ランサムウェア対策を感染経路別に実装する方法（防御と復旧の両方）

ランサムウェア対策は「感染を止める」だけでは不十分

ランサムウェアは、PCやサーバー内のファイルを暗号化して業務を止め、復号の引き換えに金銭を要求する攻撃です。ニュースで見かける「身代金を払った／払わない」の話題は氷山の一角で、現場では停止した業務の復旧、顧客対応、社内調査、再発防止まで含めて大きなコストが発生します。

重要なのは、「侵入させない」だけを目標にしないことです。現実には、メールの添付、VPN、リモートデスクトップ、サプライチェーンなど感染経路が多岐にわたり、どれか一つが穴になることがあります。そこで実務的には、次の2本柱で設計します。

• 防御（Prevention）：侵入・実行・横展開・権限奪取を起こさせない／起きても広げない
• 復旧（Recovery）：暗号化されても業務を止めない／止まっても最短で復帰する

本記事では、ITに詳しくない担当者でも実装・発注・運用の判断ができるよう、感染経路別に「具体的に何を入れるか」「どこから着手するか」を整理します。読み終える頃には、社内のセキュリティ会議やベンダー打ち合わせで、やるべきことを言語化できる状態を目指します。

まず全社で決める前提：守る対象と復旧目標（RTO/RPO）

感染経路別の対策に入る前に、全社で最低限の前提をそろえると、投資がブレません。ポイントは「何を守るか」と「どこまで復旧できれば許容か」です。ここが曖昧だと、製品選定が“高いツールを入れたら安心”になり、運用で崩れます。

守る対象（データと業務）を棚卸しする

ランサムウェア被害で致命傷になりやすいのは、次のような“止まると売上や信用に直結する”領域です。業務とデータをセットで棚卸しします。

• 会計・販売管理・在庫・生産など基幹システム
• 顧客情報、契約書、設計図、ソースコード、研究データ
• メール、ファイルサーバー、グループウェア
• Active Directoryなど認証基盤（ログインできない＝業務停止）

復旧目標（RTO/RPO）を決める

難しい用語に見えますが、考え方はシンプルです。

• RTO：停止してから「何時間で業務を再開したいか」
• RPO：「何時間（何日）分のデータ損失まで許容するか」

例えば「受注は当日中に再開したい（RTO=8時間）」なら、バックアップからの復元に半日以上かかる構成は不適です。逆に「数日止まってもよいが、データは失いたくない」ならバックアップ頻度と保全の強さを優先します。復旧目標が決まると、バックアップ方式・冗長化・予算の妥当性が説明できるようになります。

運用責任を明確にする（“誰が何を毎月やるか”）

セキュリティ対策は導入して終わりではありません。アップデート、アカウント棚卸し、ログ確認、バックアップの復元テストなど、月次で回す作業があります。情シスが少人数の企業ほど、運用の工数を前提にした設計（自動化・MDRの活用・クラウド利用）が現実的です。

感染経路：メール／フィッシング（添付・URL）への対策

ランサムウェアの入口として今も多いのがメールです。請求書、配送通知、見積依頼を装い、添付ファイルやリンクを踏ませます。最近は、取引先になりすました“自然な日本語”のメールも増え、担当者の注意だけで防ぐのは限界があります。ここは人に頼りすぎない多層防御にします。

防御：メール到達前・到達後の両方で止める

• メールセキュリティ（ゲートウェイ/クラウド）：添付の隔離、URLの書き換え、なりすまし判定、危険ドメイン遮断
• DMARC/DKIM/SPF：自社ドメインのなりすまし対策（取引先への被害も防ぐ）
• 添付の無害化・サンドボックス：Office/ZIP等を自動解析し、怪しい挙動なら隔離
• エンドポイント対策（EDR/次世代AV）：万一開いても実行・暗号化を検知して止める

現場でよくある失敗は「迷惑メールフィルタだけ」で安心してしまうことです。ランサムウェアは、到達してから実行までの間に“PowerShellで追加の不正プログラムを取ってくる”など段階を踏みます。端末側での振る舞い検知（EDR）があると、すり抜けても止められる確率が上がります。

運用：訓練よりも「通報と隔離」の仕組み

社員教育は必要ですが、最優先は“事故が起きた時に被害を最小化する導線”です。

• メールクライアントに「不審メール報告」ボタンを用意し、情シスに自動転送
• 報告されたメールを全社から一括検索・削除できる運用（Microsoft 365等の機能活用）
• 添付を開いた可能性があれば、対象PCをネットワークから隔離する手順を決めておく

