ランサムウェアの主な種類(暗号化型・ロック型・ノーウェアランサム)
ランサムウェアは、その攻撃手法によって大きく3つの種類に分類されます。それぞれの特徴を理解することで、適切な対策を講じることが可能になります。
暗号化型ランサムウェアとは
暗号化型ランサムウェアは、最も一般的なタイプのランサムウェアです。感染した端末やネットワーク上のファイルを強力な暗号アルゴリズムで暗号化し、復号に必要なキーと引き換えに身代金を要求します。
- 暗号化型ランサムウェアの定義
- 被害者のファイルやデータを暗号化し、復号キーの提供と引き換えに金銭を要求するマルウェアの一種。業務継続に不可欠なデータを人質にとることで、被害者に支払いを迫る。
暗号化型ランサムウェアの代表的な例としては、LockBit、Conti(現在は活動停止)、REvilなどが挙げられます。これらは世界中で多くの被害を引き起こし、特にLockBitは日本企業への攻撃実績も多数確認されています。
暗号化型の被害を受けた場合、業務システムやファイルサーバーにアクセスできなくなり、業務停止に追い込まれるケースが大半です。バックアップがない場合はデータ喪失のリスクも生じます。詳細な仕組みについては、「ランサムウェアの仕組み」で解説しています。
ロック型ランサムウェアとは
ロック型ランサムウェアは、ファイルの暗号化ではなく、端末の画面やシステム全体をロックして操作不能にするタイプです。
- ロック型ランサムウェアの定義
- OSの起動画面やデスクトップをロックし、ユーザーが端末を操作できない状態にして身代金を要求するマルウェア。ファイル自体は暗号化されていないため、技術的には復旧しやすい場合がある。
代表的な例としては、WinLocker系統やPolice Ransomware(警察を装った偽警告画面を表示するタイプ)があります。暗号化型と比較すると、ファイル自体は無事であることが多いため、専門家による復旧が可能なケースもあります。
ただし、一般のユーザーにとっては「パソコンが動かない」という恐怖心から、慌てて身代金を支払ってしまうリスクがあります。画面がロックされた場合の対処法については、「パソコン画面がロックされた?原因と対処法」をご参照ください。
ノーウェアランサム(データ窃取型)とは
2024年に急増した新しい手法として注目されているのが、ノーウェアランサム(Noware Ransom)です。従来のランサムウェアと異なり、ファイルの暗号化を一切行いません。
- ノーウェアランサムの定義
- ファイルを暗号化せず、機密データを窃取したうえで「公開する」と脅迫する攻撃手法。暗号化を伴わないため「ランサムウェア」という呼称が適切かどうか議論があるが、脅迫による金銭要求という点では共通している。
警察庁の統計によると、2024年上半期にはノーウェアランサムによる被害が国内で14件確認されており、前年と比較して増加傾向にあります。この手法が増えている背景には、暗号化を行わないことで「バックアップからの復旧」という対抗手段を無効化できるという攻撃者側のメリットがあります。
従来の「バックアップさえあれば安心」という対策だけでは、情報漏洩を防ぐことはできません。データの窃取を防ぐためには、侵入そのものを防ぐ対策や、情報漏洩時の対応計画が必要です。実際の被害事例については、「ランサムウェア被害事例」で詳しく解説しています。
3種類の特徴比較表
| 比較項目 | 暗号化型 | ロック型 | ノーウェアランサム |
|---|---|---|---|
| 攻撃手法 | ファイルを暗号化 | 画面・システムをロック | データを窃取のみ |
| 被害の特徴 | ファイルにアクセス不能 | 端末操作不能 | 情報漏洩リスク |
| 復旧難易度 | 高い(復号キーが必要) | 中程度(専門家で対応可能な場合あり) | 復旧は容易だが情報流出は取り消せない |
| 検知しやすさ | 比較的容易(暗号化動作を検知) | 容易(画面ロックで即座に発覚) | 困難(正規の通信に偽装) |
| 主な対象 | 企業・組織(業務データ) | 個人ユーザー中心 | 機密情報を持つ企業 |
| バックアップの有効性 | 有効 | 有効 | 情報漏洩には無効 |
攻撃手法の進化(二重恐喝・三重恐喝・RaaS)
ランサムウェアの攻撃手法は年々進化しており、単純な暗号化から多層的な脅迫へと変化しています。
二重恐喝(Double Extortion)とは
