この記事は、サイバーセキュリティ基礎講座の第3回です。
前回は、【第2回】マルウェアとは何か|ウイルスとの違いと感染を防ぐ基本をわかりやすく解説で、悪意あるソフトウェアが端末やシステムに与える影響を整理しました。
今回は、その中でも特に被害が大きくなりやすいランサムウェアを扱います。
シリーズ全体は、【まとめ】サイバーセキュリティ基礎講座まとめ|攻撃の仕組みと防御の基本を体系的に学ぶからご覧ください。
「もし明日の朝、会社のパソコンを開いたときに、すべてのファイルが使えなくなっていたらどうなるでしょうか?」
- 顧客情報が開けない
- 予約システムが動かない
- 請求書が出せない
- 医療記録が確認できない
- 社内メールが使えない
- バックアップも壊されている
さらに、画面にはこう表示されます。
「元に戻したければ、身代金を支払え。」
これが、ランサムウェアの基本的な構図です。
ランサムウェアとは、マルウェアの一種です。
端末やサーバーに入り込み、ファイルやシステムを使えない状態にして、復旧と引き換えに金銭を要求します。
IPA「情報セキュリティ10大脅威 2026」では、組織向け脅威の1位に「ランサム攻撃による被害」が挙げられています。
つまり、ランサムウェアは一部の専門家だけが気にする問題ではなく、企業、自治体、医療、教育、取引先、そして私たちの生活にも関わる脅威なのです。(独立行政法人情報処理推進機構)
今回は、「ランサムウェアとは何か」を見ていきます。
「なぜデータが使えなくなるのか?」
「なぜ病院や企業の業務が止まるのか?」
「身代金を払えば解決するのか?」
「バックアップはなぜ重要なのか?」
こうした問いを、攻撃の具体的な手順ではなく、防御と被害を減らす視点から整理していきます。
第1章 ランサムウェアとは何か
ランサムウェアとは、データやシステムを使えない状態にして、復旧と引き換えに身代金を要求するマルウェアです。
英語の ransom は「身代金」という意味です。
つまり、ランサムウェアは、データやシステムを人質に取るような攻撃です。
典型的には、次のような流れで被害がw起きます。
端末やシステムに侵入する
↓
ファイルやシステムを使えなくする
↓
身代金を要求する
↓
支払わなければ復旧しないと脅す
↓
盗んだ情報を公開すると脅すこともある
ここで大切なのは、ランサムウェアが「ファイルを暗号化するだけ」の攻撃ではなくなっていることです。
近年は、ファイルを暗号化するだけでなく、先に情報を盗み出し、「支払わなければ情報を公開する」と脅すケースもあります。
これは、二重恐喝と呼ばれることがあります。
つまり、ランサムウェアの被害は、データが使えなくなるだけではありません。
- 情報漏洩
- 業務停止
- 信用低下
- 顧客や取引先への影響
- 復旧費用の増大
こうした問題にも広がります。
ランサムウェアは、データそのものだけでなく、組織の活動と信用を人質に取る攻撃なのです。
第2章 なぜデータが使えなくなるのか
ランサムウェアでよく使われるのが、暗号化です。
暗号化とは、本来は情報を守るための技術です。
たとえば、通信や保存データを第三者に読まれないようにするために使われます。
ですが、ランサムウェアでは、この技術が悪用されます。
あなたのファイルを、あなた自身が読めない形に変えてしまうのです。
たとえば、次のようなファイルが開けなくなる可能性があります。
- 業務資料
- 顧客情報
- 契約書
- 請求書
- 設計図
- 医療記録
- 写真
- バックアップデータ
- 共有フォルダ内のファイル
暗号化されたファイルは、見た目には残っていることがあります。
ただし、中身が読めません。
そのため、ファイルが消えたわけではないのに、実質的には使えない状態になります。
ここがランサムウェアの厄介なところです。
- 物理的にパソコンが壊れたわけではない
- ファイル名は見える
- データも存在しているように見える
- しかし、開けない
この状態になると、仕事やサービスが止まります。
データは「ある」だけでは意味がありません。
必要なときに、安全に使える状態でなければ、社会や仕事は動かないのです。
第3章 なぜ病院や企業、自治体まで止まるのか
ランサムウェアの被害で怖いのは、個人のパソコンだけで終わらないことです。
企業、病院、学校、自治体、取引先、委託先にまで影響することがあります。
なぜ、そこまで広がるのでしょうか?
