なぜランサムウェア被害は止まらないのか - 中小企業が取るべき対策

ランサムウェア攻撃のリスクを完全に排除することはできません。しかし、侵害の発生や被害の拡大を防ぎ、影響を最小限に抑えることは可能です。そのためには、変化する攻撃手法に対応できるシステム面と人的面の双方からの対策が重要です。本稿では最終回として、ランサムウェア対策のポイントを整理します。

中小企業は依然としてランサムウェアの主要な標的

閉じる

ランサムウェア攻撃は現在、最も注意すべきサイバー攻撃となっています。これはIPA（情報処理推進機構）の「情報セキュリティ10大脅威 2025」の組織編において、ランサムウェア攻撃による被害のランクインが10年連続10回目であること、2021年版以降5回連続で1位となっていることからも分かります。そして、その標的の多くが中小企業であることを認識しておく必要があります。

攻撃者は強固なセキュリティ対策を実施している大企業ではなく、サプライチェーンに属する子会社や下請け企業などを先に攻撃します。なぜなら、中小企業はレジリエンスを含むセキュリティ対策が不十分なケースが多く、攻撃が成功する可能性が高いためです。攻撃者は、中小企業の事業が止まることで、その親会社やサプライチェーン上流の大企業の事業も止まることを知っています。

中小企業が抱えるリスクとして、攻撃を受ける可能性が高いにもかかわらず、IT要員が最小限であることや、旧式のインフラ、限られた外部委託プロバイダーに依存しているケースが多いことが挙げられます。また、IT担当者の人員不足や知識不足などにより企業内のITデバイスを把握できていないことから、脆弱性のある機器やソフトウェアを特定できず、結果としてパッチが未適用で脆弱性が残ったまま運用していることも少なくありません。これはシャドーITも同様のリスクとなります。

現在、多くの中小企業が対障害復旧（DR）計画を保有しているといわれていますが、Hornetsecurityの年次調査「Ransomware Impact Report（ランサムウェア攻撃レポート）」の2025年版によると、形式上の「準備体制」が攻撃発生時に必ずしも回復力に結びついているわけではないことが明らかになっています。ISO 27001や類似のコンプライアンスフレームワークを追求する組織は優れた結果を示している一方、多くの組織が依然として認証とセキュリティ成熟度を混同しています。

また、多くの組織で技術の実態と経営陣の認識に乖離があることも報告されています。例えば、多くの組織は「サイバー危機シミュレーションに参加する取締役会はほとんどない」「部門横断的なプレイブックは稀である」「外部コミュニケーション計画（特にAIによる偽情報やディープフェイクを利用した恐喝発生時）が未整備である」といった課題を抱えています。DX（デジタルトランスフォーメーション）の一環としてデジタル化を推進する一方で、デジタルにおける脅威には目を向けようとしない傾向があります。

ランサムウェア対策ではバックアップが重要

プルーフポイントのレポート「2025 CISO Voice of the CISO（CISO意識調査レポート）」によれば、66％の企業が機密データの損失を経験しています。この数値は前年を大幅に上回り、レジリエンス強化の必要性を浮き彫りにしています。

さらに、DR計画が広く導入されているにもかかわらず、58％のCISOがサイバー脅威への準備が不十分と感じています。そして、ランサムウェア対策として実施されているのは、エンドポイント検知ツール、定期的なバックアップ、ユーザー意識向上トレーニングへの投資という回答でした。

しかし、認証情報ベースの攻撃やソフトウェア悪用の増加から、同レポートでは多層的なセキュリティアーキテクチャとゼロトラスト原則の採用の重要性を強調しています。ランサムウェアの手口が複雑になるとともに多面化が進む中、組織は初期侵入の防御だけでなく、インシデント発生時に迅速な復旧が常に一歩先を見据えた対応が求められます。

また、先述のHornetsecurityの調査では74％の組織がエンドユーザーに対しランサムウェア対策のトレーニングを提供していると報告する一方、42％のセキュリティ責任者（CISO）は自社のトレーニングが不十分または効果的でないことを認めています。この乖離が懸念される状況を生み出しています。すなわち「偽りのコンプライアンス」、組織が表面的な認知基準を満たしているものの、ベストプラクティスへの実質的な関与や定着が欠如している状態といえます。

ランサムウェアはバックアップデータも暗号化しようとします。ランサムウェアの影響を受けない形で管理されたバックアップがあれば、たとえランサムウェア攻撃を受けても復旧が可能になります。実際に、約8割の企業がDR計画を策定しており、約6割は攻撃中も改変・暗号化が不可能な不変（イミュータブル）バックアップ技術を採用しています。これにより身代金を支払う企業は減少していると考えられますが、中小企業の対応はまだまだ低い水準にあり懸念されています。

