基本用語(ランサムウェア・暗号化・復号)
- 1. ランサムウェア(Ransomware)
- 読み方:ランサムウェア
データを暗号化したり、システムをロックしたりして、元に戻すための「身代金(Ransom)」を要求する悪意のあるソフトウェア。「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。 - 2. マルウェア(Malware)
- 読み方:マルウェア
悪意のあるソフトウェアの総称。ウイルス、ワーム、トロイの木馬、スパイウェア、ランサムウェアなど、コンピュータに害を与えるプログラム全般を指します。「Malicious(悪意のある)」と「Software」の組み合わせ。
→ 詳細:マルウェア感染 - 3. 暗号化(Encryption)
- 読み方:あんごうか
データを特定のルール(アルゴリズム)に従って変換し、正しい鍵を持つ人以外には読めない状態にすること。ランサムウェアはこの技術を悪用し、被害者のファイルを「人質」に取ります。 - 4. 復号(Decryption)
- 読み方:ふくごう
暗号化されたデータを元の読める状態に戻すこと。「復号化」とも呼ばれます。復号には正しい鍵(復号キー)が必要で、ランサムウェア攻撃ではこの鍵を攻撃者が握っています。 - 5. 身代金(Ransom)
- 読み方:みのしろきん
誘拐などで人質を解放するために要求される金銭。ランサムウェアの文脈では、暗号化されたファイルを元に戻すために攻撃者が要求する金銭を指します。ランサムウェアの名前の由来です。 - 6. 暗号資産/仮想通貨(Cryptocurrency)
- 読み方:あんごうしさん/かそうつうか
ビットコインなど、暗号技術を使ったデジタル通貨。銀行を介さずに送金でき、匿名性が高いため、ランサムウェアの身代金支払いに悪用されています。 - 7. ビットコイン(Bitcoin)
- 読み方:ビットコイン
2009年に誕生した最初の暗号資産。ランサムウェアの身代金支払いに最も多く使用されています。取引は追跡可能ですが、口座の持ち主を特定することは困難です。 - 8. ダークウェブ(Dark Web)
- 読み方:ダークウェブ
通常の検索エンジンでは見つからない、匿名性の高いインターネット領域。ランサムウェアのツールや盗まれた認証情報が売買されたり、リークサイトが運営されたりしています。 - 9. Tor(トーア)
- 読み方:トーア
「The Onion Router」の略。通信を複数のサーバー経由で暗号化し、匿名性を確保する技術。ダークウェブへのアクセスや、ランサムウェアの通信隠蔽に使用されます。 - 10. 感染(Infection)
- 読み方:かんせん
マルウェアがコンピュータに侵入し、悪意のある活動を開始すること。ランサムウェアの場合、感染後すぐに暗号化が始まるケースと、しばらく潜伏するケースがあります。
攻撃手法用語(RaaS・二重恐喝・ノーウェアランサム)
- 11. RaaS(Ransomware as a Service)
- 読み方:ラース
ランサムウェアをサービスとして提供するビジネスモデル。開発者がランサムウェアを提供し、アフィリエイト(実行者)が攻撃を行い、収益を分配します。技術力がなくても攻撃に参加できる環境を生み出しました。
→ 詳細:RaaSエコシステム - 12. アフィリエイト(Affiliate)
- 読み方:アフィリエイト
RaaSにおいて、実際に攻撃を実行する役割の人や組織。開発者からツールの提供を受け、標的を見つけて攻撃し、身代金の一部(通常70〜80%)を受け取ります。 - 13. 二重恐喝(Double Extortion)
- 読み方:にじゅうきょうかつ
ファイルの暗号化に加え、盗み出したデータの公開をちらつかせて身代金を要求する手法。バックアップから復旧しても情報公開の脅威は残るため、支払い圧力が高まります。2019年にMazeグループが始めました。 - 14. 三重恐喝(Triple Extortion)
- 読み方:さんじゅうきょうかつ
二重恐喝に加え、DDoS攻撃による業務妨害や、被害者の顧客・取引先への連絡など、第三の脅迫手段を組み合わせる手法。支払いをさらに促すための圧力を強化します。 - 15. ノーウェアランサム(No-ware Ransom)
- 読み方:ノーウェアランサム
ファイルを暗号化せず、データを盗み出すだけで身代金を要求する手法。暗号化がないため検知が難しく、バックアップからの復旧も意味をなしません。