理由は、現代の組織がデータとシステムで動いているからです。
- 予約システム
- 電子カルテ
- 会計システム
- 在庫管理
- メール
- 勤怠管理
- 生産管理
- 顧客管理
- 行政サービス
- 社内共有フォルダ
これらが使えなくなると、業務は一気に止まります。
- 病院であれば、診療や検査に影響するかもしれない
- 自治体であれば、住民サービスに影響するかもしれない
- 企業であれば、受発注、請求、出荷、顧客対応が止まるかもしれない
CISAのStopRansomwareページでも、ランサムウェアは業務プロセスに深刻な影響を与え、組織が運営やサービス提供に必要なデータを使えなくする可能性があると説明されています。(CISA)
つまり、ランサムウェアは「パソコンのトラブル」ではありません。
社会の動き方そのものを止める攻撃です。
- データが止まると、仕事が止まる
- 仕事が止まると、生活や社会サービスにも影響する
ここに、ランサムウェアが大きな問題として扱われる理由があるのです。
第4章 ランサムウェアはどこから入り込むのか
ランサムウェアも、突然どこからともなく現れるわけではありません。
多くの場合、入口があります。
代表的な入口は次のようなものです。
- フィッシングメール
- 不審な添付ファイル
- 怪しいリンク
- 盗まれたIDとパスワード
- 古いOSやアプリの弱点
- リモート接続の設定不備
- 取引先や委託先経由の侵入
ここで、第1回のフィッシング詐欺、第2回のマルウェアとつながります。
- フィッシングで認証情報が盗まれる
- マルウェアが端末に入り込む
- そこから組織内のシステムへ広がる
- 重要なファイルやサーバーが暗号化される
つまり、ランサムウェアは単独の事件ではなく、複数の弱点がつながって起きることがあります。
- 一通のメール
- 一つの使い回しパスワード
- 一つの未更新システム
- 一つの設定ミス
そこから大きな被害に広がることがあります。
ランサムウェア対策では、最後の暗号化だけを見るのでは不十分です。
- 入口を減らす
- 広がりにくくする
- 異常に早く気づく
- 止める
- 戻せるようにする
この全体を見る必要があるのです。
第5章 身代金を払えば解決するのか
ランサムウェアでよく出てくる疑問があります。
「身代金を払えば、データは戻るのでしょうか?」
これは、実はとても重い問いです。
ただし、少なくとも言えるのは、支払えば必ず解決するわけではないということです。
FBIは、ランサムウェア攻撃に対して身代金を支払うことを支持していません。
理由として、支払ってもデータが戻る保証はなく、さらに犯罪者に資金を与え、次の被害者を狙う動機にもなると説明しています。(Federal Bureau of Investigation)
支払っても、次の問題が残ることがあります。
- 復号できる保証がない
- 復旧に時間がかかる
- 盗まれた情報が消される保証がない
- 再び狙われる可能性がある
- 犯罪組織の資金源になる
- 制裁対象との取引リスクが生じる可能性がある
- 信用や説明責任の問題が残る
とはいえ、現実には、人命、医療、重要サービス、顧客影響、事業継続が絡む非常に難しい判断になることもあります。
そのため、この記事で簡単に「絶対にこうすべき」と断言することはしません。
ですが、少なくとも個人や組織が事前に考えるべきことは明確です。
支払うかどうかを被害発生後に初めて考えるのでは遅いのです。
- バックアップ
- 復旧計画
- 連絡体制
- 専門家への相談先
- 法務・経営判断
- 顧客や取引先への説明
こうした備えがあって初めて、選択肢を持てます。
ランサムウェア対策の本質は、脅されたときに支払うかどうかではありません。
脅されても止まりきらない仕組みを、事前に作ることなのです。
第6章 バックアップはなぜ重要なのか
ランサムウェア対策でよく言われるのが、バックアップです。
ですが、単にバックアップを取ればよいわけではありません。
重要なのは、使えるバックアップです。
ランサムウェアの被害では、バックアップも一緒に狙われることがあります。
- 同じネットワーク上にあるバックアップ
- 常時接続された外付けドライブ
- 権限が広すぎる共有フォルダ
- 復旧手順を試していないバックアップ
こうした状態では、いざというときに戻せないかもしれません。
大切なのは、次の考え方です。
- バックアップを取る
- バックアップを分けて保管する
- バックアップに簡単に書き換えられないようにする
- 復旧できるか試す
- 復旧にかかる時間を知る
- 重要なデータの優先順位を決める
No More Ransom Projectは、ランサムウェアで暗号化されたデータについて、場合によっては復号ツールで取り戻せる可能性がある一方、多くの場合はバックアップやセキュリティ対策がなければできることが限られると説明しています。(nomoreransom.org)
