エンドポイントセキュリティとは?企業が今すぐ取り組むべき対策と導入のポイント
サイバー攻撃を受けるとどうなる?
よくある被害事例と企業の対策を解説
ランサムウェアの感染経路とは?
6つの侵入ルートと効果的な対策
FOR BUSINESS
課題解決のためのノウハウ
ランサムウェアは、企業のデータを暗号化し身代金を要求する悪質なマルウェアです。警察庁の令和6年の統計によると、2024年のランサムウェア被害件数は222件に達し、そのうち63%が中小企業でした。また、感染経路の55%がVPN機器からの侵入であり、次いでリモートデスクトップ経由が約31%となっています。本記事では、ランサムウェアの主な6つの感染経路と、それぞれに対する具体的な対策方法を解説します。感染経路を正しく理解することが、効果的な予防策の第一歩となります。
参考:令和6年におけるサイバー空間をめぐる脅威の情勢等について|警察庁
サイバー攻撃全般の被害事例や対策について詳しく知りたい方は、「サイバー攻撃を受けるとどうなる?よくある被害事例と企業の対策を解説」も併せてご覧ください。
ランサムウェアの主な感染経路
ランサムウェアの被害を防ぐには、どのような経路で侵入するのかを把握することが不可欠です。企業が警戒すべき6つの主要な感染経路を紹介します。
1.VPN機器からの侵入
警察庁の令和6年データによると、ランサムウェア感染経路の50%以上がVPN機器経由です。VPN(仮想プライベートネットワーク)は、リモートワーク環境で社内ネットワークにアクセスする技術ですが、ファームウェアの脆弱性を放置したり、デフォルト設定のまま運用したりすると、攻撃者の標的となります。VPN機器のセキュリティ対策は、現在最も優先度の高いランサムウェア対策といえます。攻撃者は既知の脆弱性を検索エンジンで特定し、パッチが適用されていない機器を狙って攻撃を仕掛けます。組織の規模に関係なく、VPN機器を適切に管理することが求められます。
クラウドのセキュリティ対策にVPN接続を活用する方法について詳しく知りたい方は、「クラウドのセキュリティ対策にVPN接続?メリットや接続方法を解説」も併せてご覧ください。
2.リモートデスクトップ経由
リモートデスクトップは、離れた場所にあるパソコンを手元のデバイスから操作できる機能ですが、ランサムウェア感染経路の約30%を占めています。攻撃者はブルートフォース攻撃(総当たり攻撃)で弱いパスワードを突破し、管理者権限を奪取してランサムウェアをインストールします。テレワーク普及により、この経路からの感染も増加傾向にあります。特にRDP(Remote Desktop Protocol)のポートをインターネットに直接公開している環境では、攻撃者による自動化されたスキャンの対象になりやすく、短時間で侵入を許してしまうリスクがあります。
3.メールの添付ファイルやリンク
メール経由の感染は以前から存在する手口ですが、近年は日本語化や取引先のなりすましなど手口が巧妙化しています。フィッシングメールに添付されたファイル(.exe、.zipなど)を開封すると、マクロ機能を悪用してランサムウェアがダウンロードされます。セキュリティ教育の普及により減少傾向にあるものの、依然として注意が必要な感染経路です。メール本文に記載されたURLをクリックすることで不正なWebサイトへ誘導され、そこでランサムウェアがダウンロードされる攻撃手法も用いられています。取引先を装ったメールや、緊急性を演出する内容には特に警戒が必要です。
4. 悪意のあるWebサイト
改ざんされたWebサイトや不審な広告をクリックすることで、自動的にランサムウェアがダウンロードされる「ドライブバイダウンロード攻撃」が存在します。ユーザーが気づかないうちにバックグラウンドで不正なスクリプトが実行され、システム内部に侵入します。古いブラウザやサポート終了したプラグインを使用している場合、脆弱性を突かれるリスクが高まります。正規のWebサイトが改ざんされているケースもあるため、普段から利用している信頼性の高いサイトであっても油断は禁物です。ブラウザやプラグインのバージョンを最新に保つことが基本的な対策となります。
5. ソフトウェアやファイルのダウンロード
非公式サイトからソフトウェアやファイルをダウンロードすると、ランサムウェアが仕込まれている可能性があります。攻撃者は正規のソフトウェアに見せかけてマルウェアを配布します。信頼できる公式サイトからのみダウンロードし、定期的にソフトウェアをアップデートすることが必要です。特に、不正に改変されたソフトウェアや、正規の購入手続きを経ずに入手したソフトウェアにはランサムウェアが仕込まれているリスクが極めて高いため、絶対に使用してはいけません。