二重恐喝とは、ファイルの暗号化に加えて、窃取したデータを公開すると脅迫する手法です。
- 二重恐喝の定義
- 従来の暗号化による身代金要求に加え、「身代金を支払わなければ窃取したデータをダークウェブ等で公開する」と脅迫する攻撃手法。2019年頃からMazeグループが始めたとされ、現在では主流の手法となっている。
二重恐喝が登場したのは2019年頃で、Mazeというランサムウェアグループが先駆けとされています。この手法により、たとえバックアップから復旧できたとしても、情報漏洩という別のリスクが残ることになりました。
被害企業への影響は甚大です。身代金を支払っても、攻撃者が本当にデータを削除する保証はなく、後から追加で脅迫を受けるケースも報告されています。また、個人情報が漏洩した場合は、個人情報保護法に基づく報告義務が発生します。詳細は「ランサムウェアと法的責任」をご確認ください。
三重恐喝・四重恐喝の登場
攻撃者はさらに脅迫の手段を増やし、三重恐喝、四重恐喝へと手法を進化させています。
- 三重恐喝
- 二重恐喝に加えて、DDoS攻撃を仕掛けて被害企業のWebサイトやサービスを停止させる手法。業務復旧を妨害することで、身代金支払いへの圧力を強める。
- 四重恐喝
- 三重恐喝に加えて、被害企業の顧客や取引先に直接連絡し、情報漏洩を通知して圧力をかける手法。レピュテーションダメージを利用した脅迫。
2024年から2025年にかけて、これらの多重恐喝手法は増加傾向にあります。攻撃者にとっては、あらゆる手段で被害者を追い詰めることで身代金獲得の確率を高める狙いがあります。
企業側の対策もより複雑になっており、単なるセキュリティ対策だけでなく、DDoS攻撃への対策や、ビジネスメール詐欺(BEC)との複合攻撃への備えも必要になっています。
RaaS(Ransomware as a Service)とは
RaaSは、ランサムウェア攻撃を「サービス」として提供するビジネスモデルです。
- RaaS(Ransomware as a Service)の定義
- ランサムウェアの開発者が、攻撃ツールやインフラを「サービス」として他の攻撃者(アフィリエイト)に提供するビジネスモデル。アフィリエイトは技術力がなくても攻撃を実行でき、得られた身代金を開発者と分配する。
- 開発者とアフィリエイトの関係
- 開発者はランサムウェア本体、管理ダッシュボード、被害者との交渉ツール等を提供。アフィリエイトは実際の攻撃(侵入、展開、交渉)を担当する。
- 収益分配モデル
- 一般的には開発者が20〜30%、アフィリエイトが70〜80%の取り分とされる。実績のあるアフィリエイトほど有利な条件を得られる場合もある。
RaaSの登場により、高度な技術力を持たない攻撃者でもランサムウェア攻撃を実行できるようになり、攻撃の裾野が大幅に広がりました。これが世界的なランサムウェア被害増加の一因となっています。
RaaSエコシステムの詳細については、「RaaSエコシステムの仕組みと最新動向」で詳しく解説しています。
攻撃手法の進化タイムライン
| 時期 | 主な出来事・手法 | 特徴 |
|---|---|---|
| 2013年 | CryptoLocker登場 | 本格的な暗号化型ランサムウェアの始まり |
| 2016年 | Locky大流行 | メール添付ファイルによる大規模感染 |
| 2017年 | WannaCry世界的大流行 | 脆弱性を悪用した自動拡散、国際的な被害 |
| 2019年 | Maze、二重恐喝を開始 | データ窃取+暗号化の組み合わせ |
| 2020年 | RaaSモデルの普及 | LockBit、REvil等のサービス化 |
| 2021年 | 三重恐喝の登場 | DDoS攻撃を組み合わせた脅迫 |
| 2022年 | 四重恐喝の登場 | 顧客・取引先への直接連絡 |
| 2024年 | ノーウェアランサム増加 | 暗号化を行わないデータ窃取型 |
| 2025年 | AI駆動型攻撃の台頭 | 生成AIを活用した高度な攻撃 |
2025年注目の攻撃グループ(Qilin・RansomHub・BlackSuit)
2025年現在、複数のランサムウェア攻撃グループが活発に活動しています。自組織がどのようなグループに狙われる可能性があるかを理解することは、対策を講じるうえで重要です。
Qilin(キリン/Agenda)
Qilin(別名Agenda)は、2025年において最も活発に活動しているランサムウェアグループの一つです。