→ 詳細:種類と手法 - 16. リークサイト(Leak Site)
- 読み方:リークサイト
攻撃者が窃取したデータを公開するWebサイト。通常はダークウェブ上に設置され、身代金を払わない被害者のデータを段階的に公開していきます。 - 17. 暗号化型ランサムウェア
- 読み方:あんごうかがたランサムウェア
被害者のファイルを暗号化し、復号キーと引き換えに身代金を要求するタイプ。現在のランサムウェアの主流です。 - 18. ロック型ランサムウェア
- 読み方:ロックがたランサムウェア
画面をロックして操作不能にし、ロック解除と引き換えに身代金を要求するタイプ。ファイル自体は暗号化されないことが多く、駆除すれば復旧できる場合もあります。 - 19. ワイパー型ランサムウェア
- 読み方:ワイパーがたランサムウェア
復旧不能な形でデータを破壊するタイプ。身代金を払っても復旧できないため、実質的には破壊活動が目的です。ウクライナへの攻撃で使用された事例があります。 - 20. ラテラルムーブメント(横展開)
- 読み方:ラテラルムーブメント
侵入したネットワーク内を横方向に移動し、他のシステムやデータへのアクセス権を獲得すること。1台のPCへの侵入から、組織全体への感染拡大につながります。 - 21. 特権昇格(Privilege Escalation)
- 読み方:とっけんしょうかく
通常のユーザー権限から管理者権限を奪取すること。管理者権限を得ると、より広範なシステムへのアクセスやセキュリティ設定の変更が可能になります。 - 22. C2(Command and Control)
- 読み方:シーツー
攻撃者が感染したコンピュータを遠隔操作するためのサーバーや通信基盤。C2サーバー、C&Cサーバーとも呼ばれます。暗号化の指示や窃取データの送信に使用されます。 - 23. ドロッパー(Dropper)
- 読み方:ドロッパー
他のマルウェアをダウンロード・実行するためのプログラム。メールの添付ファイルとして送られ、開くとランサムウェア本体をダウンロードするケースがあります。 - 24. エクスプロイト(Exploit)
- 読み方:エクスプロイト
ソフトウェアの脆弱性を悪用するための攻撃コード。脆弱性を「利用可能な武器」にしたものといえます。WannaCryで使われたEternalBlueが有名な例です。 - 25. ゼロデイ(Zero-day)
- 読み方:ゼロデイ
まだパッチ(修正プログラム)が存在しない脆弱性、またはそれを悪用した攻撃。対策が「0日」しかないことが名前の由来。非常に危険な攻撃に使用されます。
→ 詳細:ゼロデイ攻撃
対策技術用語(EDR・XDR・MDR・ゼロトラスト)
- 26. アンチウイルス(AV)
- 読み方:アンチウイルス
既知のマルウェアを検知・駆除するソフトウェア。シグネチャ(定義ファイル)と照合して脅威を判定します。基本的な対策として重要ですが、未知の脅威には対応が難しい場合があります。 - 27. EPP(Endpoint Protection Platform)
- 読み方:イーピーピー
エンドポイント(PCやサーバー)を保護するためのプラットフォーム。アンチウイルス、ファイアウォール、デバイス制御などの機能を統合したものです。 - 28. EDR(Endpoint Detection and Response)
- 読み方:イーディーアール
エンドポイントの挙動を監視し、不審な動作を検知・対応するソリューション。「振る舞い検知」により、シグネチャにない未知の脅威も検出できます。ランサムウェア対策として注目されています。
→ 詳細:対策ツール比較 - 29. XDR(Extended Detection and Response)
- 読み方:エックスディーアール
EDRを拡張し、エンドポイントだけでなくネットワーク、クラウド、メールなど複数の領域を統合的に監視・対応するソリューション。より広範な脅威の可視化が可能です。 - 30. MDR(Managed Detection and Response)
- 読み方:エムディーアール
EDRやXDRの運用を専門家が代行するサービス。自社にセキュリティ専門家がいない場合でも、24時間体制での監視・対応が可能になります。 - 31. SIEM(Security Information and Event Management)