6. USBメモリなどの外部記録メディア
USBメモリなどの外部記録メディアを介した感染も報告されています。感染したUSBメモリを複数のパソコンで使用すると、ネットワーク全体に被害が拡大する恐れがあります。外部メディアを接続する前には、必ずウイルススキャンを実施することが推奨されます。特に、出所不明なUSBメモリや、複数の人が共有して使用しているメディアは感染リスクが高くなります。業務で外部メディアを使用する際は、使用許可された機器のみを利用し、接続時には自動実行機能を無効化する設定が有効です。
ランサムウェアに感染した場合の具体的な対処方法について詳しく知りたい方は、「ランサムウェアに感染したらどうする?企業が知るべき脅威と緊急対応策を徹底解説」も併せてご覧ください。
感染経路別の効果的な対策方法
ランサムウェアの感染を防ぐには、各経路に応じた対策を講じることが求められます。ここでは、実践的な予防策を5つ紹介します。
1.VPN機器・リモートデスクトップのセキュリティ強化
VPN機器とリモートデスクトップのセキュリティ対策は、現在最も優先すべき課題です。以下の対策を実施しましょう。
ファームウェアの定期アップデート
セキュリティパッチを迅速に適用し、既知の脆弱性を解消します。メーカーから配信される更新プログラムを確認し、可能な限り速やかに適用することで、攻撃者が脆弱性を悪用する前にリスクを低減できます。
強力なパスワードと多要素認証
デフォルト設定を変更し、複雑なパスワードと多要素認証を導入します。パスワードは英数字と記号を組み合わせた12文字以上とし、SMS認証やワンタイムパスワードなどの多要素認証を必須化することで、仮にパスワードが漏洩しても不正アクセスを防ぐことができます。
アクセス制限の強化
不要なアクセスを無効化し、必要最小限のアクセス権限のみを付与します。特定のIPアドレスからのみ接続を許可したり、業務時間外のアクセスを制限したりすることで、攻撃者が侵入できる機会を大幅に削減できます。
デフォルト設定の変更
初期アカウントをそのまま使用することは避けます。「admin」や「root」などのデフォルトのアカウント名は攻撃者に狙われやすいため、独自のアカウント名に変更し、初期パスワードも必ず変更してください。
2.メール・Webサイトからの感染対策
メールやWebサイト経由の感染を防ぐには、従業員のセキュリティ意識向上と技術的対策の両面が必要です。
不審なメールの添付ファイルを開かない
送信元が不明なメールや、拡張子が.exe、.zipのファイルには特に注意します。メール本文の日本語が不自然な場合や、緊急性を強調して不安を煽るような内容の場合は、送信元を慎重に確認してください。
メールフィルタリングの導入
フィッシングメールを自動検知するシステムを導入します。既知のフィッシングサイトへのリンクを含むメールをブロックしたり、添付ファイルをサンドボックス環境(安全性確認用の専用環境)で事前検証したりすることで、ユーザーが不正なメールに触れる前に脅威を排除できます。
セキュリティソフトの活用
最新のウイルス対策ソフトを導入し、定期的にスキャンを実施します。パターンファイルを常に最新の状態に保ち、リアルタイムスキャン機能を有効にすることで、未知の脅威にも対応できる確率が高まります。
従業員へのセキュリティ教育
定期的な研修を通じて、フィッシングメールの見分け方を周知します。実際のフィッシングメールの事例を用いた訓練や、模擬攻撃メールを送信するテストを実施することで、従業員のセキュリティ意識を実践的に高めることができます。
3.定期的なバックアップとオフライン保管
ランサムウェア被害を受けた企業の多くがバックアップからの復元に失敗しています。これは、バックアップデータ自体が暗号化されてしまったことが原因です。
ネットワークから切り離した保管
送信元が不明なメールや、拡張子が.exe、.zipのファイルには特に注意します。外付けハードディスクやテープメディアを使用し、バックアップ完了後はネットワークから取り外すことで、ランサムウェアによる暗号化を防ぐことができます。
3-2-1ルールの実践
3つのコピー、2種類のメディア、1つはオフサイトに保管する「3-2-1ルール」を実践することで、複数の障害に対しても安全性が高まります。たとえば、業務で使用中の本番データ、社内バックアップ、クラウドバックアップという組み合わせが効果的です。
