ランサムウェアとは、感染した端末やサーバー内のデータを勝手に暗号化して使えなくし、その復旧と引き換えに「身代金(ランサム)」を要求するマルウェア(悪意あるソフトウェア)です。近年は暗号化だけでなく、盗み出したデータを「払わなければ公開する」と脅す手口も加わり、企業・団体にとって事業停止と情報漏えいの両方を招く最大級の脅威になっています。
本記事は、ランサムウェアという言葉は聞くものの仕組みや最近の変化を整理して知りたい情シス担当者に向けて、定義・感染の流れ・攻撃の最新形態・実務での備えまでをまとめたものです。
この記事でわかること
- ランサムウェアとは何か(1文での定義と被害の全体像)
- 感染から身代金要求までの典型的な流れ
- 「二重恐喝」「ノーウェアランサム」「RaaS」など最近の攻撃形態
- 主な感染経路と、情シスが現実的に取るべき備え
- 身代金は払うべきか、という論点への向き合い方
ランサムウェアとは(定義)
ランサムウェア(Ransomware)とは、英語の「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、データを人質に取って金銭を要求するタイプのマルウェアの総称です。米国国立標準技術研究所(NIST)は、ランサムウェアを「組織のデータを暗号化し、アクセスを取り戻すための支払いを要求する攻撃。攻撃者は情報を盗み出し、それを公開しない見返りに追加の支払いを要求することもある」と説明しています。
かつては「ファイルを暗号化して直したければ金を払え」という単純な手口が主流でした。しかし現在は、暗号化に加えてデータ窃取・公開の脅迫を組み合わせる形が一般的になっており、攻撃の中身は年々変化しています。後述する「二重恐喝」がその代表です。
なぜ情シスにとって最大級の脅威なのか
結論から言えば、被害が「事業停止」に直結し、復旧に時間と費用がかかり、かつ情報漏えいまで重なるからです。製造ラインが止まる、病院で診療ができなくなる、受発注システムが使えなくなる——ランサムウェアの被害は、単なるデータ消失にとどまらず組織活動そのものを止めてしまいます。
IPA(情報処理推進機構)が毎年公表する「情報セキュリティ10大脅威」でも、ランサムウェアは組織向けの脅威として長年上位に位置づけられています。2026年版(2026年1月29日公表)では「ランサムウェア攻撃による被害」が組織編の第1位に選ばれており、組織にとって最も警戒すべき脅威であり続けています。「いつか来るかもしれない」ではなく「いつ来てもおかしくない」前提で備える必要がある、というのが実務上の基本認識です。
ランサムウェアの仕組み:感染から身代金要求まで
攻撃の流れはおおむね次のように進みます。手口は巧妙化していますが、骨格はこの順序です。
- 侵入:VPN機器やリモートデスクトップ(RDP)の脆弱性・弱いパスワード、あるいはメールの添付ファイルや不正サイト経由で社内ネットワークに入り込む。
- 内部活動(横展開):侵入した端末を足がかりに権限を奪い、社内を探索して重要なサーバーやバックアップへ到達する。この段階で気づければ被害を抑えられるが、見つけにくい。
- データ窃取:暗号化の前に、機密データを外部へ持ち出す(後述の二重恐喝の布石)。
- 暗号化:ファイルやシステムを一斉に暗号化し、業務を使用不能にする。バックアップも狙って破壊・暗号化されることが多い。
- 身代金要求:「復号鍵が欲しければ」「盗んだデータを公開されたくなければ」金銭(多くは暗号資産)を要求する脅迫文を表示する。
注意したいのは、3〜4の「データを盗んでから暗号化する」流れが今や標準になっている点です。つまり、たとえバックアップから復旧できても、情報漏えいの問題は別途残ります。
最近のランサムウェアの形態
二重恐喝(ダブルエクストーション)とは?
二重恐喝とは、データの暗号化に加えて「盗んだデータを公開する」という二つの脅しで圧力をかける手口です。被害組織がバックアップから復旧できても、「払わなければ顧客情報をリークサイトに公開する」と脅されるため、支払いを拒みにくくなります。2020年ごろから広がり、今では多くのランサムウェア攻撃でデータ窃取が伴うとされ、二重恐喝はもはや例外ではなく常態となっています。
ノーウェアランサム(暗号化しない恐喝)とは?
ノーウェアランサムとは、ファイルの暗号化を行わず、データを盗み出すことだけで「公開されたくなければ払え」と脅す攻撃です。暗号化のツールを使わないぶん攻撃の手間が小さく、検知もされにくいことから、近年は暗号化を伴わない恐喝型の被害も増えています。「ランサムウェア=暗号化」という従来のイメージだけでは捉えきれなくなっている点に注意が必要です。
RaaS(サービスとしてのランサムウェア)とは?
