Security NEWS TOPに戻る
バックナンバー TOPに戻る
近年、企業や組織を狙ったランサムウェア被害が国内外で急増しています。単なるウイルス感染ではなく、業務停止や情報漏えい、金銭要求へ発展するケースも多く、いまやランサムウェアは企業経営に直結するリスクの一つとなっています。
本記事では、ランサムウェアの基本的な仕組みや特徴、代表的な攻撃手法、感染経路について解説します。また、VPN機器やリモートデスクトップを悪用した近年の侵入事例にも触れながら、企業が押さえるべきリスクの全体像を整理します。
なお、本記事は「企業のためのランサムウェア対策ガイド」シリーズとして、関連する各テーマも順次解説していきます。
ランサムウェアがどのような経路で侵入するのかについては、以下の記事で詳しく解説しています。
「ランサムウェアの感染経路とは ―企業が見落としがちなVPN・RDP侵入リスクを解説」
マルウェアの一種である「ランサムウェア」
ランサムウェアとは、マルウェア(悪意のあるソフトウェア)の一種で、感染したコンピュータやシステム内のデータを暗号化し、アクセスできない状態にした上で、復旧と引き換えに金銭(身代金)を要求する攻撃を指します。
マルウェアには、ウイルス、ワーム、トロイの木馬、スパイウェアなどさまざまな種類がありますが、ランサムウェアは「業務停止やデータ利用不能を引き起こし、金銭を要求する」という点が大きな特徴です。
関連リンク:「マルウェアに感染したら-マルウェアの種類と対策、ウイルスとの違いは-」
近年は個人だけでなく、企業や自治体、医療機関など組織を狙った攻撃が急増しており、業務停止や情報漏えいによって大きな社会的影響が発生しています。また現在では、不特定多数を狙う「ばらまき型」だけでなく、特定の企業や組織を狙う「標的型攻撃」へと変化しています。攻撃者は事前にネットワーク構成や脆弱性を調査したうえで侵入し、内部ネットワークを横展開しながら、サーバや業務システム全体を狙うケースが増えています。
ランサムウェア攻撃がどのように侵入し、暗号化や脅迫へ発展するのかについては、以下の記事で詳しく解説しています。
「ランサムウェアの仕組みとは ―感染から暗号化までの動きを解説―」
ランサムウェアの語源
「ランサムウェア」とは、英語の「Ransom(ランサム)」と「Software(ソフトウェア)」を組み合わせた造語です。この名前は、この種のマルウェアが行う主な行為、すなわち被害者のコンピュータシステムやデータにアクセスを制限し、それらの解放や復元を身代金と交換するという性質に由来しています。攻撃者は感染したシステムやデータを“人質”のように利用し、復旧や公開停止と引き換えに金銭を要求します。
ランサムウェア攻撃の主な特徴は、以下のとおりです。
データの暗号化
感染した端末やサーバのデータを暗号化し、利用できない状態にします。企業では業務システムやファイルサーバが停止し、事業継続に深刻な影響が出るケースもあります。
身代金の要求
攻撃者は、データ復旧のための復号鍵と引き換えに金銭を要求します。支払いには仮想通貨など匿名性の高い手段が利用されることが多く、支払っても復旧が保証されるわけではありません。
情報公開を伴う「二重脅迫」
近年では、データを暗号化するだけでなく、事前に情報を窃取した上で「公開されたくなければ支払え」と脅迫する“二重脅迫型”が主流になっています。
主なランサムウェアグループ
| LockBit | 2019年に初めて確認され、現在も攻撃手法を進化し続けている。長く代表的なRaaSとして知られたが、2024年のOperation Cronosで基盤を押収され、2025年にも追加制裁が行われた*1。現在は「絶対的な主役」というより、摘発を受けてもブランドや派生的影響が残る象徴的事例として扱うのが適切である。 |
| Akira | 中小企業を中心に、製造、教育、IT、医療、金融、食品・農業など多様な業種を狙う代表的グループ。2025年時点でも新しいTTP(Tactics(戦術), Techniques(技術), and Procedures(手順))が継続的に確認されており、バックアップ、MFA、既知脆弱性対策の重要性が改めて指摘されている*2。 |
| Play | 2022年以降活動するランサムウェアグループで、2024年~2025年にかけて非常に活発。北米・南米・欧州の企業や重要インフラを標的とし、2025年5月時点で約900組織が被害を受けたとFBIは把握している*3。多要素認証の未導入や既知脆弱性の放置が侵入の足掛かりになりやすい。 |