セキュリティ企業の調査によると、Qilinは2025年の月平均被害数が75件に達しており、世界的に見ても最も多くの攻撃を行っているグループとされています。
日本企業への攻撃実績も確認されており、2024年には大手食品メーカーへの攻撃が報道されました。Qilinの特徴的な手法としては、医療機関や教育機関など、社会的影響の大きいターゲットを狙う傾向があることが挙げられます。
RansomHub
RansomHubは、2024年2月に登場した比較的新しいグループですが、急速に台頭しています。
- RansomHubの特徴
- 独自のデータ販売プラットフォームを運営し、被害者が身代金を支払わない場合はデータを競売形式で販売するという手法を採用。従来の「公開」ではなく「販売」という形態が特徴的。
RansomHubは、日本企業への攻撃も確認されており、製造業や小売業をターゲットとする傾向があります。2024年後半から2025年にかけて活動が活発化しており、今後も注意が必要なグループです。
BlackSuit
BlackSuitは、かつて猛威を振るったContiグループの流れを汲むとされるグループです。
2024年6月に発生したKADOKAWAへの大規模攻撃では、BlackSuitが犯行声明を出しました。この攻撃により、KADOKAWAは特別損失として約23億円を計上し、約25万人分の個人情報が流出するという深刻な被害を受けました。
BlackSuitはメディア・エンターテインメント業界をターゲットとする傾向があり、大量のユーザーデータを保有する企業は特に注意が必要です。業界別の対策については、「メディア・エンタメ業界のランサムウェア対策」をご参照ください。
その他の注目グループ
- 8Base
- 2025年2月に主要メンバーが逮捕されたが、組織の一部は活動を継続している可能性がある。中小企業をターゲットとする傾向が強い。
- Hunters International
- Hiveグループの後継とされ、2024年から活動が活発化。製造業や物流業をターゲットとすることが多い。
日本を標的とするグループの傾向として、製造業のサプライチェーンを狙う攻撃が増加しています。大企業だけでなく、取引先である中小企業も攻撃対象となるため、サプライチェーン経由の攻撃への備えが重要です。
攻撃グループ比較表
| グループ名 | 活動開始時期 | 主な標的業界 | 日本関連の攻撃 | 特徴的な手法 |
|---|---|---|---|---|
| Qilin | 2022年 | 医療、教育、製造 | あり(食品メーカー等) | 社会的影響の大きいターゲット |
| RansomHub | 2024年2月 | 製造、小売、金融 | あり | データ競売プラットフォーム |
| BlackSuit | 2023年 | メディア、エンタメ | あり(KADOKAWA) | Conti系譜、大規模攻撃 |
| 8Base | 2022年 | 中小企業全般 | あり | 中小企業特化 |
各グループの詳細な動向については、「ランサムウェアグループ勢力図」で最新情報を提供しています。
AI駆動型ランサムウェアの脅威
2024年から2025年にかけて、生成AIを悪用したランサムウェア攻撃が新たな脅威として浮上しています。
生成AIを悪用した攻撃手法
生成AI(ChatGPT、Claude等の大規模言語モデル)を悪用することで、攻撃者は従来よりも精巧なフィッシングメールを作成できるようになっています。
- AIによるフィッシングメールの特徴
- 文法ミスがなく自然な日本語で書かれ、ターゲットの業界や役職に合わせてパーソナライズされた内容。従来の「怪しい日本語」という判断基準が通用しなくなっている。
多言語対応も容易になり、日本語の不自然さでフィッシングを見破ることが困難になっています。AIは、ターゲットのSNS情報などを分析して、より説得力のある内容を生成することも可能です。
これらの手法は、フィッシング詐欺やソーシャルエンジニアリングの高度化につながっており、従来の「怪しいメールは開かない」という対策だけでは不十分になっています。
AIによる攻撃の自動化・効率化
生成AIは、フィッシングメールの作成だけでなく、攻撃プロセス全体の効率化にも利用されています。
脆弱性スキャンの自動化では、AIがターゲット企業のシステムを分析し、攻撃可能な弱点を特定する作業を支援します。また、攻撃コードの自動生成により、特定の環境に最適化されたマルウェアを短時間で作成することも可能になっています。