こうしたバックアップ成熟度の向上はランサムウェア対策として有効といえます。しかし、脅威そのものは減退しておらず、形態を変えて続いています。二重恐喝、標的型データ窃取、評判毀損は今や攻撃者の基本戦術となりました。身代金支払いは減少したものの、ダウンタイム・データ損失・復旧費用による経済的損害は依然として甚大です。

先述のHornetsecurityの調査によると、ランサムウェア保険の導入率低下も確認されています。2025年にランサムウェア保険に加入していると報告した組織は46％で、2024年の54.6％から減少しました。減少の理由には、保険料の上昇、厳格化された加入条件、限定的な支払い額が考えられます。この変化は、保険への依存がもはや代替案とは見なされていないことを示唆しており、強固な内部防御の必要性をさらに強調しています。

リモートワークで変化した企業セキュリティ

現在のランサムウェア攻撃は、以前のように単純なものではなく複合脅威となっています。企業の奥深くまで侵入して重要なデータにアクセスし、盗み出して暗号化します。つまり、従来の不正侵入による情報窃取の一連の流れにランサムウェアが追加された形となっています。侵入方法も、システムと「人」の脆弱性を悪用するものになっています。つまり、システムと人の双方のセキュリティ強化が必要なのです。

また、対策を講じるにあたり、コロナ禍以降は企業のシステムが大きく変化していることを意識する必要があります。コロナ禍以前は企業のさまざまなシステムやアプリケーションのサーバが企業内ネットワークの中にあり、ユーザーも企業内ネットワークの中で業務を行っていました。リモートアクセスの機会も少なく、必要なときには外部からVPN経由で企業内ネットワークに入り、そこからインターネットに接続していました。

しかし、コロナ禍になったことでリモートワークが一般的になり、企業のシステムやアプリケーションのほとんどがクラウド上に移行しました。この結果、VPNから企業内ネットワークを経由してインターネットにアクセスする従来型の方法は効率が悪くなりました。これにより、ローカルブレイクアウトと呼ばれる、企業ネットワークを介さずにインターネットにアクセスすることが増えました。

ランサムウェア対策は「システムと人」の両面で

そこで提唱されたセキュリティの考え方が「ゼロトラスト」です。ゼロトラストは、その名の通り、何も信頼せず、すべての通信を都度検証する考え方です。具体的には、検知された通信について、誰が、どのデバイスやアプリ、どのネットワークから通信しているかを検証します。例えば攻撃者によるラテラルムーブメントは、これらの情報を十分に持たないため、遮断することが可能になります。正規の通信や管理機能を悪用する「Living Off The Land（環境寄生型）」と呼ばれる手法にも対応可能になります。

企業内の通信を可視化するソリューションには、NDR（Network Detection and Response：ネットワークにおける検知と対応）やUTM（Unified Threat Management：統合脅威管理）、統合監視ツール、SASE（Secure Access Service Edge）などがあります。これらは外部に監視や対応を依頼できるマネジメントサービスも多いです。

ただしゼロトラストの考えに基づくと、正規のユーザーを対象とした検証が多くなってしまいます。そのためIAM（Identity and Access Management）などのID・アクセス管理ソリューションが有効になります。企業内のユーザー（従業員など）が「誰」で、どのシステムや情報に「アクセスする権利（権限）」があるかを管理する仕組みであり、ユーザー認証、アクセス制御、ロール管理、シングルサインオン（SSO）、多要素認証（MFA）などの機能を持ちます。これにより効率的なアクセスが可能になります。

ランサムウェア対策をより実効性のあるものにするためには、セキュリティを単に「システムの問題」や「人の問題」と切り分けるのではなく、両者を前提とした統合的な取り組みとして捉える必要があります。高度化する攻撃の多くは、人の判断や行動の隙、もしくは技術的な弱点を突いています。

システム面で対応策を講じることはもちろんのこと、従業員については形骸化した教育や場当たり的な注意喚起では十分とは言えず、日々の業務や意思決定の中にセキュリティの視点を組み込み、隙や弱点をなくしたり少なくしたりする対策を取ることが重要です。

そしてもう一つ大切な点は、こうした対策は現場の従業員だけに委ねるものではなく、経営層を含めた組織全体で取り組むべきということです。技術的な対応と経営判断の間にあるギャップを埋め、明確な方針のもとで継続的にシステムや体制などの見直しと改善を行うことが、ランサムウェアをはじめとする複合的な脅威に対する組織の耐性を高める、現実的かつ持続的なセキュリティ対策の実現につながります。