CACHATTO COLUMNカチャットコラム

CACHATTO トップ>
CACHATTO COLUMN>
ランサムウェア対策｜感染を防ぎ、被害を最小化する方法

ランサムウェア対策｜感染を防ぎ、被害を最小化する方法

2026.03.13投稿、2026.03.13更新

ランサムウェアによる被害は2025年以降も高水準で推移しており、大企業から中小企業まで業種を問わず攻撃の標的となっています。警察庁の発表によれば、被害企業の多くはVPN機器の脆弱性や不十分なバックアップ体制が原因で感染しており、適切な対策の実施が急務となっています。
一方で、「何から手をつければよいか分からない」という声も多く、対策の優先順位づけに悩む企業も少なくありません。
本記事では、情報システム担当者に向けて、ランサムウェアの予防対策から感染時の初動対応、そして復旧に向けたバックアップ戦略まで、優先度とともに具体的な対策方法を解説していきます。

ランサムウェアの基本情報については、次の記事も参考にしてください。

ランサムウェアとは？仕組みと感染経路を基礎から解説

ランサムウェア対策の全体像
【予防】感染を防ぐための対策
【検知】異常の早期発見
【対応】感染時の初動対応
【復旧】バックアップからの復元とサービス再開判断
今すぐできる対策から始めよう

ランサムウェア対策の全体像

ランサムウェア対策は、攻撃のライフサイクルに沿って段階的に考えることが重要です。各フェーズで適切な対策を講じることで、被害を防ぎ、万が一の際も迅速に対応できる体制を構築できます。

予防（Prevention）

攻撃者の侵入を未然に防ぐフェーズ。
脆弱性管理、アクセス制御、従業員教育など、攻撃の入口を塞ぐ対策が中心となります。最も費用対効果が高く、ここで防御できれば後工程の負荷を大幅に減らせます。

検知（Detection）

侵入や異常な活動を早期に発見するフェーズ。
完璧な予防は不可能という前提のもと、万が一侵入されても被害拡大前に異常を察知する仕組みを整えます。ログ監視や異常検知システムが該当します。

対応（Response）

感染が確認された際の初動対応フェーズ。
ネットワーク遮断・証拠保全・関係者連絡など、被害最小化のため迅速な行動が求められます。事前に手順を整備することが前提です。

復旧（Recovery）

暗号化されたシステムを元の状態に戻すフェーズ。
バックアップからの復元やシステム再構築を行い、事業再開を目指します。準備不足だと復旧に数カ月かかるケースもあります。

【予防】感染を防ぐための対策

従業員が使用するパソコンや業務データを保管するサーバーは、ランサムウェアの標的となります。ここでの防御が破られると、データが暗号化されて使用できなくなり、業務が停止してしまいます。

エンドポイント保護

エンドポイント端末はランサムウェア侵入の最初の踏み台になりやすい領域です。まず「端末側で実行させない」対策を固めることが、全体の防御ラインの基本になります。

EDRの導入

有効性が高い選択肢の一つがEDR（Endpoint Detection and Response）の導入です。従来のウイルス対策ソフトは既知のマルウェアを検知する仕組みでしたが、EDRは端末上の挙動を監視し、未知の脅威も検知できます。たとえば、短時間に大量のファイルが変更されたり、不審なプロセスが実行されたりした場合、こうした異常な動きを捉えて自動的に遮断します。

ウイルス対策ソフトの適切な運用

基本的な対策として、ウイルス対策ソフトの適切な設定と運用も必要です。定義ファイルを常に最新の状態に保ち、リアルタイムスキャンを有効にしておくことが基本です。また、特定のフォルダをスキャン対象外にしていないか、定期的に設定を見直す必要があります。

アプリケーション実行制御

より高度な対策として、アプリケーション実行制御（ホワイトリスト方式）の導入も効果的です。承認されたアプリケーションのみを実行可能にし、それ以外のプログラムは起動できないようにすることで、悪意のあるプログラムが実行される可能性を大幅に減らせます。

OS・ソフトウェアの脆弱性管理

攻撃者は、OSやアプリケーションの脆弱性を悪用してシステムに侵入します。これらの弱点を放置しないことが、予防の基本です。

セキュリティパッチの迅速な適用

優先度が高い施策の一つが、セキュリティパッチを素早く適用することです。マイクロソフトやアドビなどが公開するセキュリティ更新プログラムは、発見された脆弱性に対応するための修正パッチです。公開情報は攻撃者側にも共有されるため、未対応のまま放置されているシステムは狙われやすくなります。パッチはできるだけ早く、通常は数日〜数週間以内に適用できる運用体制を整えておくことが理想です。

