります。
暗号化実行(Final Day)
すべての準備が整うと、攻撃者は最終段階の暗号化を実行します。
週末・祝日を狙う理由
ランサムウェアの実行タイミングは戦略的に選ばれます。統計によると、約60%の攻撃が金曜日の夕方から土曜日にかけて実行されています。
理由は明確です:
- IT担当者が不在で、初動対応が遅れる
- 月曜朝まで発見されない可能性が高く、被害が拡大する
- 暗号化に十分な時間(48時間以上)を確保できる
- 週末のバックアップジョブと重なり、検知が困難
- 経営層への報告と意思決定が遅れる
対策としては、週末や祝日も含めた24時間365日の監視体制、自動アラート設定、緊急連絡網の整備が必要です。
一斉暗号化の仕組み
暗号化は非常に高速に実行されます。最新のランサムウェアは、マルチスレッド処理により、数時間で数千台のコンピュータを暗号化できます。
実行の流れ:
- PsExecやGPO(Group Policy Object)を使用し、ネットワーク内のすべての端末に一斉に実行命令を送信
- 各端末で同時にランサムウェアが起動
- ファイルを暗号化しながら、拡張子を
.lockedや.encryptedなどに変更 - 暗号化完了後、デスクトップに身代金要求のメッセージを表示
- システムの復旧を妨害するため、起動に必要なファイルも暗号化
この一斉攻撃により、組織全体が瞬時に機能停止に陥ります。DDoS攻撃と同様に、システム全体を麻痺させる破壊力があります。
3-2-1バックアップ戦略|確実な復旧への備え
ランサムウェア対策で最も重要なのは、確実に復旧できるバックアップ体制の構築です。3-2-1ルールは、業界標準のバックアップ戦略として広く推奨されています。
3つのバックアップコピー
データは最低でも3つのコピーを保持します:本番データ1つ+バックアップ2つです。
本番データとの分離
バックアップは本番環境とは物理的・論理的に分離する必要があります。同じストレージやサーバーに保存していては、ランサムウェアが本番データと同時にバックアップも暗号化してしまいます。
実際の事例では、ネットワーク接続されたNASにバックアップを保存していた企業が、本番データと同時にNASも暗号化され、完全に復旧手段を失ったケースがあります。
世代管理の重要性
バックアップは複数世代を保持することが重要です。なぜなら、ランサムウェアは感染後すぐに発動するとは限らないからです。
潜伏期間中のデータがバックアップされ、古いバックアップが上書きされていると、復旧時に感染済みデータしか残っていない事態になります。
推奨される世代管理:
- 日次バックアップ: 30世代(1ヶ月分)
- 週次バックアップ: 12世代(3ヶ月分)
- 月次バックアップ: 12世代(1年分)
これにより、感染前の清浄なデータに戻れる可能性が高まります。
2つの異なるメディア
バックアップは2種類以上の異なるメディアに保存します。
ディスクとテープの併用
ディスク(HDD/SSD)は高速アクセスが可能で、日常的な復旧作業に適しています。一方、テープは容量あたりのコストが低く、長期保存に向いています。
表4: バックアップ方式比較表
| バックアップ方式 | 復旧速度 | コスト | 耐久性 | ランサムウェア耐性 | 推奨用途 |
|---|---|---|---|---|---|
| ディスク(HDD/SSD) | ★★★★★ | 中 | ★★★☆☆ | ★★☆☆☆(ネットワーク経由で攻撃可能) | 日次・週次バックアップ |
| テープ(LTO) | ★★☆☆☆ | 低 | ★★★★★ | ★★★★★(物理的に切断可能) | 月次・年次バックアップ |
| クラウド(標準) | ★★★☆☆ | 高 | ★★★★☆ | ★★★☆☆(認証情報が狙われる) | セカンダリバックアップ |
| クラウド(イミュータブル) | ★★★☆☆ | 高 | ★★★★★ | ★★★★★(削除不可能) | 最終防衛線 |
| NAS | ★★★★☆ | 中 | ★★★☆☆ | ★☆☆☆☆(ネットワーク接続で脆弱) | 非推奨 |
クラウドとオンプレミスの組み合わせ
オンプレミスのバックアップが物理的に破壊された場合に備え、クラウドにもバックアップを保存します。ただし、クラウドアクセスの認証情報が漏洩すると、クラウドバックアップも削除されるリスクがあります。
多要素認証(MFA)を必須化し、アクセス権限を最小限に制限することが重要です。
1つのオフサイト保管
最低でも1つのバックアップは、本番サイトとは物理的に離れた場所に保管します。
地理的分散の必要性