定期的な復元テスト
バックアップを取得するだけでは不十分で、定期的に復元テストを実施して正常に機能するか確認することが不可欠です。実際に復元できることを確認しなければ、いざというときに役に立ちません。
システムバックアップの具体的な方法について詳しく知りたい方は、「システムバックアップとは?その重要性とスムーズに進めるための方法を解説」も併せてご覧ください。
4. 次世代型セキュリティソフトの導入
従来型のアンチウイルスソフトでは、新種のランサムウェアを検知できないケースがあります。次世代型アンチウイルス(NGAV)やEDR(Endpoint Detection and Response)の導入が推奨されます。
NGAVの導入
NGAVはクラウドベースでリアルタイムに攻撃パターンを分析し、未知の脅威にも対応できることが特徴です。従来のシグネチャベースの検知では対応できない、新種や変異型のランサムウェアに対しても、AIや機械学習を活用した振る舞い検知により高い検出率を実現します。
EDRの活用
EDRはエンドポイント(端末)での不審な挙動を検知し、迅速に対処することで被害を最小限に抑えます。ファイルの大量暗号化や、不正なプロセスの実行など、ランサムウェア特有の挙動を検知した時点で自動的に隔離や駆除を実行できます。
ネットワーク監視の強化
ネットワーク全体を監視し、異常な通信を早期に発見することが重要です。ランサムウェアが外部の指令サーバーと通信する際の不審なトラフィックを検知することで、被害が拡大する前に対処できます。
ネットワークセキュリティの包括的な対策について詳しく知りたい方は、「ネットワークセキュリティとは?企業が直面するリスクと対策の全貌を解説」も併せてご覧ください。
5. BCP策定とインシデント対応計画
警察庁のデータによると、BCP(事業継続計画)を策定していない企業が半数以上を占めています。有事の際に迅速に対応できるよう、事前に計画を策定しておくことが不可欠です。
インシデント対応マニュアルの作成
感染時の初動対応を明文化し、全社員に周知することが重要です。誰がどのような判断を下し、どの部署に連絡するか、どの機器を優先的に隔離するかなど、具体的な手順を文書化することで、パニック時でも適切な対応が可能になります。
組織内の連携強化
現場、経営層、セキュリティチームが迅速に情報共有できる体制を構築し、円滑な連携により被害拡大を防ぐことが重要です。インシデント発生時の緊急連絡網を整備し、経営判断が必要な事項については意思決定プロセスを明確にしておくことが求められます。
定期的なシミュレーション
実際にランサムウェアに感染したと仮定し、対応訓練を実施することで有事に備えます。年に1〜2回程度のシミュレーション訓練により、マニュアルの実効性を検証し、不足している対策や改善点を洗い出すことができます。
ランサムウェアに感染した場合の対処法
万が一ランサムウェアに感染してしまった場合、まず冷静に対処することが求められます。適切な初動対応によって被害の拡大を防ぐことができます。
1.すぐにネットワークから隔離する
ランサムウェア感染を発見した瞬間、最優先すべきは感染端末のネットワーク隔離です。LANケーブルを物理的に抜く、Wi-Fi接続を切断する、ルーターの電源を落とすなど、あらゆる手段で即座にネットワークから切り離してください。感染端末がネットワークに接続されたままだと、ランサムウェアは社内の他の端末やサーバー、さらにはバックアップシステムにまで侵入し、被害が組織全体に拡大します。初動対応の速さが、被害の範囲を決定する最も決定的な要因となります。数分の遅れが、復旧に数週間を要する事態を招くこともあります。
2.警察・専門機関に相談する
ネットワーク隔離後は、速やかに警察庁のサイバー犯罪相談窓口(都道府県警察本部のサイバー犯罪相談窓口)やIPA(情報処理推進機構)の情報セキュリティ安心相談窓口に連絡してください。ランサムウェアは犯罪行為であり、警察への届出は被害状況の把握と犯人検挙につながります。また、JPCERT/CCやセキュリティベンダーなどの専門機関に調査を依頼することで、感染経路の特定やデータ復旧の可能性が高まります。専門家の助言を受けることで、適切な復旧手順を踏むことができ、証拠保全の観点からも正しい対応が可能になります。
3.身代金は支払わない