脆弱性スキャンツールの活用

ネットワーク上のすべての端末やサーバーを定期的にスキャンし、未適用のパッチや既知の脆弱性がないかを確認することも重要です。特に大規模な組織では、手動での管理が困難なため、こうした自動化ツールを併せて活用することが効果的です。

サポート終了製品の使用禁止

Windows 7やInternet Explorer 11など、メーカーのサポートが終了した製品は、新たな脆弱性が発見されてもパッチが提供されません。こうした製品は速やかに最新版へ移行する必要があります。

ネットワークセキュリティ

ネットワークは、攻撃者が内部に侵入した後に横展開していく経路となります。ここで適切な対策を講じることで、被害の拡大を抑えることができます。

ネットワークのセグメント化

効果が大きい対策の一つがネットワークのセグメント化です。社内ネットワークを複数のセグメントに分割し、それぞれの間にファイアウォールを設置します。たとえば、経理部門と開発部門のネットワークを分離することで、一方が感染しても、もう一方への影響を最小限に抑えられます。特に、重要なサーバーやデータベースは専用のセグメントに隔離する必要があります。

ファイアウォールの適切な設定

不要なポートは閉じ、必要最小限の通信のみを許可することが基本です。特に、外部から内部ネットワークへのアクセスは厳格に制限し、必要な場合もVPN経由に限定します。また、ファイアウォールのログを定期的に確認し、不審な通信がないかをチェックすることが求められます。

VPN機器の強化

リモートワークが普及した現在、VPN機器のセキュリティ強化は特に重要です。VPN機器の既知脆弱性は多数報告されており、攻撃者が侵入経路として狙うポイントにもなります。具体的には、ファームウェアを常に最新にしておくこと、管理画面を外部から直接アクセスできない設定にすること、不要なサービスを停止することが基本対策となります。

メールセキュリティ

フィッシングメールは、依然としてランサムウェア感染の主要な入り口の一つです。技術的対策と人的対策の両面から取り組む必要があります。

メールフィルタリングの強化

スパムフィルターや添付ファイルのスキャン機能を有効にします。特に、実行形式ファイル（.exe、.bat、.vbsなど）やマクロ付きOfficeファイル（.docm、.xlsmなど）は、自動的にブロックするか、少なくとも警告を表示する設定にします。

サンドボックスの活用

疑わしい添付ファイルを隔離された仮想環境で実行し、安全性を確認してから受信者に届ける仕組みも効果的です。未知のマルウェアも検知できる可能性があります。

定期的なフィッシング訓練

実際のフィッシングメールに近い内容のテストメールを従業員に送信し、リンクのクリックや添付ファイルの開封などの反応を測定します。引っかかった従業員には個別にフィードバックと教育を行い、組織全体のセキュリティ意識の底上げにつなげます。

アクセス管理・認証強化

正規アカウントが乗っ取られると、攻撃者は正当なユーザーと同じ権限で操作できるため、検知が非常に困難になります。そのため、アクセス管理と認証の強化は、侵害拡大を防ぐうえで有効な対策です。

多要素認証（MFA）の導入

有効性が高い対策のひとつが、多要素認証（MFA）の導入です。パスワードに加えて、スマートフォンアプリでの承認や生体認証などの“別の要素”を組み合わせることで、パスワードが漏洩した場合でも不正アクセスリスクを下げられます。特に、VPNやリモートデスクトップ、管理者アカウントなど、影響範囲が大きい領域には優先的に適用することを推奨します。

強固なパスワードポリシーの設定

最低12文字以上、英数字と記号を組み合わせたパスワードを要求し、定期的な変更を促します。また、過去に使用したパスワードの再利用を禁止する設定も有効です。パスワード管理ツールの導入を推奨し、従業員が複雑なパスワードを安全に管理できる環境を整えることも重要です。

最小権限の原則

各ユーザーには、業務に必要な最小限の権限のみを付与します。たとえば、一般の従業員には管理者権限を与えず、必要な場合のみ一時的に昇格させる運用にします。これにより、アカウントが乗っ取られても、攻撃者ができることを制限できます。