さらに、セキュリティ製品による検知を回避するためのテクニックもAIによって洗練されており、従来のシグネチャベースの検知では対応が困難なケースが増加しています。
ディープフェイクを組み合わせた攻撃
音声や映像を偽装するディープフェイク技術とランサムウェア攻撃を組み合わせた手法も確認されています。
経営者の音声を模倣した電話で緊急の送金を指示する手口は、すでに海外で多数の被害が報告されています。日本でも、ディープフェイク詐欺とビジネスメール詐欺(BEC)を組み合わせた攻撃への警戒が必要です。
AI時代に必要な防御策
AIを悪用した攻撃に対抗するためには、従来の対策に加えて新たなアプローチが必要です。
従来の「怪しいメールを見分ける」という人的対策には限界があるため、AI対AIのアプローチとして、AIを活用した異常検知システムの導入が有効です。また、ゼロトラストアーキテクチャの採用により、侵入後の横展開を防ぐ多層防御も重要になっています。
AI駆動型ランサムウェアの詳細と対策については、「AI駆動型ランサムウェアとは」で詳しく解説しています。
感染経路のパターン別解説
ランサムウェアの感染を防ぐためには、攻撃者がどのような経路で侵入してくるかを理解することが重要です。
VPN機器の脆弱性経由(最多経路)
警察庁の統計によると、ランサムウェアの感染経路として最も多いのがVPN機器の脆弱性を悪用した侵入で、全体の50%以上を占めています。
FortiGate、Pulse Secure、Citrix ADCなどのVPN機器に存在する脆弱性が悪用されるケースが多発しています。これらの機器は、リモートワークの普及に伴い導入が急増しましたが、適切なパッチ適用が行われていないケースも少なくありません。
VPN機器を運用している組織は、メーカーが公開するセキュリティアップデートを迅速に適用することが必須です。感染経路の詳細については、「ランサムウェアの感染経路7選」をご参照ください。
フィッシングメール・標的型攻撃メール
フィッシングメールや標的型攻撃(APT)メールも、依然として主要な感染経路の一つです。
添付ファイル型では、Word文書やExcelファイルに悪意のあるマクロが埋め込まれているケースが典型的です。リンク型では、正規のサービスを装った偽サイトに誘導し、マルウェアをダウンロードさせる手口が使われます。
従業員教育と技術的対策の両面からの防御が必要です。詳細は「フィッシング詐欺の手口と対策」をご確認ください。
RDP(リモートデスクトップ)経由
RDP(Remote Desktop Protocol)を経由した侵入は、感染経路の約36%を占めています。
攻撃者は、インターネットに公開されたRDPポートをスキャンし、ブルートフォース攻撃(総当たり攻撃)や窃取された認証情報を使用して侵入を試みます。一度侵入に成功すると、正規のリモートアクセスとして振る舞うため、検知が困難です。
不正アクセスを防ぐためには、RDPポートをインターネットに直接公開しない、多要素認証を導入する、VPN経由でのみアクセスを許可するなどの対策が有効です。
サプライチェーン経由
大企業への直接攻撃が困難な場合、セキュリティ対策が比較的脆弱な委託先や取引先を経由して侵入する手法が増加しています。
2024年に発生したイセトー社への攻撃では、同社が業務を受託していた自治体や金融機関の個人情報が大量に流出しました。委託元の企業も情報漏洩の当事者として対応を迫られることになります。
サプライチェーン経由の攻撃対策については、「サプライチェーン経由のランサムウェア攻撃」で詳しく解説しています。
感染経路別対策一覧表
| 感染経路 | 主な対策 | 優先度 | 実施難易度 |
|---|---|---|---|
| VPN機器の脆弱性 | パッチ適用の迅速化、脆弱性情報の監視、ゼロトラスト移行検討 | 最高 | 中 |
| フィッシングメール | メールフィルタリング、従業員教育、標的型メール訓練 | 高 | 低〜中 |
| RDP経由 | RDPの非公開化、多要素認証、VPN経由のみ許可 | 高 | 低 |
| サプライチェーン | 委託先のセキュリティ評価、契約書でのセキュリティ条項 | 高 | 中〜高 |
| 不正サイト/マルバタイジング | Webフィルタリング、広告ブロック、ブラウザ更新 | 中 | 低 |
よくある質問(FAQ)
- Q: ランサムウェアとウイルスの違いは何ですか?
