企業が知るべきランサムウェア被害の実態と対策とは？

2026.01.21

はじめに

企業活動や社会インフラのデジタル化が進む中、組織を標的としたサイバー攻撃が増加しています。特にランサムウェアと呼ばれる身代金要求型マルウェア（悪意のあるソフトウェア）による被害は、深刻な社会問題となっています。

本記事では、企業が知っておくべきランサムウェアの基本的な仕組み、実際の被害事例やその影響、技術的な対策などのポイントを、広く解説します。

ランサムウェアの基礎知識

ランサムウェアとは何か

ランサムウェアは、組織や個人のコンピュータやネットワークに侵入し、重要なファイルを暗号化したりシステムをロックしたりすることで、利用不能な状態に追い込むマルウェアの一種です。攻撃者は復旧と引き換えに身代金の支払いを要求しますが、支払ったとしても完全な復旧やデータの安全が保証されるわけではありません。

例えば総務省の事例では、ネットワークの脆弱性を突かれてIDが窃取され、社内システムがランサムウェアに感染したケースが報告されています（参照*1）。

近年は飲料メーカーや医療機関など、業種を問わず大規模な被害が発生しており、トレンドマイクロ社の調査によれば、ランサムウェアによる1件あたりの被害総額は平均2.2億円にのぼり、最も大きな被害をもたらした攻撃が、メール詐欺についで、ランサムウェア攻撃が2番目の多さとなっています（参照*2）。

攻撃の流れ

近年のランサムウェアは、感染端末を1台暗号化して終わる形よりも、まず組織ネットワークに侵入して足場を作り、権限を広げ、情報を持ち出したうえで全社規模で暗号化する「侵入型」が多く確認されており、JPCERT/CCは、攻撃者がネットワークへ侵入した後に情報窃取や暗号化を行うものを「侵入型ランサムウェア攻撃」として整理しています（参照*3）。

1. 初期侵入（入口づくり）

最初の段階では、攻撃者は外部から組織内部へ入る“入口”を確保します。入口は複数ありますが、警察庁は近年の傾向として、企業等のVPN機器をはじめとするネットワーク機器の脆弱性を狙って侵入する手口が多いことを明記しています（参照*4）。

2. 侵入後の準備（潜伏・調査・認証情報の奪取）

侵入に成功すると、攻撃者はすぐ暗号化に入らず、偵察（どこに重要データがあるか）、認証情報の窃取、横展開の準備を進めます。Microsoftは「人手で操作されるランサムウェア（human-operated ransomware）」の典型として、暗号化前段階（pre-ransom）に初期侵入、偵察、認証情報の窃取、横展開、永続化が並ぶことを整理しています（参照*5）。
この段階で狙われやすいのが、管理者権限やActive Directoryなどの中枢で、ここを押さえられると短時間で被害範囲が拡大します。

3. 防御回避と横展開（全体を暗号化できる状態へ）

攻撃者は、検知や封じ込めを遅らせるために防御を弱めつつ、複数端末・サーバへ移動（横展開）して「一斉暗号化」できる布陣を作ります。たとえば米国FBI/IC3の注意喚起では、侵入後にウイルス対策の無効化を行い、さらに暗号化に進む流れを明確に述べています（参照*6）。

4. 情報窃取（暗号化前に“持ち出す”）

近年は、暗号化だけでなく、暗号化前にデータを外部へ持ち出しておき、支払わなければ公開すると脅す「二重恐喝」が中心的です。警察庁は、データを窃取した上で公開等を示唆して対価を要求する二重恐喝が多く確認されていることを明記しています（参照*4）。
同じくFBI/IC3の注意喚起でも、暗号化に先立って大量のデータを持ち出す流れが示されています（参照*6）。

5. 暗号化と復旧妨害（バックアップまで潰す）

最後に暗号化を実行し、業務を停止させます。同時に、復旧を難しくするため、バックアップや復元機能を狙う手口が一般的です。MITRE ATT&CK（マイターアタック）は、復旧妨害の代表例として、vssadmin.exeでシャドウコピーを削除する行為を挙げています（参照*7）。