VPN機器をインターネットに公開しない構成

従来のVPNでは、VPN機器をDMZ（非武装地帯）に設置し、インターネットに公開する必要がありました。この構成では、VPN機器自体が攻撃者の標的となり、脆弱性を悪用されるリスクが生じます。

こうした課題に対して、近年注目されているのが、VPN機器をインターネットに公開しない構成です。VPN機器を社内ネットワーク内に設置し、外向きのHTTPS通信のみを行う方式にすることで、外部からの直接的な攻撃を受けるリスクがなくなります。この構成により、「VPN機器の脆弱性を起点とする攻撃」という主要な感染経路を構造的に遮断できます。

クラウドVPNサービスの活用

こうした構成を実現するには、クラウド型のVPNサービスを利用する方法があります。クラウド上の接続ポイントを経由して社内ネットワークにアクセスする仕組みにより、VPN機器をインターネットに晒すことなく、リモートアクセス環境を構築できます。また、多要素認証（MFA）を標準で提供するサービスを選ぶことで、さらにセキュリティを強化できます。

【検知】異常の早期発見

予防策を講じても、侵入を完全に防ぎ切ることは困難です。そのため、異常な活動を早期に検知し、被害が拡大する前に対処できる体制を整えておく必要があります。

異常検知の仕組み

異常検知は、攻撃の兆候や不審な挙動を早期に把握するための仕組みです。これにより、侵害の有無を迅速に判断し、初動対応につなげられます。

SIEMの導入

SIEMは、ネットワーク上のさまざまな機器やアプリケーションから送られてくるログを一元的に収集・分析し、異常なパターンを検知するシステムです。たとえば、「深夜に大量のファイルがアクセスされた」「通常使わないアカウントでログインがあった」といった不審な動きを自動的に警告します。

ログの継続的な監視

ファイアウォール、サーバー、端末、アプリケーションなど、あらゆる機器のログを記録し、定期的に確認します。特に注目すべきは、以下のような不審な動きです。

短時間に大量のファイルが変更された
通常と異なる時間帯にシステムにアクセスがあった
管理者権限での不審な操作が行われた
外部の不審なIPアドレスとの通信が発生した

これらの兆候を早期に発見できれば、ランサムウェアが実行される前に対処できる可能性があります。

ユーザーの行動分析

平常時のユーザーの行動パターンを機械学習で学習し、それから逸脱した動きを検知する手法も注目されています。たとえば、普段は営業資料しかアクセスしない従業員が、突然人事データベースにアクセスした場合、アカウントが乗っ取られている可能性があるとして警告が発せられます。

【対応】感染時の初動対応

ランサムウェア感染が発生した場合、状況が混乱しやすく、判断が遅れることで被害が拡大する可能性があります。初動対応を迅速に行うためには、平常時から体制と手順を準備しておくことが欠かせません。

インシデント対応計画（IRP）の策定

インシデント対応計画（IRP）は、感染発生時の判断基準や対応手順を事前に整理しておく計画です。あらかじめ定義しておくことで、緊急時でも判断と実行に移しやすくなります。

インシデント対応チームの編成

IT部門、経営層、法務部門、広報部門など、関係部署の担当者を明確にし、それぞれの役割を定義します。たとえば、IT部門はシステムの隔離と復旧を担当し、法務部門は法的対応や当局への報告を担当し、広報部門は顧客や取引先への説明を担当します。

対応フローの文書化

感染が疑われる段階から、確認、隔離、調査、復旧、再発防止まで、各段階で誰が何をするのかを明文化します。このフローは紙の文書としても保管し、システムがダウンした状態でも参照できるようにしておきます。

連絡先リストの整備

社内の関係者だけでなく、外部の専門家（フォレンジック調査会社、セキュリティベンダー、弁護士など）、警察のサイバー犯罪相談窓口、主要な取引先などの連絡先を一覧化しておきます。

