【専門家に聞く】ランサムウェア被害、「うちは大丈夫」が一番危ない理由

件数の多さもさることながら、手口の変化も深刻です。IPA 情報セキュリティ10大脅威 2026 にあるように、現在は「多重脅迫」型が主流となっており、データを暗号化して業務を停止させるだけでなく、「身代金を払わなければデータを公開する」と脅してきたり、DDoS や利害関係者への暴露といった複数の脅迫を組み合わせるケースが問題になっています。バックアップから復元できたとしても、情報漏洩の問題が残るということです。

さらに、「RaaS（Ransomware as a Service）」の普及により、専門的な技術を持たない攻撃者でもランサムウェアをサービスとして利用できる環境が整っています。攻撃者の裾野が広がり、標的が際限なく増えているのが現状です。

攻撃者は、AI を用いた高度な解析や、執拗な攻撃を行なっています。

自然な日本語で、もっともらしい情報を提供するなど、「ソーシャルエンジニアリング攻撃」も過去にないほどリスクが上がっています。

LINE の注意喚起する 社長や役員を装う詐欺 にあるように、システムによる対策だけでは不十分です。システムによる対策だけでなく、社員教育も含めた対策が必要となります。

攻撃者は、セキュリティが堅固な大企業を正面から突破しようとするのではなく、グループ会社や取引先など、セキュリティが相対的に手薄な組織を足がかりにして、そこから本丸へ水平移動するという手口をとります。これが「サプライチェーン攻撃」です。

実際に、上場企業でも子会社や海外拠点を経由した侵入が相次いで報告されています。自社が攻撃を受けるだけでなく、取引先の大企業への侵入口になってしまうリスクがあるのです。

「うちは中小だから狙われない」ではなく、「うちが突破口にされる」という視点の転換が重要です。被害に遭うだけでなく、取引先への被害拡大の原因になれば、ブランドや信頼を大きく損ないます。情シス担当者が「大丈夫」と思った瞬間が、一番危ないタイミングかもしれません。

攻撃者は、未修正の脆弱性や、漏洩した認証情報や簡易なパスワードを使って組織に侵入します。
侵入後は、より広範囲にアクセスするため管理者の権限奪取や、セキュリティ無効化といったラテラルムーブメント（水平移動）を試みます。

テレワークの普及により、リモートアクセス環境を整備した企業が増えましたが、セキュリティパッチ（更新プログラム）の適用が追いついていないケースが多く見られます。攻撃者は自動化されたツールで24時間、世界中のシステムをスキャンして脆弱な機器を探しています。パッチが当たっていない機器は、攻撃者にとってわかりやすい侵入口になります。

多要素認証などの追加の防御がされていない環境では、フィッシングなどの ID とパスワードの漏洩により侵入を許してしまいます。
脆弱性管理と、強固な認証が不十分な環境が、攻撃者にとって狙いやすい入口となります。

ランサムウェア対策には大きく「入らせない（防御）」「気づく（検知）」「攻撃にあっても止まらない（復旧）」の3つの層があります。この3つを同時に設計することが重要で、どれか一つだけでは不十分です。

まず着手してほしいのは、以下の点です。

「全員が管理者権限を持っている」「退職者のアカウントが残っている」という状態は、攻撃者に侵入後の水平移動を許す原因になります。最小権限の原則にもとづき、必要な人に必要な権限だけを付与する設計を見直してください。不要なアカウントの削除と多要素認証の導入は、工数をかけずにリスクを大きく下げられる施策です。

従来のウイルス対策ソフトは既知の脅威を「定義ファイル」で検出する仕組みですが、ランサムウェアは常に新しい亜種が登場するため、定義ファイルだけでは対応が追いつきません。
CNAPP（Cloud Native Application Protection Platform：クラウド上に対する総合的なセキュリティ対策ソリューション）や EDR（Endpoint Detection and Response：エンドポイントの脅威を検知・対応するセキュリティソリューション）は、端末の挙動を常時監視して不審な動きをリアルタイムで検知します。暗号化が始まる前の段階で異常に気づき、被害の拡大を抑えることができます。

「バックアップはとっている」という企業は多いですが、バックアップがネットワーク上の同一環境に存在しているケースが問題です。この場合、ランサムウェアに感染するとバックアップごと暗号化されてしまいます。改変不可能なイミュータブルバックアップを取得して、バックアップはネットワーク的に隔離された場所（オフライン環境や別クラウド環境）に保管し、定期的に「実際に復元できるか」をテストすることが不可欠です。

ランサムウェアの脅威拡大によって、昨今は「いつ自社が被害にあってもおかしくない」状況となっています。ランサムウェア被害にあってから復旧を始めるのではなく、いつ被害にあっても問題なく対策が取れるように、十分な訓練が求められます。
特にサプライチェーン攻撃を考える場合、取引先を守るために、自社サービスを止められるか？という視点も重要となります。

「侵入されない」ことを目指す一方で、「侵入されても事業が止まらない設計」を同時に考えることが現代のセキュリティの考え方です。これはゼロトラスト（すべてのアクセスを信頼しないことを前提とする設計思想）にもつながります。

「内部ネットワークだから安全」という前提を取り払い、「すでに侵入されているかもしれない」という前提でシステムを設計する。具体的には、システムを適切にセグメント（区画）化して水平移動を制限すること、ログを集約して異常を早期発見できる仕組みを作ること、万が一のインシデント発生時に迅速に対応できるプロセスを整備することが重要です。

DevOps（開発と運用を一体化して継続的に改善するアプローチ）の文脈では、インフラをコードで管理すること（IaC）により、侵害されたシステムを迅速にクリーンな状態で再構築できる体制を整えることも、事業継続性の観点で有効です。次のセクションで紹介する大手コンビニチェーン様の事例が、このアプローチの具体的なイメージとして参考になります。

まずは「自社のリスクを棚卸しする」ことから始めてください。以下の4つの問いに答えられるかどうか、確認してみてください。

・バックアップは、改変できず、復元できる状態で保管されていますか？
・ネットワーク機器やサーバー・パソコンなどのパッチは最新の状態ですか？
・不要なアカウントや過剰な権限が残っていませんか？
・不審な通信やエンドポイントの異常に「気づける」仕組みがありますか？

「よくわからない」という項目があれば、そこが優先して手を打つべき箇所です。難しいことを一気にやろうとしなくて大丈夫です。この棚卸しから始めるだけで、動くべき方向が見えてきます。

「やりたいけれどリソースがない」という企業こそ、マネージドサービスを活用することで、専任担当者なしでもセキュリティが継続的に維持される仕組みを構築できます。cloudpack では要件定義・サービス選定から導入・運用まで一貫してご支援しています。