- 読み方:シーム
組織内のさまざまなシステムからセキュリティログを収集・分析し、脅威を検知するシステム。大量のログから異常を見つけ出す「目」の役割を果たします。 - 32. SOC(Security Operations Center)
- 読み方:ソック
セキュリティを24時間体制で監視する専門組織または施設。SIEMやEDRからのアラートを監視し、インシデント対応を行います。 - 33. ゼロトラスト(Zero Trust)
- 読み方:ゼロトラスト
「何も信頼しない」を前提としたセキュリティモデル。社内ネットワークであっても無条件に信頼せず、常にアクセスを検証します。VPN依存からの脱却策として注目されています。
→ 詳細:ゼロトラスト導入ガイド - 34. ZTNA(Zero Trust Network Access)
- 読み方:ゼットティーエヌエー
ゼロトラストの考え方に基づいたネットワークアクセス方式。VPNの代替として、必要最小限のリソースにのみアクセスを許可します。 - 35. MFA/2FA(多要素認証)
- 読み方:エムエフエー/ツーエフエー
パスワードに加え、ワンタイムパスワードや生体認証など、複数の認証要素を組み合わせる仕組み。認証情報が漏洩しても不正アクセスを防ぐ効果があります。
→ 詳細:多要素認証バイパス - 36. VPN(Virtual Private Network)
- 読み方:ブイピーエヌ
インターネット上に暗号化された仮想的な専用回線を作る技術。テレワークで社内ネットワークにアクセスする際に使用されますが、脆弱性を狙った攻撃も増加しています。 - 37. マイクロセグメンテーション
- 読み方:マイクロセグメンテーション
ネットワークを細かく分割し、セグメント間の通信を制限する手法。ランサムウェアが横展開しようとしても、被害を局所化できます。 - 38. パッチ管理
- 読み方:パッチかんり
ソフトウェアの修正プログラム(パッチ)を計画的に適用する管理プロセス。脆弱性を放置しないための重要な対策です。WannaCryはパッチ適用の重要性を示した代表的な事例です。 - 39. 脆弱性スキャン
- 読み方:ぜいじゃくせいスキャン
システムの脆弱性を自動的に検査すること。定期的なスキャンにより、パッチ適用漏れや設定ミスを発見できます。 - 40. ペネトレーションテスト
- 読み方:ペネトレーションテスト
実際の攻撃を模擬してシステムの脆弱性を検証するテスト。「ペンテスト」とも呼ばれます。専門家が攻撃者の視点で侵入を試み、問題点を洗い出します。
復旧関連用語(フォレンジック・復号ツール)
- 41. フォレンジック(Digital Forensics)
- 読み方:フォレンジック
デジタル証拠の調査・分析を行う専門分野。ランサムウェア被害では、侵入経路の特定、被害範囲の把握、証拠保全などに活用されます。 - 42. 証拠保全
- 読み方:しょうこほぜん
被害状況を後から検証できるよう、ログやデータを改変なく保存すること。フォレンジック調査や法的対応のために重要です。 - 43. インシデント対応
- 読み方:インシデントたいおう
セキュリティ事故(インシデント)が発生した際の対処プロセス。検知、分析、封じ込め、根絶、復旧、事後対応の各フェーズがあります。
→ 詳細:感染時の対応 - 44. CSIRT(シーサート)
- 読み方:シーサート
Computer Security Incident Response Teamの略。セキュリティインシデントへの対応を行う専門チーム。社内CSIRTを設置する企業が増えています。 - 45. 復号ツール(Decryptor)
- 読み方:ふくごうツール
暗号化されたファイルを復号するためのツール。一部のランサムウェアについては、セキュリティ研究者が無料の復号ツールを公開しています。 - 46. No More Ransom
- 読み方:ノーモアランサム
欧州刑事警察機構(ユーロポール)やセキュリティ企業が共同運営するプロジェクト。無料の復号ツールを提供し、ランサムウェア被害者の支援を行っています。
→ 詳細:復号ツール活用ガイド - 47. バックアップ
- 読み方:バックアップ
データの複製を保存すること。ランサムウェア対策では、暗号化されても復旧できるよう、定期的なバックアップが極めて重要です。 - 48. 3-2-1ルール
- 読み方:スリーツーワンルール
