Written by WizLANSCOPE編集部
【完全保存版】ランサムウェア被害を防ぐ!
感染前後に行いたい32のアクションリスト
本資料では、ランサムウェアへの「感染を防ぐための予防策」から「感染後の初動対応」までをチェックリスト形式でまとめています。実践的な内容にしているため、緊急時対応の見直しにもぜひご活用ください。
目 次
二重脅迫型ランサムウェアとは、システム内のデータを暗号化して、復旧と引き換えに身代金を要求するだけではなく、「支払いに応じなければ盗み出したデータを公開する」とさらに脅迫する手口を指します。
攻撃者が、被害者が身代金の支払いを拒否できない状況に追い込み、より確実に金銭を得ることを目的としています。
企業・組織は、このような悪質なランサムウェア攻撃の被害を防ぐためにも、いままで以上にセキュリティ対策を強化する必要があります。
本記事では、二重脅迫型ランサムウェアの概要や有効な対策などを解説します。
▼本記事でわかること
- 二重脅迫型ランサムウェアの概要
- 二重脅迫型ランサムウェアの攻撃の流れ
- 二重脅迫型以外のランサムウェア手口
- 二重脅迫型ランサムウェアへの対策
二重脅迫型ランサムウェアへの理解を深め、対策の強化に役立てたい方はぜひご一読ください。
二重脅迫型ランサムウェアとは
二重脅迫型ランサムウェアとは、システムを暗号化して、「暗号化を解除してほしければ身代金を払え」と脅迫するだけでなく「支払いに応じなければ、盗んだデータを公開する」と、さらに脅迫を行う手口です。
攻撃者は、被害者を身代金の支払いから逃れられない状況に追い込むことで、確実に金銭を得ることを目的としています。
従来のランサムウェア攻撃の多くは、暗号化のみを行う手口だったため、日ごろからバックアップを取得し、適切に保管していれば、暗号化されても復旧できる可能性がありました。
しかし二重脅迫型のランサムウェアでは、暗号化前に重要な情報を窃取し、それを身代金要求の交渉材料に利用します。
一度攻撃者の手に渡ってしまったデータは取り戻すことはできないため、被害者は、公開を阻止するために身代金を払わざるを得ない状況に追い込まれます。
このように、身代金の支払いを拒否できない状況に追い込むのが、二重脅迫型ランサムウェアの脅威です。
二重恐喝型が近年の主流に
警察庁が令和7年3月に公表した調査結果によれば、報告されたランサムウェア被害134件のうち、「二重恐喝型(二重脅迫型)」が111件と実に8割以上を占めていました。
出典:警察庁|令和6年におけるサイバー空間をめぐる脅威の情勢等について(令和7年3月13日)
このデータからも、近年のランサムウェアは、二重脅迫型が主流になっていることがわかります。
さらに最近では、脅迫の回数を増やした三重・四重脅迫という新たな手口も出現しています。
ランサムウェア攻撃の手口は年々高度化・複雑化しているため、常に最新の情報をキャッチアップし、適切な対策を講じることが求められます。
二重脅迫型ランサムウェアの手口・攻撃の流れ
二重脅迫型ランサムウェアは、一般的に以下の流れで実行されます。
- ネットワークに侵入する
- ネットワーク内を探索する
- 重要なデータを窃取する
- データを暗号化する
- 一度目の脅迫を実施する(データの暗号化解除と引き換えに身代金を要求する)
- 二度目の脅迫を実施する(データの公開取りやめと引き換えに身代金を要求する)
まず攻撃者は、企業のネットワークに侵入し、価値のあるデータが保管されている場所を特定するために、内部を探索します。
権限昇格を繰り返し、機密情報にアクセスできるようになると、暗号化に先立って重要なデータを窃取し、外部へ送信します。
その後、システム全体を暗号化し、暗号化の解除と引き換えに身代金を支払うように迫ります。
支払いが行われない場合には、「盗んだデータを公開する」とさらに脅迫し、それでも要求を無視された場合は、窃取した情報をダークウェブなどに公開しようとします。
二重脅迫型以外のランサムウェア攻撃手口
ランサムウェア攻撃の手口には、二重脅迫型以外にも、「多重脅迫型ランサムウェア」や「ノーウェアランサム」などが存在します。