火災、地震、洪水などの物理的災害に備え、バックアップは地理的に分散させます。理想的には、最低でも100km以上離れた場所に保管すべきです。
クラウドストレージを使用する場合は、リージョン(データセンターの地域)を本番環境とは異なる場所に設定します。AWS、Azure、Google Cloudなどは、複数のリージョンから選択可能です。
エアギャップの確保
「エアギャップ」とは、ネットワークから物理的に切断された状態を指します。テープドライブを使用し、バックアップ完了後にテープを取り出して保管庫に保存すれば、完全なエアギャップが実現できます。
ランサムウェアはネットワーク経由で拡散するため、物理的に切断されたバックアップは絶対に安全です。
プラス1:イミュータブルバックアップ
3-2-1ルールに加えて、2025年は「プラス1」としてイミュータブル(不変)バックアップの導入が強く推奨されています。
- イミュータブル(不変)の意味
- 一度作成されたバックアップは、設定期間中は削除も変更も不可能な状態になります。管理者権限を持つアカウントでさえ、バックアップを削除できません。これにより、ランサムウェアが管理者権限を奪取しても、バックアップを破壊できなくなります。内部不正によるデータ削除からも保護できる利点があります。
- 実装方法
- イミュータブルバックアップは、クラウドサービスまたは専用アプライアンスで実現できます。AWS S3のObject Lock機能、Azure Blob Storageの不変性ポリシー、Google CloudのBucket Lockなどが利用可能です。オンプレミスでは、Dell EMCやVeeamなどのバックアップソリューションがイミュータブル機能を提供しています。保持期間は最低30日、理想的には90日以上に設定します。コンプライアンス要件によっては、7年間の保持が必要な場合もあります。
- リストア訓練
- バックアップがあっても、実際に復旧できなければ意味がありません。月次でリストア訓練を実施し、目標復旧時間(RTO: Recovery Time Objective)内で復旧可能か検証します。訓練では、①バックアップデータの完全性確認、②復旧手順の実行、③アプリケーションの動作確認、④手順書の更新、を実施します。訓練を通じて、手順の問題点を発見し、継続的に改善することが重要です。
感染時の対応フロー|72時間以内の重要アクション
ランサムウェアに感染した場合、初動72時間の対応が被害の拡大を左右します。事前に対応手順を定め、訓練しておくことが重要です。
0-1時間:初動対応
感染の兆候を発見したら、直ちに以下のアクションを実行します。
ネットワーク遮断の判断基準
ランサムウェアはネットワーク経由で拡散します。感染端末をネットワークから隔離することが最優先です。
判断基準:
- 複数の端末で同時に異常が発生している → 即座にネットワーク全体を遮断
- 単一端末のみの異常 → その端末だけを隔離し、監視を強化
- 暗号化が進行中 → 直ちに該当セグメントを遮断
ただし、ネットワーク遮断は業務停止を意味します。経営層への報告と承認を得た上で実行すべきですが、被害拡大が明らかな場合は、報告前に遮断することも検討します。
この判断基準は、インシデント対応計画に明記しておくべきです。
証拠保全の開始
フォレンジック調査のため、証拠を保全します:
- 感染端末のメモリダンプを取得(シャットダウン前に実施)
- ネットワークトラフィックのパケットキャプチャ
- システムログ、セキュリティログのコピー
- 暗号化されたファイルのサンプル保存
証拠を適切に保全することで、後日の原因究明と、法執行機関への情報提供が可能になります。
対策本部の設置
経営層、IT部門、法務部門、広報部門を含む対策本部を設置します。役割分担を明確にし、情報共有の体制を整えます。
対策本部の体制例:
- 本部長:CISO(最高情報セキュリティ責任者)
- 技術対応:IT部門長、インフラ担当、セキュリティ担当
- 法務対応:法務部長、顧問弁護士
- 広報対応:広報部長、IR担当
- 経営判断:CEO、CFO
定期的な(2-4時間ごと)状況報告会議を開催し、対応方針を調整します。
1-24時間:被害範囲特定
初動対応後、被害の全容を把握します。
感染端末の特定方法
すべての感染端末を特定しなければ、復旧後に再感染のリスクがあります。
特定方法:
- EDRログの分析で、異常なプロセス実行を検出
- ファイルサーバーのアクセスログから、暗号化を実行した端末を特定
- ネットワークトラフィック分析で、C2サーバーとの通信を行った端末を発見