| Medusa | 2025年2月時点で300超の被害組織。IAB(Initial Access Broker)、フィッシング、未パッチ脆弱性を組み合わせる典型的な現代型RaaSが特徴*4。 |
| RansomHub | 2024年に台頭したRaaS型ランサムウェアグループ。重要インフラを含む幅広い業種を標的とし、データ窃取と暗号化を組み合わせた「二重恐喝」を行う。フィッシング、既知脆弱性の悪用、パスワードスプレーなどで侵入し、他の大手グループから流入したアフィリエイトの受け皿になっている点も特徴である*5。 |
関連リンク:「【2025年版】ランサムウェアギャング大図鑑:脅威マップと攻撃の特徴 第2回:2025年注目のランサムウェアギャング徹底分析」
近年のランサムウェア攻撃の流れや特徴については、以下の記事で詳しく解説しています。
「ランサムウェアの攻撃手法とは – 侵入から暗号化までの流れを解説」
ランサムウェアの感染経路
ランサムウェアを含むマルウェアの感染経路は様々ありますが、以下に主な感染経路の分類と説明をします。
マルウェア(ランサムウェア)の主な感染経路
ランサムウェアを含むマルウェアにはさまざまな感染経路があります。代表的なものとしては、以下が挙げられます。
- フィッシングメールの添付ファイルやリンク
- 不正サイト・改ざんサイトの閲覧
- ソフトウェアやOSの脆弱性
- VPN機器の脆弱性
- リモートデスクトップ接続(RDP)の悪用
- 認証情報の窃取・使い回し
近年のランサムウェア被害では、メール添付型だけでなく、VPN機器やリモートデスクトップ接続を悪用した侵入が増加しています。
VPN機器・リモートデスクトップ接続からの侵入
近年、VPN機器やリモートデスクトップ経由のランサムウェア感染が増加した背景には、テレワークの普及があります。
多くの企業が外部から社内ネットワークへ接続する仕組みを導入したことで、VPN機器やリモートデスクトップが攻撃対象になりました。
攻撃者は、以下のような弱点を悪用します。
- 未修正の脆弱性
- 弱いパスワード
- 認証情報の使い回し
- 多要素認証未設定
- 不適切なアクセス制御
特に、VPN機器やRDPに脆弱性が存在すると、攻撃者は正規ユーザになりすまして侵入し、内部ネットワークへアクセスできるようになります。
警察庁が発表した「サイバー空間をめぐる脅威の情勢等」によると、令和7年に都道府県警察から警察庁に報告のあった企業・団体等のランサムウェアの被害件数は226件でした。被害に遭った企業へ行ったアンケート調査で感染経路への質問を行ったところ、約8割以上がVPN機器・リモートデスクトップ接続からの侵入であることが報告されています*6。
VPN機器やリモートデスクトップを悪用した侵入経路については、以下の記事で詳しく解説しています。
「ランサムウェアの感染経路とは – 企業が見落としがちな侵入ポイントと対策」
ランサムウェア対策で重要な考え方
ランサムウェア対策では、「特別な対策」だけが重要なわけではありません。むしろ、以下のような基本的なセキュリティ対策を継続できているかが重要です。
- 脆弱性管理・アップデート
- 多要素認証(MFA)の導入
- アクセス権限管理
- バックアップ運用
- EDR
- ウイルス対策
- 従業員教育
- インシデント対応体制
近年の攻撃は高度化していますが、多くの侵入は基本的な対策不足を狙っています。そのため、最新の脅威情報だけでなく、「基本を継続できる運用体制」を持つことが重要です。
まとめ
ランサムウェアは、単なるマルウェア感染ではなく、企業活動そのものを停止させる深刻な経営リスクへと変化しています。特に近年は、VPN機器やリモートデスクトップを悪用した侵入、サーバや業務システムを狙う標的型攻撃、情報公開を伴う二重脅迫型など、攻撃手法が高度化しています。だからこそ、脆弱性対策や認証管理、バックアップ運用、従業員教育といった基本的なセキュリティ対策を継続的に見直すことが重要です。
ランサムウェアによって企業にどのような被害が発生するのかについては、以下の記事で詳しく解説しています。
「ランサムウェア被害の実態 – 業務停止・損害・企業が直面するリスクとは」
本シリーズでは、ランサムウェアの感染経路、攻撃手法、被害リスクについても詳しく解説しています。あわせてご覧ください。
公開日:2024年2月9日
更新日:2026年5月27日
編集責任:木下