バックアップの基本原則。3つのコピーを、2種類の異なる媒体に保存し、1つはオフサイト(遠隔地)に保管します。
→ 詳細:バックアップ戦略 - 49. RTO(目標復旧時間)
- 読み方:アールティーオー
Recovery Time Objectiveの略。システムが停止してから復旧するまでの目標時間。「どれくらいの時間で復旧させる必要があるか」を示す指標です。 - 50. RPO(目標復旧時点)
- 読み方:アールピーオー
Recovery Point Objectiveの略。どの時点までのデータを復旧できるかの目標。「何時間前のデータまで戻せればよいか」を示す指標です。
法務・コンプライアンス用語
- 51. YMYL(Your Money Your Life)
- 読み方:ワイエムワイエル
Googleの検索品質評価ガイドラインで使われる概念。金銭や生活、安全に影響を与える可能性のある情報を指します。セキュリティ情報もYMYLに該当し、正確性が求められます。 - 52. 個人情報保護法
- 読み方:こじんじょうほうほごほう
個人情報の取り扱いを規制する日本の法律。ランサムウェア被害で個人情報が流出した場合、この法律に基づく報告義務や対応が求められます。 - 53. 報告義務
- 読み方:ほうこくぎむ
情報漏洩などのインシデント発生時に、監督機関や本人に報告する法的義務。個人情報保護法では、漏洩等が発生した場合の報告が義務化されています。 - 54. 速報・確報
- 読み方:そくほう・かくほう
報告義務における2段階の報告。速報は発覚後速やかに(概ね3〜5日以内)、確報は30日以内(不正アクセス等は60日以内)に行います。 - 55. 善管注意義務
- 読み方:ぜんかんちゅういぎむ
善良な管理者としての注意義務。委託元から預かったデータを適切に管理する義務があり、ランサムウェア被害で怠慢があれば損害賠償の対象となる可能性があります。 - 56. サイバー保険
- 読み方:サイバーほけん
サイバー攻撃による損害を補償する保険。ランサムウェア被害時の調査費用、復旧費用、損害賠償、さらには身代金(一部保険)をカバーする場合があります。
→ 詳細:サイバー保険活用ガイド - 57. 事業継続計画(BCP)
- 読み方:ビーシーピー
Business Continuity Planの略。災害やサイバー攻撃など、事業の継続を脅かす事態が発生した際に、事業を継続または早期復旧するための計画。 - 58. IT-BCP
- 読み方:アイティービーシーピー
BCPのうち、IT分野に特化した計画。ランサムウェア攻撃を想定したシステム復旧計画や、代替手段の確保などが含まれます。
→ 詳細:IT-BCP策定ガイド - 59. ディザスタリカバリ(DR)
- 読み方:ディザスタリカバリ
Disaster Recoveryの略。災害からの復旧を意味し、システムやデータを復旧するための計画・体制を指します。遠隔地にバックアップサイトを持つケースもあります。 - 60. コンプライアンス
- 読み方:コンプライアンス
法令・規則を遵守すること。セキュリティ分野では、個人情報保護法、業界規制(PCI DSSなど)、社内規程への準拠が求められます。
用語索引(アルファベット順・五十音順)
| 用語 | カテゴリ | 番号 |
|---|---|---|
| 2FA/MFA(多要素認証) | 対策技術 | 35 |
| 3-2-1ルール | 復旧関連 | 48 |
| AIDS Trojan | - | 歴史ページ参照 |
| AV(アンチウイルス) | 対策技術 | 26 |
| BCP(事業継続計画) | 法務 | 57 |
| C2 | 攻撃手法 | 22 |
| CSIRT | 復旧関連 | 44 |
| DR(ディザスタリカバリ) | 法務 | 59 |
| EDR | 対策技術 | 28 |
| EPP | 対策技術 | 27 |
| IT-BCP | 法務 | 58 |
| MDR | 対策技術 | 30 |
| No More Ransom | 復旧関連 | 46 |
| RaaS | 攻撃手法 | 11 |
| RPO | 復旧関連 | 50 |
| RTO | 復旧関連 | 49 |
| SIEM | 対策技術 | 31 |
| SOC | 対策技術 | 32 |
| Tor | 基本用語 | 9 |
| VPN | 対策技術 | 36 |
| XDR | 対策技術 | 29 |