6. 身代金要求と追加脅迫（公開・再恐喝まで）

暗号化後は、復号鍵の提供や情報公開の停止と引き換えに支払いを要求します。二重恐喝が一般化しているため、バックアップから復旧できても「情報公開」という別軸の被害が残ります。警察庁は、暗号化を伴わずデータを盗んで金銭要求する「ノーウェアランサム」も確認されていると整理しており、最終局面は“暗号化の有無”だけでは判断できません（参照*4）

ランサムウェアの被害と影響

実際の被害事例

多くの企業や団体がランサムウェアによる深刻な被害を受けています。医療機関では、徳島県のつるぎ町立半田病院や大阪急性期・総合医療センターが電子カルテシステムの停止を余儀なくされ、復旧までに約2カ月以上を要した事例が報告されています（参照*8）。このような医療機関では、診療業務への影響が大きく、患者の安全にも直結するため、業務再開までの負担が非常に大きいのが特徴です。

製造業でも被害が拡大しています。台湾の半導体企業TSMCでは、3日間の製造ライン停止によって190億円規模の損失が発生しました（参照*9）。また、アサヒグループホールディングスなどの大手飲料メーカーも、サイバー攻撃による生産停止や個人情報流出の可能性が報じられています（参照*10）。

これらの事例から、ランサムウェア攻撃は業種や企業規模を問わず発生しており、一度侵入を許すと深刻な事態に陥ることが明らかです。

経営への影響

デジタル化の進展は事業プロセスの効率化をもたらす一方、サイバー攻撃による業務停止リスクも増大させています。医療機関の長期業務停止では、診療機能への影響だけでなく、患者の安全確保や復旧対応に追加コストが発生します。製造業では生産ラインの停止が部品供給や出荷スケジュール全体に混乱をもたらし、取引先や消費者にまで影響が及ぶことがあります。

個人情報や顧客データが流出した場合、信用失墜による損失も大きく、企業の業績や株価、取引先との関係悪化にも波及します。総務省の白書では、大規模データセンターを狙ったランサムウェア攻撃が社会インフラの機能停止につながり、国全体の経済活動に支障を来すリスクが指摘されています（参照*11）。

法的・広報的側面の考慮

ランサムウェア攻撃で個人情報が漏えいした場合、顧客や取引先などのステークホルダーに対する説明責任が発生します。順天堂大学女性スポーツ研究センターでは、約850名分の個人情報が暗号化され、一部流出の可能性があるとして公表されました（参照*12）。

また、大阪府民共済生活協同組合や埼玉県民共済生活協同組合の業務委託先でも、ランサムウェア攻撃による個人情報流出の恐れがあり、外部専門会社による調査や個別案内、再発防止策の徹底が実施されています（参照*13）（参照*14）。

このような被害が発生した際には、個人情報保護法や業種特有の規制を遵守し、適切な広報体制を整えることが重要です。外部への通知のタイミングや内容を慎重に検討し、警察や関連セキュリティ機関への報告も推奨されています。

技術面での対策

ID/認証、EDR、脆弱性管理

ランサムウェア被害の予防や被害範囲の最小化には、IDと認証の強化が不可欠です。多要素認証の導入やパスワードの使い回し防止、業務用アカウントの適切な運用が求められます（参照*15）。また、OSやソフトウェアは常に最新の状態に保ち、サポート切れの製品は使用しないことが重要です。

また、EDR（Endpoint Detection and Response）は、端末上の挙動を監視し、不審な活動を早期に検出するための有効なツールです。EDRを導入することで、異常検知時に端末をネットワークから隔離し、攻撃の拡大を防ぐことができます（参照*16）。

ネットワーク分離とバックアップ設計

攻撃が成功した場合に備え、ネットワーク分離とバックアップ設計も重要です。VPNの脆弱性が狙われる現状では、外部接続経路の厳格な制御が求められます。
2025年の調査では、IT・セキュリティ専門家の92％がVPNの脆弱性によるランサムウェア攻撃を懸念しており、81％がゼロトラスト導入を計画していると報告されています（参照*17）。
VPNは利便性と引き換えに、攻撃者にも内部ネットワークへのアクセス経路を与えるリスクがあるため、アクセス権限の最小化やゼロトラストネットワークへの移行が有効です。

バックアップは必ずオフラインまたはネットワークから切り離した形で取得し、暗号化被害を受けた際にも復旧できるように管理する必要があります。
複数拠点へのバックアップや検疫ネットワークの導入など、企業規模や予算に応じた対策も検討しましょう。攻撃を受けた端末やシステムは速やかに遮断し、警察への報告や原因調査を行うことが推奨されています（参照*1）。