“誰かが踏んだ”こと自体を責めると報告が遅れます。早期報告が評価される文化が、実は最大の防御です。

復旧：メール経由は横展開しやすい前提で設計する

メール起点の感染は、最初は1台のPCでも、認証情報が盗まれるとファイルサーバーや共有フォルダへ暗号化が広がります。復旧では、後述するバックアップに加え、共有フォルダの権限最小化（必要な人だけ）と、重要データの保存場所を集約しバックアップ対象を明確にすることが効きます。

感染経路：VPN／リモートデスクトップ（RDP）など外部公開の入口

テレワークや拠点間接続でVPN、運用作業でRDPを使う企業は多いですが、ここは攻撃者にとって「外から社内へ入る扉」です。パスワードの使い回しや古いVPN装置の脆弱性が狙われると、メールよりも一気に中枢へ侵入されるリスクがあります。

防御：外部公開を最小化し、認証を強くする

• MFA（多要素認証）：VPN、管理者アカウント、メール、クラウド全てで必須化
• VPN装置/リモートアクセスの最新化：保守切れ機器は入れ替え、ファーム更新を定期運用
• RDPは原則インターネット公開しない：やむを得ない場合でも許可IP制限＋MFA＋踏み台
• ゼロトラスト/条件付きアクセス：場所・端末状態・リスクに応じてアクセス可否を変える

特に「VPNに入れたら社内は自由」という構成は危険です。侵入された瞬間に横展開されます。VPN接続後も、サーバーや共有へのアクセスを最小限に（ネットワーク分離・権限分離）します。

運用：アカウントとログの見える化が勝負

侵入の初期兆候はログに出ます。ただし、ログが散らばっていると見逃します。

• 管理者アカウントの数を減らし、普段使いと分離（特権ID）
• 退職者・異動者のアカウント停止を即日で行うルール
• VPN/認証のログを集約し、深夜・海外IP・大量失敗などをアラート化

情シスが兼務で手が回らない場合、監視は外部のMDR/SOCに委託し、社内は一次対応（隔離・連絡）に集中する設計が現実的です。“検知→隔離→調査”を24時間で回せる体制が被害を分けます。

復旧：AD（認証基盤）を守ると復旧が速い

VPN侵入の延長でActive Directoryがやられると、PCにもサーバーにもログインできず復旧が遅れます。ADは「バックアップしているつもり」でも、復元手順が難しいことがあります。AD専用のバックアップと復旧演習（最低でも年1回）を計画に入れてください。

感染経路：ソフトウェアの脆弱性（パッチ未適用・古い機器）

攻撃者は、OSやミドルウェア、VPN装置、NAS、Webアプリなどの脆弱性を狙い、自動スキャンで侵入してきます。ここは「担当者の不注意」ではなく、更新されない資産があるだけで危険になります。特に中小企業では、サーバーが古いまま、NASが放置、機器の管理台帳がない、といった状況が起きがちです。

防御：資産管理→優先順位→パッチの定例化

• IT資産の棚卸し：サーバー/PC/NAS/ネットワーク機器/クラウドを一覧化（型番・OS・担当・設置場所）
• パッチ適用のルール化：毎月の定例日＋緊急脆弱性は臨時対応
• 公開サービスの最小化：外部に公開しているポートとURLを定期的に点検
• WAF/IPS：Webアプリや公開サーバーの攻撃を遮断（ただし万能ではない）

「更新で業務が止まるのが怖い」場合は、検証環境や段階適用を取り入れます。重要なのは“止めないために更新しない”ではなく、止めない更新の運用を作ることです。

運用：脆弱性管理は“担当者の記憶”から脱却する

Excel台帳でも構いませんが、理想はエンドポイント管理（MDM/EMM）や脆弱性スキャンの仕組みで、自動的に「更新が必要な端末」を出せる状態です。情シスが少人数でも、未適用端末を自動であぶり出すだけでリスクは大きく下がります。

復旧：復旧を邪魔する“古い機器”の扱いを決める

古いOSや保守切れのNASは、復旧局面でボトルネックになります。例えば「バックアップの保存先がNASで、そのNAS自体が暗号化されていた」では意味がありません。復旧設計では、バックアップ保存先を多重化し、保守可能な構成にします（後述の3-2-1を参照）。

感染後に差がつく復旧設計：バックアップと隔離（3-2-1、イミュータブル）

ランサムウェア対策で最も投資対効果が高いのが復旧設計です。なぜなら、侵入を100%防ぐのは難しくても、復元できれば「業務停止」を最小化できるからです。ただし、バックアップは「取っている」だけでは不十分で、“暗号化されないバックアップ”になっている必要があります。