| YMYL | 法務 | 51 |
| ZTNA | 対策技術 | 34 |
| アフィリエイト | 攻撃手法 | 12 |
| 暗号化 | 基本用語 | 3 |
| 暗号資産 | 基本用語 | 6 |
| インシデント対応 | 復旧関連 | 43 |
| エクスプロイト | 攻撃手法 | 24 |
| 感染 | 基本用語 | 10 |
| 脆弱性スキャン | 対策技術 | 39 |
| ゼロデイ | 攻撃手法 | 25 |
| ゼロトラスト | 対策技術 | 33 |
| 善管注意義務 | 法務 | 55 |
| 速報・確報 | 法務 | 54 |
| ダークウェブ | 基本用語 | 8 |
| 特権昇格 | 攻撃手法 | 21 |
| ドロッパー | 攻撃手法 | 23 |
| 二重恐喝 | 攻撃手法 | 13 |
| ノーウェアランサム | 攻撃手法 | 15 |
| バックアップ | 復旧関連 | 47 |
| パッチ管理 | 対策技術 | 38 |
| ビットコイン | 基本用語 | 7 |
| 復号 | 基本用語 | 4 |
| 復号ツール | 復旧関連 | 45 |
| フォレンジック | 復旧関連 | 41 |
| ペネトレーションテスト | 対策技術 | 40 |
| 報告義務 | 法務 | 53 |
| マイクロセグメンテーション | 対策技術 | 37 |
| マルウェア | 基本用語 | 2 |
| 身代金 | 基本用語 | 5 |
| ラテラルムーブメント | 攻撃手法 | 20 |
| ランサムウェア | 基本用語 | 1 |
| リークサイト | 攻撃手法 | 16 |
よくある質問(FAQ)
- Q: EDRとアンチウイルスソフトの違いは何ですか?
- A: アンチウイルスは「シグネチャ(定義ファイル)」と照合して既知のマルウェアを検知します。一方、EDRは「振る舞い検知」により、シグネチャにない未知の脅威も検出できます。また、EDRは検知だけでなく、被害端末の隔離や調査機能も備えています。両者は補完関係にあり、併用が推奨されます。詳しくは対策ツール比較をご覧ください。
- Q: XDRとEDRはどう違いますか?
- A: EDRは「エンドポイント(PC、サーバー)」に特化した検知・対応ツールです。XDRは「Extended(拡張)」の名の通り、エンドポイントに加えてネットワーク、クラウド、メールなど複数の領域を統合的に監視します。より広範な脅威の可視化と、領域をまたいだ攻撃の検知が可能になります。
- Q: ゼロトラストとVPNはどちらが安全ですか?
- A: 単純比較は難しいですが、考え方が異なります。VPNは「境界の内側は信頼する」という前提で、外部からの安全な接続を提供します。ゼロトラストは「何も信頼しない」前提で、社内外を問わず常にアクセスを検証します。VPN機器の脆弱性を狙った攻撃が増えている現状では、ゼロトラストへの移行を検討する価値があります。詳しくはゼロトラスト導入ガイドをご覧ください。
- Q: CSIRTとSOCの違いは何ですか?
- A: SOC(Security Operations Center)は主に「監視」を担当し、24時間体制でセキュリティアラートを監視します。CSIRT(Computer Security Incident Response Team)は「インシデント対応」を担当し、発生したセキュリティ事故への対処を行います。両者は連携して機能し、大規模な組織では両方を設置することもあります。
関連ページへの導線
【もっと詳しく知りたい方へ】
- ランサムウェアの全体像を学ぶ → ランサムウェアとは?(総合ガイド)
- 仕組みを理解する → ランサムウェアの仕組み
- 対策ツールを選ぶ → 対策ツール比較
- 対策を始める → 対策完全ガイド
ランサムウェアの基礎を学ぶ
対策を始める
免責事項
【ご注意・免責事項】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- 消費生活センター:188
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- セキュリティ対策の導入は、専門家やベンダーと相談の上ご判断ください
- 記載内容は作成時点の情報であり、攻撃手口は日々進化しています
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
