ランサムウェアとは何? 〜感染経路と企業が取るべき対策の基本方針〜
企業を狙うランサムウェア攻撃は年々高度化しており、業務停止や情報漏えいなど、経営に直結する深刻な被害を引き起こしています。
一方で、従来の境界型セキュリティだけでは、クラウドやSaaS、リモートワークが前提となった現在のIT環境を十分に守れなくなっています。侵入を完全に防ぐことは現実的ではなく、侵入後に被害をどう抑えるかという視点が、これまで以上に重要になっています。
実際に、アサヒグループホールディングスやアスクルといった大企業においてもランサムウェア被害が発生し、業務停止やサプライチェーンへの影響が報告されています。こうした事例は、感染経路対策だけでは不十分であることを示しています。
この記事では、ランサムウェアの基本を整理したうえで、主な感染経路と対策の考え方を解説します。あわせて、これら企業の被害事例を踏まえながら、侵入を前提とした設計や、ゼロトラスト、マイクロセグメンテーションが果たす役割について整理します。
ランサムウェアとは何か 〜企業が狙われる背景と攻撃の流れ〜
ランサムウェアとは、感染した端末やサーバー内のデータを暗号化し、復旧の見返りとして金銭(身代金)を要求するマルウェアの一種です。
昨今では、単にファイルを暗号化するだけでなく、情報を窃取したうえで「公開しない代わりに支払え」と脅迫する二重恐喝(ダブルエクストーション)が主流となっています。
かつては個人や小規模組織を狙った攻撃が中心でしたが、現在では企業・組織が主な標的とされています。その背景には、業務停止や情報漏えいによる影響が大きく、交渉余地が生まれやすいという、攻撃者側の「合理的な判断」があります。
ランサムウェア攻撃の特徴的な流れ
企業を狙うランサムウェア攻撃は、突発的に実行されるものではありません。多くの場合、次のような段階的なプロセスを経て被害が顕在化します。
- 1. 侵入
外部からネットワークや端末に侵入する足がかりを確保 - 2. 内部探索・権限昇格
ネットワーク構成や認証情報を把握し、影響範囲を拡大 - 3. 情報窃取
業務データや個人情報を外部に送信 - 4. 暗号化・恐喝
システム停止やデータ公開を盾に身代金を要求
重要なのは、「暗号化されて初めて被害に気づく」ケースが少なくないという点です。
実際には、その前段階である侵入や横展開のフェーズが長期間にわたり進行していることも珍しくありません。
なぜランサムウェア被害は減らないのか
セキュリティ対策への投資が進んでいるにもかかわらず、ランサムウェア被害が後を絶たない理由は、単純ではありません。主な要因として、以下のような構造的な課題が挙げられます。
IT環境の複雑化・分散化
企業のIT環境は、クラウドやSaaSの利用拡大、リモートワークの定着などにより、大きく変化しています。業務システムやデータは社内ネットワークの外にも分散し、アクセス元も社内外を問わず多様化しました。
その結果、「社内と社外を明確に分けて守る」という考え方は成立しにくくなり、攻撃の入口がどこにあるのかを把握・制御すること自体が難しくなっています。
「内部は安全」という前提の崩壊(境界型防御の限界)
従来の境界型防御では、外部との境界を重点的に守り、内部ネットワークを暗黙的に信頼する設計が一般的でした。しかしこの前提は、ランサムウェア対策において大きなリスクとなります。
一度侵入を許すと、内部では通信制御が十分におこなわれず、攻撃者がサーバーや端末間を横断的に移動できてしまうケースが多く見られます。結果として、初期侵入が小さくても、短時間で被害が全社に広がる事態を招きます。
攻撃手法の高度化・分業化
近年のランサムウェア攻撃は、侵入、内部展開、恐喝といった工程が分業化されています。
Ransomware as a Service(RaaS)の普及により、高度な攻撃手法が再利用・自動化され、攻撃のスピードと成功率が大きく高まっているとされています。防御側が異常に気づいた時には、すでに暗号化や情報窃取が進んでいるケースも少なくありません。
ランサムウェアによる被害事例
近年のランサムウェア被害は、単一企業にとどまらず、業務停止や情報漏えいを通じて取引先や顧客にも影響が及ぶケースが増えています。
ここでは、企業が公表している情報をもとに、代表的な被害事例についてご紹介します。
アサヒグループHDの事例
アサヒグループホールディングス株式会社では、2025年9月29日、サイバー攻撃によるシステム障害が発生したことを公表しました。
調査の過程で、ランサムウェアによる暗号化被害が確認されています。
発生した事象の概要
- グループ内ネットワーク機器を経由し、データセンターのネットワークへ侵入
- ランサムウェアが一斉に実行され、稼働中の複数サーバーや一部端末のデータが暗号化
- 被害拡大を防ぐため、ネットワーク遮断およびデータセンターの隔離措置を実施
業務への影響
- 国内グループ各社の受注・出荷業務が停止
- コールセンター業務の停止
- 社外からの電子メールが受信できない状況が発生
- 商品供給を優先し、一部業務は手作業で対応