- 全端末のファイルシステムスキャンで、暗号化ファイルの有無を確認
大規模ネットワークでは、自動化ツールを使用して効率的に調査します。
データ窃取の痕跡調査
二重脅迫型ランサムウェアの場合、データ窃取の有無を確認します。
調査ポイント:
- ファイアウォールログで、大量の外部通信を検出
- MEGAやDropboxなどクラウドサービスへの異常なアップロード
- ファイルサーバーの大量アクセスログ
- データベースの異常なエクスポート操作
データ窃取が確認された場合、個人情報保護法やGDPRなどの規制に基づき、監督当局や影響を受ける個人への通知が必要になります。
バックアップ状態の確認
復旧の可能性を評価するため、バックアップの状態を確認します。
確認項目:
- 最新のバックアップ日時
- バックアップデータの完全性(チェックサム検証)
- バックアップが暗号化されていないか
- リストアに必要な時間の見積もり
バックアップが無事であれば、復旧の見通しが立ちます。逆に、バックアップも暗号化されている場合は、身代金支払いを検討せざるを得ない状況になります。
24-48時間:対応方針決定
被害状況を踏まえ、今後の対応方針を決定します。
復旧 vs 交渉の判断
バックアップから復旧できるか、それとも身代金支払いを検討するか、重要な判断です。
復旧が可能な場合(推奨):
- バックアップが無事で、完全性が確認できている
- 復旧に必要な時間が許容範囲内(1週間以内)
- データ窃取の証拠がない、または公開されても被害が限定的
交渉を検討する場合(最終手段):
- バックアップが存在しない、または暗号化されている
- 機密データが窃取され、公開されると重大な被害が発生する
- 業務停止による損失が、身代金額を大幅に上回る
- 人命に関わるシステム(医療機関など)
表5: 身代金支払い判断チェックリスト
| チェック項目 | はい | いいえ | 評価 |
|---|---|---|---|
| バックアップから完全復旧できるか | □ | □ | ✅ できる→支払い不要 |
| データ窃取の証拠があるか | □ | □ | ⚠️ ある→法的リスク評価必要 |
| 攻撃者が制裁対象か確認したか | □ | □ | ❌ 確認していない→支払いリスク |
| サイバー保険が適用されるか | □ | □ | ✅ 適用される→財務負担軽減 |
| 復号ツールが公開されているか | □ | □ | ✅ ある→無料で復旧可能 |
| 業務停止による損失 > 身代金額 か | □ | □ | ⚠️ はい→支払い検討の余地 |
| 法執行機関に相談したか | □ | □ | ❌ していない→必ず相談を |
| 経営層・取締役会の承認を得たか | □ | □ | ❌ 未承認→説明責任果たせない |
法執行機関への通報
ランサムウェア攻撃を受けた場合、警察への通報が推奨されます。
通報先:
- 都道府県警察のサイバー犯罪相談窓口
- 警察庁サイバー警察局(重大事案)
- IPA(情報処理推進機構)セキュリティセンター
法執行機関への通報により:
- 攻撃者の追跡・逮捕につながる可能性
- 他の企業への注意喚起により、被害拡大を防止
- 復号ツールの情報提供を受けられる場合がある
身代金を支払う場合でも、必ず事前に法執行機関に相談してください。
広報対応の準備
情報漏洩のリスクがある場合、適切な情報開示が必要です。
開示のタイミング:
- データ窃取が確認され、個人情報が含まれる場合:速やかに開示
- 業務に重大な影響がある場合:ステークホルダーへ早期に通知
- 上場企業の場合:適時開示規則に従う
開示内容:
- 発生日時と発見日時
- 被害の概要(影響範囲、漏洩した可能性のあるデータ)
- 現在の対応状況
- 今後の対策
- 問い合わせ窓口
隠蔽は逆効果です。透明性のある対応が、長期的な信頼回復につながります。
48-72時間:復旧作業開始
方針が決定したら、復旧作業を開始します。
クリーンな環境の構築
感染したシステムをそのまま復旧すると、再感染のリスクがあります。まず、マルウェアを完全に除去したクリーンな環境を構築します。
手順:
- すべての感染端末を初期化(OSの再インストール)
- Active Directoryの認証情報をすべて変更
- ネットワーク機器のファームウェア更新とパスワード変更
- 侵入経路となった脆弱性のパッチ適用
- セキュリティ設定の強化(MFA導入、アクセス制限など)
この段階を省略すると、復旧後すぐに再感染する事例が多発しています。
段階的システム復旧