つまり、バックアップは「保管しているだけ」では不十分です。
- 戻せるか
- どれくらいで戻せるか
- どの業務から戻すか
- 誰が判断するか
ここまで含めて考える必要があります。
バックアップは、データのコピーではありません。
仕事と生活を戻すための仕組みなのです。
第7章 二重恐喝とは何か
最近のランサムウェアでは、暗号化だけでなく、情報を盗み出して脅すケースがあります。
これを、二重恐喝と呼ぶことがあります。
流れとしては、次のような形です。
組織内に侵入する
↓
重要な情報を盗み出す
↓
ファイルやシステムを暗号化する
↓
復旧のために身代金を要求する
↓
支払わなければ情報を公開すると脅す
この場合、バックアップがあっても問題は残ります。
データは戻せるかもしれません。
ですが、盗まれた情報の公開リスクは残ります。
- 顧客情報
- 従業員情報
- 契約情報
- 医療情報
- 設計情報
- 取引先情報
こうした情報が外部に出ると、被害は長く続きます。
技術的な復旧だけでは終わりません。
- 法的対応
- 顧客説明
- 取引先対応
- 広報対応
- 再発防止
- 信用回復
こうした対応も必要になります。
ランサムウェアは、暗号化の問題であると同時に、情報漏洩と信用の問題でもあるのです。
第8章 あなたが今日からできるランサムウェア対策
ランサムウェアというと、企業や専門家の話に見えるかもしれません。
ですが、あなたが今日からできる対策もあります。
個人でも、家庭でも、小さな組織でも、まずは基本を積み重ねることが大切です。
- OSやアプリを更新する
- 怪しいメールや添付ファイルを急いで開かない
- 重要なデータをバックアップする
- バックアップを端末と分けて保管する
- パスワードを使い回さない
- 多要素認証を設定する
- 公式サイトや公式アプリから確認する
- セキュリティ機能を有効にする
組織であれば、さらに次の備えが必要になります。
- 重要なデータとシステムを把握する
- 権限を必要最小限にする
- バックアップと復旧手順を確認する
- インシデント対応計画を作る
- 連絡先と判断者を決めておく
- 訓練を行う
- 委託先や取引先との連携を確認する
CISAのStopRansomware Guideは、ランサムウェアのリスク低減策として、インシデント対応計画やコミュニケーション計画を作り、維持し、定期的に訓練することを挙げています。(CISA)
ここで大切なのは、「感染しないこと」だけを目標にしないことです。
- 入れない
- 広げない
- 早く気づく
- 止める
- 戻せるようにする
ランサムウェア対策は、止める力と戻す力の両方を育てることなのです。
第9章 もし感染したかもしれないと思ったら
もし、ランサムウェアに感染したかもしれないと思ったら、焦って操作を続けないことが大切です。
- 画面に脅迫文が出る
- ファイルが急に開けなくなる
- 拡張子が変わる
- 共有フォルダのファイルが次々に使えなくなる
- 身代金を要求するメッセージが出る
こうした場合は、被害を広げない行動を優先します。
- ネットワークから切り離す
- 電源を切る前に組織のルールを確認する
- 会社や学校の端末なら情報システム担当へ連絡する
- 個人なら公式サポートや専門窓口に相談する
- 身代金要求の画面や情報を記録する
- 安全な端末から重要アカウントの確認を行う
- 金融機関やカード会社の不正利用を確認する
- バックアップの状態を確認する
注意したいのは、感染が疑われる端末で、むやみにログインやパスワード変更をしないことです。
入力内容を盗み見るマルウェアや、別の攻撃が同時に動いている可能性もあります。
また、怪しい「復旧ツール」や「サポート窓口」にも注意が必要です。
被害に遭った人の焦りを狙って、さらにだまそうとする手口もあります。
早く対応することは大切ですが、焦って闇雲に動くこととは違います。
ランサムウェア被害で大切なのは、落ち着いて、被害を広げず、信頼できる窓口につなぐことなのです。
第10章 ランサムウェアを見る5つの問い
ランサムウェアのニュースや注意喚起を見るときは、次の5つの問いを持つと整理しやすくなります。
「何が使えなくなっているのか?」
「どこから入り込んだ可能性があるのか?」
「被害はどこまで広がっているのか?」
「バックアップから戻せるのか?」
「誰に連絡し、どの順番で復旧するのか?」
たとえば、病院のシステムが止まったというニュースなら、こう考えます。
- 何が使えなくなっているのか?
- 電子カルテなのか
- 予約システムなのか
- 会計システムなのか
- 検査機器との連携なのか
- どこから入り込んだ可能性があるのか?
- メールなのか
- 盗まれた認証情報なのか
- 脆弱性なのか
- 委託先なのか
- 被害はどこまで広がっているのか?