情報漏えいに関する状況(2025年11月27日時点)
- 従業員貸与端末の一部データ流出を確認
- データセンター内の個人情報についても流出の可能性を確認
- 個人情報保護委員会へ確報を提出し、対象者への通知を進行中
- 影響範囲は日本国内のシステムに限定
この事例は、ネットワーク内部への侵入を起点に、業務システム全体へ影響が波及するリスクを示しています。
アスクルの事例
アスクル株式会社では、2025年10月19日、ランサムウェアによるシステム障害が発生したことを公表しました。
外部専門機関によるフォレンジック調査の結果、複数のシステムで侵害が確認されています。
被害の概要
- 物流システムおよび社内システムでランサムウェア感染を確認
- バックアップデータを含む一部データが暗号化され、使用不能に
- 一部データが攻撃者により窃取・公開(流出)
業務・サービスへの影響
- 物流センター管理システムが停止
- 倉庫ピッキングシステムが稼働不能となり、出荷業務を全面停止
- 復旧に時間を要し、受注・出荷業務に大きな影響
外部サービス・サプライチェーンへの影響
- 社内システム経由で、外部クラウド上のお問い合わせ管理システムのアカウントが侵害
- 当該システムの一部情報が流出
- 同社の物流サービスを利用する取引先企業でも、受注や出荷が停止
ECサイトやパートナー向けフロントシステム、基幹業務システムについては、侵害の痕跡は確認されていないと公表されています。
それにもかかわらず、アスクルの物流サービスは同社ECにとどまらず外部企業のネット通販業務を支える基盤として機能していることから、無印良品やロフト、そごう・西武といった取引先企業のネット通販においても、受注や出荷が停止するなど、サプライチェーン全体に影響が及びました。
この事例は、物流やクラウドサービスを含む複数領域に被害が連鎖し、サプライチェーン全体に影響が及ぶリスクを浮き彫りにしています。
ランサムウェアの主な感染経路
ランサムウェアは、単一の侵入口から侵入するわけではありません。企業環境の中で露出しているポイントを広く探索し、最も突破しやすい経路を選択します。
ここでは、企業で特に被害が多い感染経路として、次の4つに整理します。
- メール(添付ファイル・URL)を起点とした感染
- VPN・リモートアクセス機器の脆弱性
- Webアプリケーション/APIの脆弱性
- サプライチェーン・委託先経由の感染
1. メール(添付ファイル・URL)を起点とした感染
メールは、現在でもランサムウェアの主要な感染経路の一つです。請求書や業務連絡、取引先からのメールを装い、添付ファイルやURLを開かせることで、マルウェアを実行させます。
近年は無差別型だけでなく、企業や部署、担当者を特定した標的型攻撃が増加しています。文面や差出人が巧妙に偽装されているため、技術的なフィルタリングをすり抜けやすく、実質的にメール受信者の判断に委ねられるケースも少なくありません。
2. VPN・リモートアクセス機器の脆弱性
テレワークや外部委託の増加により、VPNやリモートデスクトップ(RDP)は業務に欠かせない存在となりました。一方で、これらは攻撃者にとって非常に魅力的な侵入口でもあります。
VPN機器の脆弱性が放置されていたり、ID・パスワードのみで認証していたりするような環境では、攻撃者が正規ユーザーとして内部ネットワークに侵入することが可能です。この場合、境界防御を通過してしまうため、侵入に気づかれないまま内部で攻撃が進行していきます。
3. Webアプリケーション/APIの脆弱性
企業のWebサイトや業務システム、APIも重要な感染経路です。SQLインジェクションなどの従来型攻撃に加え、APIの認証・認可不備を突いた不正アクセスや、自動化されたボットによる攻撃が増加しています。
WebやAPIは常時インターネットに公開されているため、攻撃の試行回数が非常に多く、被害が顕在化した時点ではすでに内部侵入が完了しているケースもあります。この領域は、WAFやAPIセキュリティといった入口防御が重要となるポイントです。
4. サプライチェーン・委託先経由の感染
近年特に注目されているのが、サプライチェーンを狙ったランサムウェア攻撃です。業務委託先や取引先の端末が感染し、そこから自社ネットワークへ侵入されるケースや、正規ソフトウェアの更新プロセスが悪用される事例も確認されています。
このような攻撃では、自社単体のセキュリティ対策だけでは防ぎきれない場合があり、アクセス権限の設計や通信の可視化が重要になります。
感染経路別に見るランサムウェア対策の基本方針
ランサムウェア対策を考える際、特定の製品やツールを導入することが目的化してしまうケースがあります。しかし本質的には、「どの感染経路に対して、何を防ぎたいのか」を整理することが重要です。
| 感染経路 | 主な対策の考え方 | 留意するポイント |
|---|---|---|
| メール | 初期侵入の抑止 | 利用者操作に依存する |
| VPN/RDP | 不正ログイン防止 | 侵入後の挙動監視が必要 |
| Web/API | 外部公開面の防御 | 内部侵入後の対策が別途必要 |