すべてのシステムを一度に復旧すると、問題発生時の影響が大きくなります。段階的に復旧し、各段階で動作確認を行います。
復旧の優先順位:
- 第1優先:業務に不可欠な基幹システム(基幹システム、メール、ファイルサーバー)
- 第2優先:顧客対応システム(CRM、Webサイト)
- 第3優先:社内システム(勤怠管理、経費精算)
- 第4優先:開発・テスト環境
各システムの復旧後、24時間の監視期間を設け、異常がないことを確認してから次のシステムに進みます。
業務再開の判断
完全復旧前でも、部分的な業務再開を検討します。
判断基準:
- 顧客への影響が最小限に抑えられる状態か
- セキュリティ上のリスクが許容範囲内か
- 従業員が安全に業務を遂行できるか
- 再発防止策が実装されているか
段階的な業務再開により、経済的損失を最小限に抑えます。ただし、安全性を犠牲にしてはいけません。
表6: 72時間対応タイムライン
| 経過時間 | フェーズ | 主要アクション | 責任者 | 完了判定基準 |
|---|---|---|---|---|
| 0-1時間 | 初動対応 | 感染端末隔離、証拠保全、対策本部設置 | CISO/IT部門長 | 被害拡大が停止 |
| 1-6時間 | 影響評価 | 感染範囲特定、データ窃取確認 | セキュリティチーム | 被害全容を把握 |
| 6-12時間 | 外部連携 | 法執行機関通報、専門業者依頼 | 法務部/CISO | 支援体制確立 |
| 12-24時間 | 詳細調査 | フォレンジック調査、バックアップ確認 | 技術チーム | 復旧方針の材料揃う |
| 24-36時間 | 方針決定 | 復旧 vs 交渉判断、経営会議 | CEO/取締役会 | 対応方針確定 |
| 36-48時間 | 広報準備 | プレスリリース作成、Q&A準備 | 広報部/法務部 | 開示内容確定 |
| 48-60時間 | 復旧開始 | クリーン環境構築、初期化開始 | IT部門 | 安全な基盤確立 |
| 60-72時間 | 段階復旧 | 優先システムから順次復旧 | IT部門/各部門 | 最優先業務再開 |
身代金支払いの判断基準|リスクと法的問題
身代金の支払いは、最終手段として慎重に検討すべきです。多くのリスクと法的問題が伴います。
支払いのリスク
身代金を支払っても、問題が解決するとは限りません。
復号される保証がない
統計によると、身代金を支払っても復号キーを受け取れないケースが約10%、復号キーを受け取っても完全に復号できないケースが約20%存在します。
攻撃者は犯罪者であり、約束を守る義務も動機もありません。復号ツールにバグがあったり、意図的に一部のファイルを復号しないこともあります。
さらに、復号に数週間かかるケースや、復号されたファイルが破損しているケースも報告されています。
再攻撃のターゲットになる
身代金を支払った企業は、「支払い意思がある」と判断され、再攻撃の標的になりやすくなります。統計では、一度支払った企業が1年以内に再攻撃を受ける確率は80%に達します。
攻撃者のデータベースには「支払い企業リスト」が存在し、ダークウェブで取引されています。一度リストに載ると、さまざまな攻撃グループから繰り返し狙われることになります。
犯罪組織への資金提供
身代金は、犯罪組織の活動資金となります。あなたが支払った資金は、次の攻撃のためのツール開発や、他の犯罪活動に使われます。
倫理的な観点から、犯罪組織に資金を提供することは、サイバー犯罪の拡大に加担することを意味します。社会的責任の観点からも、支払いは避けるべきです。
法的・コンプライアンス上の問題
身代金の支払いには、法的リスクも伴います。
- 制裁対象リストの確認
- 攻撃者が米国財務省の外国資産管理局(OFAC)やその他の国際制裁リストに掲載されている組織や国家の関係者である場合、身代金の支払いは違法となる可能性があります。北朝鮮やイランなど、特定の国家が支援する攻撃グループへの支払いは、制裁違反として罰則の対象になります。支払い前に必ず、専門家によるリスク評価とコンプライアンスチェックを実施する必要があります。違反した場合、刑事罰や巨額の罰金が科される可能性があります。
- 保険適用の条件
- サイバー保険に加入していても、身代金の支払いが自動的に補償されるわけではありません。多くの保険契約では、「適切なセキュリティ対策を実施していたこと」が補償の前提条件となっています。基本的なセキュリティパッチを適用していなかった、推奨されるセキュリティ対策を怠っていたなどの場合、保険金が支払われない可能性があります。事前に保険会社と契約内容を確認し、どのような条件で補償されるかを把握しておく必要があります。