定期的な訓練の実施

年に1〜2回、ランサムウェア感染を想定した模擬訓練を行い、対応手順が機能するかを確認します。訓練を通じて発見された課題は、すぐに計画に反映させます。

感染してしまった場合の初動対応

万が一、ランサムウェアに感染してしまった場合、最初の数時間の対応が被害の規模を左右します。

ステップ1：感染端末の即座の隔離

感染が疑われる端末を、直ちにネットワークから切り離します。有線LANの場合はケーブルを抜き、無線LANの場合はWi-Fiを無効にします。重要なのは、電源は落とさないことです。電源を落とすと、メモリ上の重要な証拠が失われてしまいます。また、ネットワーク全体への感染拡大を防ぐため、可能であれば当該セグメントを一時的に遮断します。

ステップ2：インシデント対応チームへの連絡

事前に定めた連絡フローに従い、関係者に状況を報告します。この段階では、感染の疑いがある程度で構いません。早期の情報共有が、迅速な対応につながります。

ステップ3：警察への届出

都道府県警察のサイバー犯罪相談窓口、または警察庁の「サイバー犯罪に係る電話相談窓口」に連絡します。ランサムウェア攻撃は犯罪であり、被害届の提出が推奨されます。また、警察から攻撃に関する情報提供を受けられる場合もあります。

ステップ4：専門家への依頼

フォレンジック調査会社に連絡し、被害範囲の特定と証拠保全を依頼します。どのデータが暗号化されたのか、情報が外部に流出したのか、侵入経路はどこか、といった調査には専門的な知識が必要です。自社のIT部門だけで対応しようとせず、外部の専門家の力を借りることが重要です。

ステップ5：身代金の支払いについての判断

身代金の要求が行われた場合、その対応方針を決める必要があります。原則として、身代金の支払いは推奨されません。支払っても復号鍵が渡される保証はなく、仮に渡されても不完全である可能性があります。また、支払いは犯罪組織への資金提供となり、さらなる攻撃を助長します。例外的に、事業継続に重大な影響が生じ、他の選択肢がない場合には検討されることもありますが、その場合でも法務部門や弁護士と協議した上で判断する必要があります。

【復旧】バックアップからの復元とサービス再開判断

ランサムウェアにより暗号化被害が発生した場合、システムを元の状態に戻し、事業を再開するための復旧プロセスを進めます。復旧のスピードと確実性が、最終的な被害規模に直結します。

復元に使用するバックアップの選定

まず、暗号化の影響範囲を特定し、被害前のバックアップを選定します。3-2-1ルールなどで複数媒体・遠隔地保管を行っている場合、暗号化影響を受けていないバックアップを選べる可能性が高まります。オフサイト／イミュータブル設定されたバックアップが有効です。

バックアップからの復元作業

選定したバックアップから、優先度の高いシステム・サービスから順に復元します。基幹システムから先行して再開させ、周辺業務システムは段階的に戻していくことで、事業停止期間を短縮できます。復元中に再感染が発生しないよう、作業はクリーンな隔離環境で実施します。

検証と再開判断

復元後、データ改ざんや不審なプロセスが残っていないかを検証します。外部専門家の協力を得ながら、クリーン状態を確認した上で、ネットワーク再接続とサービス再開を段階的に進めます。

復旧手順の定期的な訓練

年に1〜2回、バックアップからの復元手順を訓練し、実際に機能するかを検証します。手順書があっても、担当者が初見で実行できないと復旧が長期化します。事前の訓練が、復旧フェーズの確実性を大きく高めます。

今すぐできる対策から始めよう

ランサムウェア対策は、予防・検知・対応・復旧の4つのフェーズを分けて設計することで、優先順位を明確にできます。特に、初期侵入の抑止（脆弱性管理・アクセス制御）と初動対応の準備は、実際の被害規模を大きく左右します。また、復旧フェーズまで視野に入れたバックアップの確実な運用は、事業継続の確率を高めます。

一方で、ランサムウェア感染経路の大半を占めるVPN機器の脆弱性対策については、従来の運用方法を見直すことも有効です。VPN機器をインターネットに公開しない構成を採用することで、構造的にランサムウェアの侵入リスクを低減できます。

e-Janネットワークスが提供する「ニンジャコネクトVPN」は、VPN機器をインターネットに公開しない設計により、VPN機器の脆弱性を狙ったランサムウェア攻撃のリスクを極小化できるクラウドVPNサービスです。VPN機器は社内ネットワーク内に設置し、外向きのHTTPS通信のみを行うため、従来型VPNと比較してセキュリティリスクが大幅に低減されます。また、脆弱性対策の更新が不要なため、管理負荷も軽減できます。