それぞれどのような手口か解説します。
多重脅迫型ランサムウェア
多重脅迫型ランサムウェアは、二重脅迫型のさらに発展させた手口で、三重脅迫、四重脅迫などの段階があります。
攻撃者は、それぞれの段階で追加の脅迫を行い、身代金の支払いを迫ります。
| 三重脅迫 | ・企業から盗んだデータに顧客や取引先の情報が含まれていた場合、それら取引先や顧客個人に直接連絡し、「あなたの情報が漏洩しました」と脅しをかけることで、さらなる身代金要求を行う |
|---|---|
| 四重脅迫 | ・データの暗号化やデータ公開の脅迫、取引先や顧客への直接的な脅しに加えて、DDoS攻撃を仕掛けて、事業の継続を困難にすることで、身代金を確実に支払わせようとする |
多重脅迫型の脅威は、もはやバックアップ体制を構築するだけでは防ぎきれません。
DDoS攻撃対策、社外関係者への被害拡大防止策、通信遮断時の代替連絡手段など、多層的なリスク管理が求められます。
ノーウェアランサム
ノーウェアランサムとは、暗号化を一切行わないタイプのランサムウェアです。
攻撃者はシステムに侵入後、重要なデータを窃取し、「盗んだデータを公開されたくなければ身代金を支払え」と脅迫します。
暗号化を行わないため、被害者はシステム復旧に時間を取られずに済むものの、情報漏洩のリスクは極めて高くなります。
特に個人情報や社外秘資料を扱う企業では、流出すれば取引停止や法的責任に直結する可能性もあるでしょう。
また、ノーウェアランサムは暗号化するプロセスがないため、攻撃スピードが速く、さらに検知が難しいという厄介な特徴があります。
ランサムウェアが増加している理由
近年、ランサムウェアが急増している要因の一つとして、「RaaS」の存在が挙げられます。
RaaSとは、「Ransomware as a Service」の略称で、ランサムウェアの機能をパッケージ化し、サービスとして提供するモデルです。
ランサムウェアの開発者である「RaaSオペレーター」が、ランサムウェアの使用権をサブスクリプション形式などで、利用者であるRaaSアフェリエイト、つまり攻撃者に提供します。
このRaaSの登場により、専門的な技術を持たない攻撃者でも容易にランサムウェア攻撃を仕掛けられるようになり、ランサムウェア被害が急増しました。
企業・組織においては、多層的な防御態勢を構築し、侵入から情報窃取、暗号化といったそれぞれの段階で対策を講じることが求められます。
二重脅迫型ランサムウェアへの対策
二重脅迫型ランサムウェアへの有効な対策方法を6つ紹介します。
- 内部ネットワークの監視・脅威検知システムの導入
- アクセス権限の最小化
- 多要素認証の設定
- DLPの導入
- バックアップ管理の徹底
- 高精度なアンチウイルスの導入
詳しく確認していきましょう。
内部ネットワークの監視・脅威検知システムの導入
内部ネットワークを監視するシステムを導入することで、ランサムウェアの侵入を早期に検知できる可能性が高まります。
ネットワークを監視・検知を担うソリューションの例としては、以下のようなものがあります。
| IDS (Intrusion Detection System) |
・不正アクセスなどの脅威を検知し、管理者に通知する |
|---|---|
| IPS (Intrusion Prevention System) |
・不正なアクセスなどの脅威を検知し、自動で遮断・防御を実施する |
| NDR | ・ネットワーク全体を監視し、高度な脅威を検知・分析・対応する |
これらのシステムを導入することで、攻撃の初期段階で対応することが可能になり、被害の拡大を防げます。
アクセス権限の最小化
アクセス権限の最小化とは、業務に必要な最低限の権限だけをユーザーに付与するという考え方です。
例えば、機密情報へアクセスできるユーザーを経営層のみに限定しておくことで、攻撃者が侵入した場合でも、被害範囲を大幅に抑えられます。
ただし、権限の制限が厳しすぎると、従業員の日常業務に支障をきたす恐れがあります。
そのため、日常業務の効率を損なわないように配慮しつつ、セキュリティレベルを高めるバランスを見極めることが大切です。