基本：3-2-1ルールを現実的に実装する

• 3：データを3つ持つ（本番＋バックアップ2つ）
• 2：2種類の媒体/場所に分ける（例：クラウド＋オンプレ）
• 1：1つはオフライン/隔離（攻撃者が消せない場所）

例としては、「本番はファイルサーバー」「バックアップ1は別ストレージ」「バックアップ2はクラウドのオブジェクトストレージ」のように分けます。重要なのは、バックアップが本番と同じ認証基盤・同じ権限でつながっていないことです。攻撃者は管理者権限を奪うとバックアップから消しに来ます。

“消せないバックアップ”を作る（イミュータブル/世代管理）

可能であれば、一定期間変更・削除できないバックアップ（イミュータブル）を検討してください。少なくとも、世代管理（スナップショット）で「昨日の状態」に戻せる期間を確保します。暗号化に気づいた時点で、すでに数日分が巻き込まれているケースがあるためです。

復元テストが本体：年1回ではなく“重要系は四半期”も検討

バックアップは、復元できて初めて価値があります。実務で多い落とし穴は以下です。

• バックアップが成功表示でも、実は必要なデータが含まれていない
• 復元に必要なアカウント情報が分からない
• 復元手順が属人化し、担当不在で進まない

対策として、システムごとに「復元手順書（誰が・どこから・どの順で・何時間で）」を作り、机上訓練＋部分復元の定期テストを行います。RTO/RPOを決めた企業ほど、ここが改善ポイントになります。

復旧時の優先順位を決める（全部は同時に戻せない）

被害時は「まずメール」「次に認証」「その次に基幹」など、依存関係で復旧順が決まります。全社で合意しておくと、混乱が減ります。例えば、認証基盤が復旧しないと各サーバーへログインできません。復旧は“技術”だけでなく“段取り”です。

インシデント対応の実務：初動、封じ込め、再発防止

どれだけ対策しても、ゼロにはできません。被害の大小は初動で決まります。特にランサムウェアは、暗号化が始まってから対応しても遅いことがあります。現場で「何をしたらよいか分からない」状態を防ぐため、連絡網と判断基準を事前に決めるのが重要です。

初動の原則：止める・残す・広げない

• ネットワーク隔離：疑わしい端末をLAN/Wi-Fiから切り離す（電源断は状況次第）
• 証拠保全：ログ、メモリ、ディスクの状態を保つ（勝手に初期化しない）
• 権限停止：侵害の疑いがあるアカウントのパスワード変更・無効化、トークン失効
• 横展開防止：共有フォルダへのアクセス停止、サーバーの一時遮断

「とりあえず全端末のパスワードを変える」だけでは不十分な場合があります。攻撃者が既に管理者権限を持っていれば、変更が追いつかないこともあります。だからこそ隔離とログ確認を同時に進めます。

社内外の連絡：法務・広報・取引先対応を含める

データ漏えいの可能性がある場合、顧客・取引先への説明が必要になります。技術対応と並行して、法務・広報・経営の判断が走ります。事前に「誰が判断するか」「何を根拠にするか」を決め、連絡先をまとめておきます。技術者だけで抱え込まない体制が結果的に被害を抑えます。

再発防止：侵入経路を特定し、同じ穴を塞ぐ

復旧後に重要なのが再侵入の防止です。よくあるのは「復元したが、侵入経路を塞いでいないので再暗号化される」ケースです。メール、VPN、脆弱性、アカウント、端末管理を点検し、優先順位をつけて是正します。ここでEDRのログや認証ログがあると、調査が速く正確になります。

まとめ

ランサムウェア対策は「感染させない」だけではなく、感染しても業務を止めない復旧設計まで含めて初めて完成します。特に、感染経路別に考えると施策の抜け漏れが減り、投資判断もしやすくなります。

• メール起点は、人の注意だけに頼らず、メール防御＋端末検知＋通報導線を整える
• VPN/RDPはMFA必須、公開最小化、ログ監視と権限分離で横展開を防ぐ
• 脆弱性は資産棚卸しとパッチの定例運用で、“古いまま放置”をなくす
• 復旧は3-2-1、イミュータブル、復元テスト、復旧順序の合意が鍵
• 初動手順（隔離・証拠保全・連絡）を決めておくと被害を最小化できる

予算が確保できる企業ほど、ツール導入だけでなく「運用が回る設計」にすると効果が出ます。まずは、守る対象とRTO/RPOを定め、現状の感染経路（メール／リモートアクセス／脆弱性）とバックアップの状態を棚卸しし、優先順位をつけて改善していきましょう。