ランサムウェア被害が中小企業にも急増中！
知っておきたい被害事例と効果的な対策とは？

ランサム（Ransom）とは英語で「身代金」の意味。すなわちランサムウェアとは、身代金を要求するマルウェアのことです。ランサムウェアに感染するとパソコンなどに保存されているデータが暗号化され、使えない状態になります。そのうえでデータを復号する引き換えとして金銭が要求されます。
また、近年ではデータの復号のためだけではなく、窃取したデータを公開されたくなかったら追加でお金を払えと被害者を脅迫する「ダブルエクストーション（二重恐喝）」も増加しています。
さらには、データを暗号化することなく、すなわちランサムウェアを用いることなくデータを窃取し金銭を要求する手口「ノーウェアランサム」という被害も確認されています。
IPAが発表した「情報セキュリティ10大脅威2025」では、組織編の第1位に「ランサムウェアによる被害」が選ばれました。2021年から5年連続の1位となっており、それだけ社会的影響が大きくなっています。
身代金を支払ってもデータが復元される保障はありません。そのうえで情報漏洩の危機にもさらされ、長期間にわたって業務停止に追い込まれてしまう可能性もあります。そのため、ランサムウェアの感染を未然に防ぐことが急務といえるでしょう。

ランサムウェアの種類

過去数年間に検知されたランサムウェアの一部の名称をご紹介します。
これらのランサムウェアは、「暗号化タイプ」「ロックタイプ」「スケアウェアタイプ」「リークウェアタイプ」などに分類されます。

• BadRabbit
• BitPaymer
• Cerber
• CryptoLocker
• Dharma
• DoppelPaymer
• GandCrab
• Locky
• Maze
• MeduzaLocker
• NetWalker
• NotPetya
• Petya
• REvil
• Ryuk
• SamSam
• WannaCry

主な感染経路はフィッシングメール

フィッシングメールの添付ファイルを開いたり、リンクにアクセスしたりすることでランサムウェアがダウンロードされます。従来は不特定多数のユーザーを狙って送信されることが多かったのですが、近年は特定の企業や組織を標的にした標的型攻撃が増えています。

Webサイトを経由して感染するケースも

攻撃者がサイトを改ざんし、悪質なリンクを埋め込みます。そこにアクセスしたユーザーに、ランサムウェアをダウンロードさせます。さらにサイト自体には問題がなくても、広告にウイルスを仕込む方法もあり、手口はどんどん巧妙化・多様化しています。なお身代金の支払いには暗号資産（※2）を要求することが多いのもランサムウェアの特徴です。
※2　暗号資産：現物が存在しない電子データ資産。インターネット上の取引に使われ、仮想通貨とも言う。

ゼロデイ攻撃の脅威

ゼロデイ攻撃とは、ソフトウェアの脆弱性に対するプログラムやパッチが提供される前に行われる攻撃のことです。
攻撃を防ぐことが非常に困難であり、被害に遭ったらそのソフトウェアの利用を中止する、IDS／IPSなどを用いてゼロデイ攻撃を目的とした通信を検知・遮断するといった対処をするしかありません。

働き方改革の脆弱性を嗅ぎつけるサイバー犯罪者

昨今は働き方改革やリモートワークの推進などで、多くの会社が遠隔から会社のシステムにアクセスできるVPNや、リモートデスクトップなどを採用しました。
ここにサイバー犯罪者が目を付けることも多く、VPNの脆弱性が悪用され、企業や団体等に対するランサムウェア被害が発生していることが警察庁「令和６年におけるサイバー空間をめぐる脅威の情勢等について」から発表されています。

実際にランサムウェアに感染したインシデント事例を紹介します。いずれも特定の企業を狙って攻撃が行われました。

【事例01】復旧費用に1～2億円？

A社では、一部のパソコンでデータが暗号化されていることが発覚。被害が及ぶ恐れのあるサーバなどの停止を余儀なくされ、業務がストップしました。被害にあったシステムは初期化による再構築を行いましたが、完全復旧までには約4カ月かかり、復旧費用には1～2億円が見込まれました。

【事例02】1万以上のファイルが被害

B社では、複数拠点のパソコンで1万以上のファイルが被害にあいました。同時にバックアップ用のサーバも侵害されたため、システムの復旧に多大な影響を及ぼしました。警察に被害相談をしたところ、リークサイト（※3）上に窃取されたと思われるファイルがあることも確認されました。

【事例03】サーバ内の全データが損失

C社では、サーバ内のファイルが暗号化されていることを発見。結果、20 台以上のサーバ機能が停止し、そのうち10台ほどでは一部またはすべてのデータが損失しました。そのため社内システムが利用できなくなり、手作業による非効率な対応を余儀なくされ、金銭的被害も生じました。
※3　リークサイト：ランサムウェアの攻撃者が攻撃声明を発表したり、交渉決裂時にデータを公開したりするのに使うサイト。

そのほかにも、病院においては電子カルテが閲覧できなくなったり、石油会社ではパイプラインが停止したりと業種によって引き起こされる被害は様々です。

ランサムウェアに感染してしまったら、感染した端末をネットワークから隔離し、復号ツールを使ってデータの復号を試みる、保存した通信ログ等を持参して最寄りの警察署又はサイバー犯罪相談窓口に通報・相談する必要があります。落ち着いて行動することが被害を最小限に抑え、さらには再発防止につながります。
被害を未然に防ぐためにEDR（※4）などのサイバーセキュリティで万全の対策をとっておくに越したことはありません。今回は、効果的な対策をサクサの製品を例に紹介します。
※4　EDRとは、「Endpoint Detection and Response」の略で、ユーザーが使うエンドポイントにおいて常に監視を行うセキュリティ対策のことです。すでに侵入してしまった脅威を検知し、不審な挙動をしていれば管理者に速やかに知らせる仕組みになっています。

安全な社内ネットワーク環境を構築

サクサのセキュリティスイッチ「LG1000」は、社内ネットワークにおいてマルウェアに感染した端末の通信を検知し、不正な通信を遮断します。社内ネットワークが今どのような状況であるか可視化され、異常な状態を早期発見することができます。

UTMとの連携でウイルス感染PCを遮断

UTM（※5）と連携することで、さらにネットワークセキュリティは向上します。サクサのSSシリーズと組み合わせることで外部への不正アクセスも検知し、端末を遮断します。外部からのサイバー攻撃だけでなく、マルウェアに感染した端末からの感染拡大を防止できます。
こうしてランサムウェアなどのサイバー攻撃から自社をしっかり守り、事業停止などによる企業の信用低下や損失を防ぎましょう。
※5　UTM：「Unified Threat Management」の略。日本語では「統合脅威管理」。さまざまな機能を一台に搭載し、集中管理を行う。

ここまでランサムウェアとはどのようなサイバー攻撃なのか、事例も含めて解説してきました。ランサムウェアによるサイバー攻撃は、規模の大小に関わらずさまざまな企業が標的にされており、もはや他人事では済まされなくなってきています。被害に遭わないためには適切な対策をとることが大切です。サクサでは、今回ご紹介したセキュリティツールをはじめ、情報セキュリティ対策のご提案を通して、中堅・中小企業のさまざまな課題解決をサポートさせていただきます。ぜひ気軽にお問い合わせください。