多要素認証(MFA)の設定
脆弱な認証方法やパスワードを利用している場合、ネットワークに侵入され、ランサムウェアが展開されるリスクが高まります。
また感染時の被害拡大リスクも高まるため、多要素認証を設定し、認証を強化することも有効な対策です。
多要素認証とは、「知識情報」「所持情報」「生体情報」のうち、2つ以上の認証要素を組み合わせ、認証を行うセキュリティ手法です。
| 名称 | 内容 | 具体例 |
|---|---|---|
| 知識情報 | 本人だけが把握している情報 | パスワード、秘密の質問 |
| 所持情報 | 本人だけが物理的に所持している物の情報 | スマートフォン、セキュリティキー |
| 生体情報 | 本人固有の身体情報 | 指紋、静脈 |
多要素認証を導入することで、万が一パスワードが漏洩しても、不正にアクセスされるリスクを低減できます。
多要素認証は、クラウドサービスやVPN、社内ポータルなど、すべての重要システムで設定することが推奨されます。
特にリモートワーク環境では、デバイスごとに多要素認証を適用し、外部アクセスによる侵入経路の遮断が不可欠です。
DLPの導入
DLPとは「Data Loss Prevention」の略で、機密情報の漏洩を防ぐためのセキュリティソリューションです。
重要なデータを監視し、不正な持ち出しや流出を防ぐ役割を果たします。
DLPの大きな特徴は、ユーザーではなく、データそのものに焦点を当てる点です。
一般的なアクセス制御がユーザーの行動を監視する仕組みなのに対し、DLPは顧客情報や財務データ、企業戦略といった重要情報そのものを追跡します。
これにより、誰がどの情報にアクセスし、どこへ送ろうとしているのかを、リアルタイムで把握できます。
また、外部からのサイバー攻撃によるデータ窃取も早期に把握でき、迅速な遮断や調査対応を行うことが可能になります。
バックアップ管理の徹底
万が一データが暗号化された場合でも、バックアップを確保していれば、復旧できる可能性が高まります。
バックアップを取得・管理する際には、以下のポイントを押さえておくことが重要です。
- 「3-2-1」のルールに沿ってバックアップを取得・保管する
- 半年~1年分のバックアップを取得する
- どの時点のバックアップかわかるようにする
- バックアップへのアクセス権限は最小限にする
- システム全体のバックアップを取得する
「3-2-1」ルールとは、安全なバックアップを実現するためのルールです。
このルールでは、データコピーは3つ作成する、異なる2種類の媒体に保存する、1つはオフサイトに保管することが推奨されています。
また、ランサムウェアの中には潜伏期間が長いものも存在するため、2週間から3週間分のバックアップしか取得していない場合、バックアップ自体がすでに感染している恐れがあります。
そのため、半年から1年分のバックアップを取得しておくことが推奨されます。
さらに、データだけではなく、設定やアプリケーション、OSなどシステム全体のバックアップを取得しておくことで、感染後のシステム再構築の手間を軽減できます。
ただし、二重脅迫型のランサムウェアの場合、バックアップを取得するだけではデータ公開の脅しを止められず、身代金要求を避けることができません。
そのため、バックアップ取得だけに頼らず、ほかの対策と組み合わせて、堅牢なセキュリティ体制を構築することが求められます。
高精度なアンチウイルスの導入
アンチウイルスソフトを導入することで、ランサムウェアの侵入を水際でブロックできる可能性が高まります。
アンチウイルスとは、コンピューターウイルスやマルウェアから、システムを保護するために設計されたプログラムで、さまざまな被害を未然に防ぐ、いわゆる「盾」のような役割を担います。
ただし、過去に検知したマルウェアのデータをもとに、性質が類似しているかを判断する「パターンマッチング方式」のアンチウイルスソフトでは、高度化する攻撃を完全に防ぐことは困難です。
そのため、未知・亜種のマルウェアも検知可能な高精度なアンチウイルスの導入が求められています。
【完全保存版】ランサムウェア被害を防ぐ!