RaaS(Ransomware as a Service)とは、ランサムウェアの開発者が攻撃ツール一式をサブスクリプションのように提供し、実行役(アフィリエイト)が攻撃を仕掛けて得た身代金を分け合うビジネスモデルです。高度な技術を持たない攻撃者でも参入できてしまうため、攻撃の総量が増える一因になっています。利益はおおむねアフィリエイト側が7〜8割を取り、開発者が残りを得る分配型が一般的とされます。攻撃が「分業化・産業化」していることが、ランサムウェアが減らない構造的な背景です。
主な感染経路
「どこから入られるか」を押さえることは、限られた人員で守る情シスにとって優先度判断の土台になります。代表的な侵入口は次のとおりです。
| 感染経路 | 概要 |
|---|---|
| VPN機器・ネットワーク機器の脆弱性 | 修正パッチ未適用の境界機器が狙われる。組織への侵入口として近年とくに多い。 |
| リモートデスクトップ(RDP) | インターネットに公開されたRDPや、弱い・使い回しのパスワードが突破される。 |
| メール(添付・リンク) | 不正な添付ファイルやフィッシングのリンクから、入口となるマルウェアに感染する。 |
| 正規アカウントの悪用 | 窃取・購入された認証情報で、正規ユーザーになりすまして侵入する。 |
共通するのは、特別な手口というより「パッチ未適用」「弱い認証」といった基本的な穴を突かれているという点です。派手なゼロデイより、地味な運用の隙が入口になっているのが実態です。
情シスはどうすべきか(現場目線と公的指針の使いどころ)
正直なところ、ランサムウェアを「絶対に防ぐ」ことは難しく、現場の端末や子会社・委託先の細部まで目が届かないもどかしさは常につきまといます。だからこそ、防ぐ努力と同時に「入られても被害を最小化し、止まっても戻せる」備えに重心を置くのが現実的です。具体的には、パッチ適用とVPN/RDPの見直し、多要素認証の徹底、そしてオフライン・隔離も含めたバックアップの確保と復旧手順の訓練が要になります。バックアップは「取っているか」だけでなく「攻撃者に消されない場所にあるか」「本当に戻せるか」まで確かめておきたいところです。
対策の具体策を自前で網羅しようとすると膨大になります。まずは公的機関が体系化した指針を出発点にするのが効率的です。IPAはランサムウェア対策特設ページで予防から復旧までを整理しており、人員の限られる組織は中小企業の情報セキュリティ対策ガイドラインが現実的な土台になります。いざという時に動けるよう、インシデント対応の机上演習教材で対応の流れを一度なぞっておくことも有効です。あわせて、入口の多くがメール経由である以上、対策のしおりなどを使った地道なユーザー教育・啓発の積み重ねも欠かせません。
身代金は払うべきか?
支払いは推奨されない、というのが基本的な考え方です。理由は、(1)払っても確実にデータが復旧する保証はなく、(2)盗まれたデータが本当に削除されたかは検証できず、(3)支払いが攻撃者の活動資金となり次の被害を生む、ためです。一方で、事業継続が危機に瀕した現場が苦渋の判断を迫られる現実も否定できません。だからこそ平時のうちに、支払いに頼らずに復旧できる体制(バックアップ・手順・連絡体制)を整えておくことが、結果的に「払わない」を選べる最大の備えになります。なお、被害に遭った場合はJPCERT/CCや警察、所管省庁への相談・報告も検討すべき選択肢です。
まとめ
- ランサムウェアとは、データを暗号化して使えなくし、身代金を要求するマルウェア。IPAの10大脅威2026でも組織編の第1位で、最も警戒すべき脅威の一つ。
- 現在は暗号化に加えてデータ窃取・公開を脅す「二重恐喝」が標準化し、暗号化を伴わない恐喝や、攻撃を分業化する「RaaS」も広がっている。
- 侵入口の多くはパッチ未適用・弱い認証といった基本的な穴。防御と同時に、消されないバックアップと復旧訓練による「戻せる備え」が要。具体策はIPA等の公的指針を出発点にするのが効率的。
出典
- NIST(米国国立標準技術研究所)「Ransomware」 https://www.nist.gov/itl/smallbusinesscyber/guidance-topic/ransomware
- IPA(情報処理推進機構)「情報セキュリティ10大脅威 2026」 https://www.ipa.go.jp/security/10threats/10threats2026.html
- IPA「ランサムウェア対策特設ページ」 https://www.ipa.go.jp/security/anshin/measures/ransom_tokusetsu.html