- 院内だけなのか
- 患者情報に関わるのか
- 取引先や外部サービスにも影響するのか
- バックアップから戻せるのか?
- バックアップがあるのか
- バックアップも被害を受けているのか
- 復旧にどれくらい時間がかかるのか
- 誰に連絡し、どの順番で復旧するのか?
- 院内の担当者
- 専門業者
- 警察や関係機関
- 患者や取引先
こうして分けると、ランサムウェアは単なる「身代金要求」ではなく、組織全体の危機対応として見えてきます。
攻撃名ではなく、構造で見る。
これが、ランサムウェアを理解する第一歩なのです。
まとめ ランサムウェアとは、データと業務を人質に取る攻撃である
ランサムウェアとは、データやシステムを使えない状態にし、復旧と引き換えに身代金を要求するマルウェアです。
- ファイルを暗号化する
- システムを止める
- 情報を盗む
- 公開すると脅す
- 業務を止める
- 信用を傷つける
こうした形で、被害は広がります。
ランサムウェアが怖いのは、パソコンの中だけで終わらないことです。
- 病院
- 企業
- 自治体
- 学校
- 取引先
- 委託先
- 社会インフラ
こうした場所に影響すると、私たちの生活にもつながります。
そのため、ランサムウェア対策では、ひとつの対策だけに頼らないことが大切です。
- 入口を減らす
- 広がりにくくする
- 早く気づく
- 被害を止める
- バックアップから戻せるようにする
- 連絡体制を決めておく
- 復旧手順を試しておく
完璧を目指す必要はありません。
まずは、止まりにくく、戻りやすい仕組みを作ることです。
ランサムウェアは、怖がるだけでは防げません。
仕組みを知り、備えを積み重ねることで、被害を小さくすることができます。
次回は、「パスワードはなぜ破られるのか」を扱います。
「なぜ同じパスワードを使い回すと危険なのか?」
「短いパスワードは、なぜ破られやすいのか?」
「漏れたパスワードは、どのように悪用されるのか?」
「あなたは今日から、どんなパスワード管理をすればよいのか?」
こうした問いを、攻撃の構造と防御の視点から見ていきます。
次回の【第4回】パスワードはなぜ破られるのか|使い回し・漏洩・推測を防ぐ基本をわかりやすく解説
、シリーズ全体の【まとめ】サイバーセキュリティ基礎講座まとめ|攻撃の仕組みと防御の基本を体系的に学ぶもあわせてご覧ください。
ここまでお読みいただきありがとうございました。
Veritas Labでは、国際情勢・歴史・科学・心理学・サイバーセキュリティを横断しながら、複雑な世界の構造を読み解いています。
このブログの考え方や、初めての方におすすめの記事は「Veritas Labの歩き方」にまとめています。
もしご興味あればお読みいただけると嬉しいです。
あわせて読みたい本
この記事では、ランサムウェアを「データと業務を人質に取る攻撃」として整理しました。
さらに深く理解したい場合は、サイバーセキュリティ全体や組織リスク、事業継続を扱った入門書を読むと、ランサムウェアが単なる技術問題ではなく、経営、信用、社会インフラにも関わる問題として見えやすくなります。
ランサムウェア対策は、感染を防ぐだけではありません。
止める力と、戻す力をどう作るかが大切です。
※一部リンクにはアフィリエイトを利用しています。
あなたの負担が増えることはありません。
いただいた収益は、ブログ運営や書籍購入などの学習費に充てています。
- 淵上 真一『経営層のためのサイバーセキュリティ実践入門――生成AI、DX、コネクティビティ時代を勝ち抜くための必須スキル』
- 左門 至峰, 厚焼 サネ太『マンガ+図解で基礎がよくわかる 情報セキュリティの教科書』
参考情報
- IPA「情報セキュリティ10大脅威 2025」
- 組織向け脅威の1位として「ランサム攻撃による被害」が挙げられており、国内で重視すべき脅威を確認できます。(独立行政法人情報処理推進機構)
- CISA「StopRansomware Guide」
- ランサムウェアのリスクを下げるための予防、検知、対応、復旧の考え方を確認できます。(CISA)
- CISA「StopRansomware」
- ランサムウェアが業務プロセスやサービス提供に深刻な影響を与える可能性があることを確認できます。(CISA)
- FBI「Ransomware」
- 身代金を支払ってもデータが戻る保証はなく、犯罪者への資金提供や次の被害につながる可能性があるという注意点を確認できます。(Federal Bureau of Investigation)
- No More Ransom Project
- ランサムウェアで暗号化されたデータについて、復号ツールの有無や、バックアップの重要性を確認できます。(nomoreransom.org)