- 説明責任
- 身代金を支払う判断をした場合、株主、顧客、規制当局に対する説明責任が発生します。特に上場企業の場合、適時開示規則に基づき、重要な経営判断として開示が必要になる場合があります。「なぜ支払いを選択したのか」「他の選択肢は検討したのか」「将来の再発防止策は何か」など、合理的な判断だったことを証明できる記録と説明が求められます。取締役会での承認を得ず、説明責任を果たせない場合、経営者の責任問題に発展する可能性があります。
表7: 主要ランサムウェアの復号ツール有無(2025年2月時点)
| ランサムウェア名 | 復号ツール | 提供元 | 成功率 | 備考 |
|---|---|---|---|---|
| WannaCry | あり | 複数のセキュリティ企業 | 80% | 古い亜種のみ対応 |
| NotPetya | なし | - | 0% | 破壊型のため復号不可 |
| Ryuk | 限定的 | Emsisoft | 30% | 特定バージョンのみ |
| Maze | あり | Kaspersky | 60% | 活動終了、復号ツール公開済み |
| REvil/Sodinokibi | あり | Bitdefender | 70% | 2021年版まで対応 |
| LockBit 3.0 | なし | - | 0% | 現在も活発に活動中 |
| ALPHV/BlackCat | 限定的 | Avast | 40% | 最新版は非対応 |
| Cl0p | なし | - | 0% | 独自の暗号化方式 |
この表に掲載されているランサムウェアの復号ツールは、各セキュリティベンダーやNo More Ransom Projectで入手できます。身代金を支払う前に、必ず復号ツールの存在を確認してください。
代替手段の検討
身代金支払いを検討する前に、すべての代替手段を検討します。
復号ツールの存在確認
前述の通り、一部のランサムウェアには無料の復号ツールが存在します。
確認先:
- No More Ransom Project(国際的なイニシアチブ)
- 主要セキュリティベンダー(Kaspersky、Avast、Emsisoft等)
- 警察庁・IPAの提供する情報
攻撃者から身代金要求のメッセージに記載されているランサムウェアの種類を特定し、復号ツールを検索します。
データ再作成のコスト比較
暗号化されたデータを一から再作成するコストと、身代金額を比較します。
比較要素:
- 再作成に必要な人件費と時間
- 業務停止による機会損失
- 顧客への補償コスト
- 信頼回復のためのコスト
場合によっては、身代金を支払うより、データを再作成する方が経済的に合理的なケースもあります。
交渉の実際
やむを得ず交渉する場合でも、専門家の助言を得ることが重要です。
専門交渉人の活用
ランサムウェア交渉を専門とするサイバーセキュリティ企業やコンサルタントが存在します。彼らは:
- 攻撃グループの特性を熟知している
- 交渉の相場感を持っている
- 暗号資産の送金手続きを支援できる
- 復号キーの検証ができる
自社だけで交渉すると、不利な条件を飲まされる可能性があります。専門家の支援により、身代金額を減額できたり、復号の成功率を高められます。
身代金減額交渉
攻撃者の初回要求額は、通常、最終的な着地点より高めに設定されています。交渉により、30-50%程度の減額が可能な場合があります。
交渉のポイント:
- 「支払い意思はあるが、この金額は払えない」という姿勢
- 自社の財務状況(中小企業、非営利団体等)をアピール
- 段階的な支払いを提案(一部を先払いし、復号を確認後に残額支払い)
- 「サンプルファイルの復号」を要求し、復号能力を検証
ただし、交渉が長引くと、攻撃者が交渉を打ち切り、データを公開するリスクもあります。時間とのバランスが重要です。
よくある質問(FAQ)
- Q: ランサムウェアに感染したら身代金を払うべきですか?
- A: 原則として支払いは推奨されません。理由は①復号される保証がない(約30%は支払っても復旧不可)、②再攻撃のリスクが80%上昇する、③犯罪組織への資金提供となり社会的責任を問われる、④攻撃者が制裁対象の場合は違法となる可能性がある、からです。まずバックアップからの復旧、無料の復号ツールの確認、データ再作成コストとの比較を行ってください。どうしても必要な場合は、法執行機関や専門家と法的リスクを十分に検討した上で、経営層の承認を得て判断すべきです。
- Q: イミュータブルバックアップとは何ですか?