身代金を支払っても、データが確実に復号される保証はありません。警察庁や米国FBI、欧州刑事警察機構(ユーロポール)など世界中の法執行機関が、身代金の支払いを推奨していません。支払いは犯罪組織の資金源となり、さらなる攻撃を助長するだけでなく、支払った企業は「支払う企業」として再度標的にされるリスクが高まります。支払いは一時的な解決策にすぎず、根本的な問題解決にはなりません。
4.感染経路の特定と再発防止
感染後の対応で最も重要なのは、感染経路を正確に特定し、同じ被害を繰り返さないための対策を講じることです。ログ分析により、攻撃者がどこから侵入し、どのような手法で権限を奪取したのかを明らかにします。感染経路が特定できれば、該当する脆弱性の修正、アクセス制御の見直し、認証方式の強化など、具体的な再発防止策を実施できます。また、従業員へのセキュリティ教育を再実施し、インシデント対応手順を見直すことで、組織全体のセキュリティレベルを向上させることができます。感染経路の分析には専門的な知識が必要となるため、セキュリティベンダーやフォレンジック専門家の支援を受けることが効果的です。
西日本のDR拠点構築で実現する強靭な事業継続体制
ランサムウェアは企業の事業継続を脅かす深刻なサイバー脅威であり、2024年の被害件数は222件と高水準で推移しています。警察庁のデータによると、感染経路はVPN機器とリモートデスクトップで86%を占めており、テレワーク環境の脆弱性が狙われている現状が浮き彫りとなりました。特に中小企業の被害が前年比37%増加しており、規模に関係なく適切なセキュリティ対策が求められています。
感染を防ぐには、ファームウェアの定期更新、多要素認証の導入、オフラインでのバックアップ保管、次世代型セキュリティソフトの活用が有効です。また、BCP策定によって復旧期間を大幅に短縮できることが明らかになっています。万が一感染した場合は、ネットワークからの即座の隔離と専門機関への相談が被害拡大を防ぐ鍵となります。感染経路を正しく理解し、多層的な防御策を講じることで、ランサムウェアのリスクを最小化できます。
STNetでは、ランサムウェアをはじめとするサイバー攻撃から企業を守るセキュリティソリューションを提供しています。 STクラウド サーバーサービス[FLEXタイプ]は、ファイアウォールを標準装備し、3世代前までのバックアップとリストア機能により、ランサムウェアによるデータ暗号化の被害を最小限に抑えます。さらに、オプションで次世代型セキュリティ対策サービスを追加でき、VPN機器やリモートデスクトップ経由の侵入を多層的に防御します。
より強固なセキュリティ体制を構築したいお客さまには、ハイブリッドクラウドの活用をおすすめしています。データセンター「Powerico(パワリコ)」のハウジングとSTクラウド サーバーサービス[FLEXタイプ]を組み合わせることで、バックアップの分散・冗長化とオフライン保管を実現し、ランサムウェアによるバックアップデータの暗号化リスクを回避できます。万が一感染した場合でも、迅速な復旧が可能です。
また、閉域回線によるセキュアな通信環境の構築や24時間365日のセキュリティ運用監視サービスなど、感染経路別の対策を網羅した総合的なソリューションをご提案できます。ランサムウェア対策の見直しや事業継続計画(BCP)の策定をお考えの担当者の方は、ぜひお気軽にお問い合わせください。
この記事で紹介しているサービス
よくあるご質問
Q. ランサムウェアの感染経路で最も多いのは
A. 警察庁の令和6年のデータによると、VPN機器からの侵入が55%で最も多く、次いでリモートデスクトップ経由が31%です。この2つで全体の86%を占めています。
Q. 中小企業もランサムウェアの標的になるのか
A. 2024年のランサムウェア被害の63%が中小企業で、前年比で37%増加しています。大企業よりもセキュリティ対策が手薄な中小企業が狙われる傾向にあります。
Q. VPN機器からの侵入を防ぐには
A. ファームウェアを常に最新に保ち、強力なパスワードと多要素認証を導入してください。デフォルト設定の変更も必須です。
詳しくは「VPN機器・リモートデスクトップのセキュリティ強化」をご覧ください。
Q. ランサムウェアに感染した場合、最初に何をすべきか
A. 発見から即座ににネットワークから隔離してください。LANケーブルを抜く、Wi-Fiを切断するなど物理的に遮断します。その後、警察庁サイバー犯罪相談窓口やIPAに連絡し、専門家の支援を受けてください。