- A: ランサムウェアはマルウェア(悪意のあるソフトウェア)の一種であり、「ウイルス」とは分類上異なります。コンピュータウイルスは他のファイルに感染して自己増殖するマルウェアを指しますが、ランサムウェアは必ずしも自己増殖機能を持ちません。ランサムウェアの最大の特徴は「身代金(ransom)を要求する」点にあり、ファイルの暗号化やシステムのロック、データの窃取といった手段で被害者を脅迫し、金銭を得ることを目的としています。詳細は「なぜランサムウェアは特別なのか」をご参照ください。
- Q: 二重恐喝型ランサムウェアに感染したら情報は必ず流出しますか?
- A: 二重恐喝型に感染した場合、攻撃者がすでにデータを窃取している可能性が高いため、情報流出のリスクは非常に高いと考えるべきです。ただし、実際に公開されるかどうかは攻撃者の判断によります。身代金を支払っても、攻撃者がデータを削除する保証はなく、後から再度脅迫されるケースも報告されています。個人情報が含まれる可能性がある場合は、個人情報保護法に基づく報告義務が発生する可能性があります。詳細は「ランサムウェアと法的責任」をご確認ください。
- Q: RaaSとは何ですか?なぜ攻撃が増えているのですか?
- A: RaaS(Ransomware as a Service)は、ランサムウェア攻撃を「サービス」として提供するビジネスモデルです。開発者が攻撃ツールを提供し、実際の攻撃を行う「アフィリエイト」と身代金を分配します。このモデルにより、高度な技術力がなくてもランサムウェア攻撃を実行できるようになり、攻撃者の裾野が大幅に広がりました。また、成功報酬型のため攻撃者にとってリスクが低く、参入障壁が下がっています。詳細は「RaaSエコシステムの仕組み」をご参照ください。
- Q: ノーウェアランサムはバックアップで防げますか?
- A: ノーウェアランサム(データ窃取型)は暗号化を行わないため、バックアップからのデータ復旧という観点では被害は最小限に抑えられます。しかし、攻撃の目的がデータの窃取と公開脅迫であるため、バックアップでは情報漏洩を防ぐことはできません。ノーウェアランサムへの対策としては、侵入そのものを防ぐ境界防御、侵入後の横展開を防ぐゼロトラスト、データの外部流出を検知・防止するDLP(Data Loss Prevention)などが必要です。詳細は「バックアップ戦略」をご参照ください。
- Q: 最新の攻撃グループ情報はどこで確認できますか?
- A: 最新のランサムウェア攻撃グループに関する情報は、以下の公的機関や信頼できる情報源で確認できます。国内では、JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)、IPA(独立行政法人情報処理推進機構)、警察庁サイバー警察局の発表が参考になります。海外では、CISA(米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)、FBI IC3、Europolなどが定期的にレポートを公開しています。また、主要セキュリティベンダーの脅威インテリジェンスレポートも有用です。
関連ページへの導線
ランサムウェア対策 関連ページ
基礎から学ぶ
対策を実践する
万が一に備える
最新動向を把握する
ご注意・免責事項
- 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- 消費生活センター:188
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- セキュリティ対策の導入は、専門家やベンダーと相談の上ご判断ください
- 記載内容は作成時点の情報であり、攻撃手口は日々進化しています
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