体制と人材の育成

役割分担と運用訓練

サイバー攻撃への対応には、技術的対策だけでなく、組織内での明確な役割分担や運用訓練が不可欠です。トラブル発生時に誰が意思決定し、どのように被害拡大を防ぎ、法的対応や広報を行うかを明確にしておくことで、ダウンタイムを最小限に抑えることができます。

JPCERT/CCが対応したランサムウェア攻撃では、初動対応時に攻撃者（アクター）の特定が不十分だったため、侵入経路の特定漏れやマルウェアの取りこぼしが発生した事例が報告されています（参照*18）。これを防ぐには、平時からの訓練や情報共有が重要です。

実践的な演習としては、チーム単位で仮想環境を使い、攻撃を再現して原因の切り分けや対策を短時間で行う力を養う方法があります。NICT主催のCYDER演習では、ランサムウェアやVPN機器の脆弱性を突いたシナリオが取り上げられ、現実的なトレーニング機会として評価されています（参照*19）。

必要なスキルと職種

マルウェア解析やネットワークアーキテクトの知識を持つ技術者だけでなく、インシデント対応で必要となるリーダーシップやコミュニケーション能力も重要です。CSIRT（Computer Security Incident Response Team）には、ネットワークエンジニアやセキュリティアナリスト、広報担当、法的知識を持つスタッフなど、さまざまな職能が連携することが望まれます（参照*20）。

情報処理安全確保支援士や基本情報技術者などの資格取得は、知識レベルの証明として有効です。NICTのCYDER演習を複数年受講しながら資格取得を進めることで、インシデント対応力の向上やチーム全体のスキル底上げにつながった事例もあります（参照*19）。企業は定期的な教育機会を提供し、人材流出を防ぎながらスキルアップを促進することが重要です。

育成プログラムの例

具体的な育成プログラムとしては、平時からファーストレスポンダー間の情報共有を活性化させる取り組みが挙げられます。経済産業省が公開した「攻撃技術情報の取扱い・活用手引き」は、インシデント対応支援を担う専門組織同士の情報共有を促進するためのガイドラインです（参照*18）。安全なプラットフォーム上で脆弱性情報や攻撃パターンを連携し合うことで、迅速かつ的確な初動対応が可能になります。

また、4人1チームで仮想演習環境を使い、実際のマルウェア挙動を体験する研修も有効です。CYDERではノーヒント賞や演習テキストの図示など、楽しみながら学べる工夫がされています（参照*19）。CSIRTの設置や社内教育機関の立ち上げは、自動車部品メーカーなどの製造業界でも進んでおり、サプライチェーン全体でのセキュリティ対応が求められています（参照*20）。

おわりに

ランサムウェア攻撃がもたらす影響は、システムやデータへの被害だけでなく、業務停止による損失や社会的信用の低下にも及びます。早期の防御策強化と初動対応体制の整備は、被害の最小化に直結します。

本記事では、ランサムウェアの仕組みや実際の被害事例、具体的な対策、体制づくりの重要性について解説しました。多層防御と的確な対応体制の確立は、企業の継続と成長を守るためのポイントとなります。

お知らせ

ランサムウェア対策にはインフラエンジニアの業務範囲や必須スキル確認が不可欠です。実践的な運用経験や脆弱性対応、バックアップ設計の重要性を踏まえ、最新のフリーランス案件情報を確認しましょう。
インフラエンジニア仕事内容を把握することは、案件選びやスキル棚卸しに不可欠です。業務範囲や必須スキルを確認し、フリーランス向けの最新案件情報も参考にしましょう。

cyseekではフリーランスのITエンジニア向けの案件をご紹介しています。
案件に関する新着情報は、以下のリンクからご覧いただけます。

参照

cyseekはサイバーセキュリティ人材向けの案件紹介サービスサイトです。

サイバーセキュリティ業界に精通したエージェントが求人紹介、年収交渉、キャリアアップの実現など、採用課題の整理から稼働後のフォローまでトータルにサポートするほか、保有するノウハウを活かしフリーランスやサイバーセキュリティ人材に向けたコラムを発信しています。