感染前後に行いたい32のアクションリスト
本資料では、ランサムウェアへの「感染を防ぐための予防策」から「感染後の初動対応」までをチェックリスト形式でまとめています。実践的な内容にしているため、緊急時対応の見直しにもぜひご活用ください。
新種・亜種のマルウェアへの対策に「LANSCOPE サイバープロテクション」
前述の通り、近年の攻撃者はRaaSなどを巧みに利用し、次々と新しいマルウェアを生み出して、攻撃を仕掛けてきます。
従来の「パターンマッチング形式」のアンチウイルスでは、こうした高度化が見られるマルウェアを十分に検知できず、攻撃を防ぎきれないケースが増えています。
そこで本記事では、AI(人工知能)を使って、99%の高い検知率で企業をセキュリティリスクから守る「LANSCOPE サイバープロテクション」の2種類のアンチウイルスを紹介します。※
- 世界トップレベルの専門家が24時間365日監視するMDRサービス「Aurora Managed Endpoint Defense」
- 各種ファイル・デバイスに対応した次世代型アンチウイルス「Deep Instinct」
それぞれのサービスの特徴を見ていきましょう。
※Aurora Protect:2024年5月Tolly社のテスト結果より
※Deep Instinct:Unit221B社調べ
世界トップレベルの専門家が24時間365日監視するMDRサービス「Aurora Managed Endpoint Defense」
「LANSCOPE サイバープロテクション」では、EDRのマネージドサービス「Aurora Managed Endpoint Defense」を提供しています。
「Aurora Managed Endpoint Defense 」は、アンチウイルスとEDRを併用し、エンドポイントを内外から保護するセキュリティソリューションです。
高度なエンドポイントセキュリティ製品を導入しても、適切に運用できなければ意味がありません。
「Aurora Managed Endpoint Defense」は、下記の2種類のセキュリティソリューションの運用を、お客様の代わりにセキュリティのスペシャリストが実施するMDRサービスです。
- 脅威の侵入をブロックするAIアンチウイルス「Aurora Protect」
- 侵入後の脅威を検知し対処するEDR「Aurora Focus」
セキュリティのスペシャリストが徹底したアラート管理を行うため、お客様にとって本当に必要なアラートのみを厳選して通知することが可能になり、不要なアラートに対応する必要がなくなります。
また、緊急時にはお客様の代わりにサイバー攻撃へ即時で対応するため、業務負荷を減らし、安心して本来の仕事へ集中していただけます。
「Aurora Managed Endpoint Defense」についてより詳しく知りたい方は、下記のページをご確認ください。
各種ファイル・デバイスに対応した次世代型アンチウイルス「Deep Instinct」
「LANSCOPE サイバープロテクション」では、 AI(ディープラーニング)を活用した次世代ウイルス対策ソフト「Deep Instinct」を提供しています。
下記のようなセキュリティ課題をお持ちの企業・組織の方は、 検知率99%以上のアンチウイルス製品「Deep Instinct」の利用がおすすめです。※
- 未知のマルウェアも検知したい
- 実行ファイル以外のファイル形式(Excel、PDF、zipなど)にも対応できる製品が必要
- 手頃な価格で高性能なアンチウイルスを導入したい
近年の攻撃者は、セキュリティ製品から検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを仕掛けてきます。
「Deep Instinct」は、形式を問わずにさまざまなファイルに対応しているため、多様な形式のマルウェアを検知可能です。
「Deep Instinct」は、手ごろな価格設定も魅力です。詳細は以下よりご覧ください。
※Unit221B社調べ
まとめ
本記事では「二重脅迫型ランサムウェア」をテーマに、その概要や対策などを解説しました。
本記事のまとめ
- 二重脅迫型ランサムウェアとは、システムの暗号化を解除するのと引き換えに身代金を要求するだけではなく、「身代金の支払いに応じない場合は盗んだデータを公開する」とさらに脅迫する手口
- 警察庁が令和7年3月に公表した調査結果によれば、報告されたランサムウェア被害134件のうち、「二重恐喝型(二重脅迫型)」が111件と実に8割以上を占めていた
- ランサムウェア攻撃の手口には、二重脅迫型以外にも、「多重脅迫型ランサムウェア」や「ノーウェアランサム」などが存在する
- 近年、ランサムウェアが急増している要因の一つとして、「RaaS(Ransomware as a Service)」の台頭が挙げられる
- 二重脅迫型ランサムウェアには「内部ネットワークの監視・脅威検知システムの導入」「アクセス権限の最小化」「多要素認証の設定」「DLPの導入」「バックアップ管理の徹底」「高精度なアンチウイルスの導入」などの対策が有効
二重脅迫型ランサムウェアに対抗するためには、侵入を検知する仕組み、権限を制限する体制、認証を強化する手法、データを保護する技術など、複数の対策を組み合わせることが重要です。
また、高精度なアンチウイルスソフトを導入し、そもそもランサムウェアを侵入させない対策を強化することも有効です。
本記事で紹介した「LANSCOPEサイバープロテクション」のAIアンチウイルスは、攻撃者が作成したばかりのまだ使われていないマルウェアであっても、ファイルの特徴から判定し、高い検知率で企業をセキュリティリスクから守ります。
ランサムウェアをはじめとするサイバー脅威は、今後もますます高度化することが予想されます。
セキュリティ強化を目指す企業・組織の方は、ぜひ改めて自社のセキュリティ体制を見直して、高度化するサイバー脅威への最適な対策をご検討ください。
【完全保存版】ランサムウェア被害を防ぐ!
感染前後に行いたい32のアクションリスト
本資料では、ランサムウェアへの「感染を防ぐための予防策」から「感染後の初動対応」までをチェックリスト形式でまとめています。実践的な内容にしているため、緊急時対応の見直しにもぜひご活用ください。
おすすめ記事