- A: 一定期間変更・削除が不可能なバックアップです。ランサムウェアが管理者権限を奪取してもバックアップを破壊できないため、確実な復旧が可能になります。AWS S3のObject Lock、Azure Blob Storageの不変性ポリシー、専用アプライアンス、テープへの書き込み後の物理的保護などで実現できます。保護期間は最低30日、推奨90日以上に設定します。導入後は月次でリストア訓練を実施し、確実に復旧できることを検証してください。コストは通常のバックアップより20-30%高くなりますが、ランサムウェア対策として最も効果的な投資の一つです。
- Q: 週末にランサムウェア攻撃が多いのはなぜですか?
- A: 週末は①IT担当者が不在で初動対応が遅れる、②月曜朝まで発見されず被害が拡大する、③暗号化に十分な時間(48時間以上)が確保できる、④バックアップジョブと重なり検知が困難になる、⑤経営層への報告と意思決定が遅れる、などの理由があります。対策として、週末も含めた24時間365日の監視体制、自動アラート設定とエスカレーション手順の整備、緊急連絡網の確立、週末前のセキュリティチェック強化が必要です。EDRなどの自動検知・対応ツールを導入し、人がいなくても初動対応できる仕組みを構築することも有効です。
- Q: 中小企業でもランサムウェア対策は必要ですか?
- A: 絶対に必要です。2025年は中小企業への攻撃が急増しており、「セキュリティが弱い」「サプライチェーン攻撃の踏み台として利用価値がある」という理由で標的にされています。最低限実施すべき対策は①3-2-1+1バックアップの実装、②EDR(または安価なMDRサービス)の導入、③従業員へのセキュリティ教育(年2回以上)、④インシデント対応計画の策定と訓練、⑤サイバー保険への加入、です。予算が限られている場合は、クラウドベースのセキュリティサービスやMSS(Managed Security Service)の活用も検討してください。外部の専門家に任せることで、コストを抑えながら高度な防御が可能です。
- Q: ランサムウェア攻撃を受けた後の信頼回復はどうすればいいですか?
- A: 信頼回復には、①迅速で透明性のある情報開示(隠蔽は逆効果)、②徹底的な原因究明と再発防止策の公表、③第三者機関による監査実施とその結果の公開、④被害を受けた顧客やステークホルダーへの適切な補償、⑤継続的なセキュリティ強化の実証、が重要です。特に、同じ問題が二度と起こらない具体的な対策を示し、実際に改善されていることを証明する必要があります。完全な信頼回復には平均6ヶ月から1年かかることを覚悟し、長期的な取り組みが必要です。経営層が前面に立ち、誠実に対応する姿勢を示すことが、最も重要な要素です。
関連情報へのリンク
ランサムウェア対策は、マルウェア感染対策全体の一部です。以下の関連記事も合わせてご確認ください:
特に、組織のBCP策定は、ランサムウェアに限らずあらゆるサイバー攻撃からの復旧に不可欠です。また、サイバー保険については別途専門記事で詳しく解説していますので、リスクマネジメントの一環として検討してください。
まとめ
2025年のランサムウェアは、単なる暗号化マルウェアから、データ窃取・公開脅迫・DDoS攻撃を組み合わせた「三重脅迫型」へと進化しています。RaaSの普及により、技術力のない犯罪者でも簡単に攻撃を実行できるようになり、中小企業への攻撃が急増しています。
最も重要な対策は、3-2-1+1バックアップ戦略の実装です。特にイミュータブルバックアップは、ランサムウェアからバックアップを守る最後の防衛線として、すべての組織に推奨されます。
万が一感染した場合は、72時間以内の初動対応が被害の拡大を左右します。事前にインシデント対応計画を策定し、定期的な訓練を実施することで、冷静かつ迅速な対応が可能になります。
身代金の支払いは最終手段です。多くのリスクと法的問題を伴うため、必ず専門家と法執行機関に相談し、慎重に判断してください。
重要なお知らせ
本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。実際にランサムウェア攻撃の被害に遭われた場合は、警察(#9110またはサイバー犯罪相談窓口)や消費生活センター(188)、IPA(情報処理推進機構)などの公的機関に速やかにご相談ください。法的な対応が必要な場合は、サイバーセキュリティに詳しい弁護士などの専門家にご相談ください。記載内容は2025年2月時点の情報であり、攻撃手口は日々進化しています。最新の脅威情報を常に収集し、対策を更新し続けることが重要です。
更新履歴
- 初稿公開