| サプライチェーン | 被害範囲の限定 | 管理範囲の線引きが難しい |
単一の対策で全ての経路をカバーすることは現実的ではなく、複数の防御を組み合わせた多層防御が前提となります。
メール・エンドポイント対策の限界
EDR(Endpoint Detection and Response)やアンチウイルスは、ランサムウェア対策において欠かせない基本的な防御手段です。しかし、これらの対策だけですべての攻撃を防げるわけではありません。
近年は、未知のマルウェアに加え、PowerShellや管理ツールなど正規の機能を悪用する攻撃も増えており、EDRの検知ロジックを回避する手法が高度化しています。その結果、侵入の検知が遅れたり、利用者の判断や運用に依存するリスクが残ったりするケースも少なくありません。
ネットワーク境界における侵入防止策
WebサイトやAPI、外部公開システムに対しては、WAFやDDoS対策、不正通信・ボット対策といったネットワーク境界での防御(入口対策)が重要です。
特にAPIは、基幹システムや業務データと直結していることが多く、対策が不十分な場合、侵入後の被害が一気に拡大する可能性があります。こうした入口防御は、攻撃の成功確率を下げるうえで不可欠な対策と言えます。
侵入を前提とした設計の必要性
一方で、ランサムウェア攻撃は複数の侵入経路を組み合わせて試行されるケースも増えており、すべての侵入を完全に防ぐことは現実的に困難になっています。
そのため、入口対策やエンドポイント対策だけに依存するのではなく、「侵入されることを前提に、被害をいかに抑えるか」という視点への転換が求められます。
重要なのは、侵入後の挙動を可視化し、不審な通信や権限の逸脱を早期に把握できる状態を整えることです。加えて、ネットワークやシステムを分離し、マイクロセグメンテーションなどの手法によって横方向への拡散(ラテラルムーブメント)を防ぐことで、被害を局所化できます。
このような設計により、万が一ランサムウェアに侵入された場合でも、システム全体への影響を抑え、事業継続への影響を最小限にとどめることが可能になります。
ゼロトラストとマイクロセグメンテーションによるランサムウェア対策
ランサムウェアの感染経路が多様化する現在、従来の境界防御だけでは侵入を完全に防ぐことが難しくなっています。
そのため、入口対策に加えて、侵入を前提とした設計に基づき、被害の拡大を抑える考え方が重要になります。
こうした背景から注目されているのが、ゼロトラストとマイクロセグメンテーションです。
すべてのアクセスを検証する「ゼロトラスト」
ゼロトラストは、「社内ネットワークは安全である」という前提を見直し、利用者・端末・通信のすべてを検証対象とするセキュリティの考え方です。
メールやVPN、Webアプリケーションなど、侵入口が多様化する中で、境界防御だけに依存した対策では限界があります。
そこでゼロトラストでは、アクセスのたびに認証や状態確認をおこない、業務に必要な範囲に限定して権限を付与します。これにより、万が一侵入が発生しても、不正なアクセスや権限の悪用を早期に検知しやすくなり、被害の拡大を抑える土台となります。
横展開を防ぐ「マイクロセグメンテーション」
ランサムウェア被害を深刻化させる要因の一つが、内部ネットワークでの横展開(ラテラルムーブメント)です。
一つの端末やサーバーが侵害されると、その権限や通信経路を足がかりに、ファイルサーバーや基幹システムへと被害が広がるケースが多く見られます。
そこでマイクロセグメンテーションでは、システムや業務単位で通信を細かく制御し、必要な通信のみを許可します。ゼロトラストの考え方を内部ネットワークまで具体化する手法として、感染が発生した場合でも被害を局所化し、全社的な業務停止を防ぐための実践的な対策となります。
まとめ:感染経路対策と侵入後対策の両立が重要
ランサムウェア対策では、感染経路を理解し入口対策を講じるだけでなく、侵入を前提として被害拡大を抑える設計が不可欠です。
ゼロトラストやマイクロセグメンテーションは、その考え方を具体化する重要な手段となります。単体の製品導入にとどまらず、自社の環境や業務に即した対策設計を見直すことが、実効性の高いランサムウェア対策につながります。
当社では、セキュリティのパイオニアであるAkamaiが開発・提供する各種サービスを、長年にわたって取り扱っており、数多くのお客様へご提供しております。
Akamaiでは、ゼロトラストセキュリティソリューションのラインアップとして、マイクロセグメンテーションを実現する製品を提供しています。ご興味いただけましたら、是非お気軽にお問い合わせください。
関連コンテンツのご紹介
製品ページ
ブロードメディアでは、企業の業務アプリケーションやシステムへのアクセスを安全に制御する、ゼロトラストセキュリティのソリューションを提供しています。また、サービスの開発元であるAkamaiのパートナープログラムにおいて、最高ランクである「Elite」の認定を受けています。
セキュリティ対策やネットワーク構成の見直しをご検討の際は、お気軽にご相談ください。
