2026.06.26
人材教育
- キーワード
-
- コンプライアンス
- 情報セキュリティ
「ランサムウェア」という言葉をニュースで耳にし、「自社のセキュリティは本当に大丈夫だろうか」と危機感を強めている担当者の方も少なくありません。被害報告件数が高止まりしている昨今、システムの専門家ではない立場から、部下や現場にランサムウェアの脅威・対策について分かりやすく説明しなければならない場面も珍しくありません。
本記事は、自部署や全社のセキュリティリテラシー向上を任されているマネージャーや、セキュリティ研修を企画する人事・総務担当者の方へ向け、ランサムウェアの基本的な仕組みから、近年の被害実態、感染経路、企業として取り組みたい対策、感染が疑われたときの初動対応、そして従業員教育の進め方までを整理しています。自社の備えを検討したり、社内で説明したりする際の土台となる情報としてご活用ください。
ランサムウェアとは?企業が直面する脅威の全体像
「ランサムウェア」という言葉自体は広く知られるようになりましたが、近年は手口が変化し続けており、単なるコンピュータウイルスとは異なる性質を持つようになっています。まずは基本の仕組みと最近の動向、企業にとっての位置づけを確認しましょう。
ランサムウェアの基本的な仕組み
ランサムウェアは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。感染したパソコンやサーバー内のデータを暗号化して使用できない状態にしたうえで、復旧と引き換えに金銭を要求する不正プログラム(マルウェア)の一種を指します。
攻撃の流れは、ごく単純化すると「侵入→潜伏→データの窃取や暗号化→金銭の要求」という4段階に分けられるのが一般的です。
- 侵入:VPN機器や不審なメール等を足がかりに社内ネットワークへ侵入する。
- 潜伏:すぐには活動せず、管理者権限の奪取や重要データの探索を行う。
- 窃取・暗号化:機密データを外部へ盗み出し、同時に社内データを一斉に暗号化する。
- 要求:画面に脅迫文を表示し、暗号解除やデータ公開阻止の対価として金銭を要求する。
ただし、近年は侵入から金銭要求までの過程で行われる手口が高度化しており、単にデータを暗号化するだけにとどまらない攻撃が一般化しつつあります。
近年の手口の変化(二重恐喝・ノーウェアランサム)
高度化する代表的な手口のひとつが、「二重恐喝(ダブルエクストーション)」と呼ばれる手口です。これは、データの暗号化に加えて、暗号化前にデータを窃取し、「対価を支払わなければ窃取したデータを公開する」と要求するものです。
さらにその発展形として、以下のような多重恐喝の手口も確認されています。
●三重恐喝:データの公開をちらつかせるだけでなく、企業のWebサイトにDDoS攻撃(大量のアクセス負荷をかける攻撃)を仕掛けて業務を完全に麻痺させると脅す手口。
●四重恐喝:被害を受けた企業の顧客や株主、取引先等の利害関係者に直接連絡を入れ、「お前の個人情報が流出した」と暴露して外圧から追い詰める手口。
また、警察庁が注意喚起を行っている「ノーウェアランサム」と呼ばれる手口も無視できません。これはデータの暗号化こそ行わないものの、窃取した重要データの公開を盾に金銭を要求する手法です。厳密にはランサムウェア(データの暗号化を伴うマルウェア)そのものではなく、「ランサムウェアを使わない恐喝」に近いものですが、ランサムウェア被害のひとつとして位置付けられています。
これらの手口に共通するのは、「データが暗号化される」という従来のイメージだけでは捉えきれない、データの窃取を伴う攻撃も行われている点です。バックアップを取得していること自体は引き続き重要ですが、データの窃取を伴う手口の場合、バックアップを取得していても、情報漏えいリスクへの備えは別途検討する必要があると考えられます。従来の対策に加えて、どのような備えが必要なのかを考える視点が、現在の企業に求められています。
IPAが示す、企業にとっての脅威の位置づけ
IPA(独立行政法人情報処理推進機構)は、毎年「情報セキュリティ10大脅威」を公表しています。これは、前年に発生した情報セキュリティ事故や攻撃の状況等をもとに、情報セキュリティ分野の研究者や企業の実務担当者等、約250名から成る選考会の投票によって決定されるランキングです。
最新の「情報セキュリティ10大脅威 2026」[組織編]では、「ランサム攻撃による被害」が1位、「サプライチェーンや委託先を狙った攻撃」が2位と、2023年から4年連続で上位2項目の顔ぶれが変わっていません。企業にとって優先度の高い脅威であることが、ランキングの面でも継続的に示されているといえます。
特に2位の「サプライチェーンや委託先を狙った攻撃」は、自組織だけでなく取引先や委託先を含めた視点が必要であることを示唆しています。自社内でしっかり対策していても、取引先のセキュリティが弱い箇所が攻撃の足がかりになり得るという観点も併せて持っておくことが重要です。
企業を標的としたランサムウェア被害の実態
「自社は規模が小さいから狙われない」「自社の業種は標的にならない」といった油断は、現在の被害実態の前では通用しません。
万が一、自社がランサムウェアの攻撃を受けるとどうなるのか、どのような実務停止リスクが生じ、どれほどのコストを突きつけられるのか、最新のデータをもとに確認しておきましょう。
被害報告件数の推移と特徴
警察庁の公表データによると、ランサムウェアによる被害報告件数は依然として高い水準で推移しています。
企業規模別にみると、大企業は64件、中小企業は143件と報告されており、実に全体の6割以上を中小企業が占めているのが現状です。特に中小企業の被害件数は増加傾向にあり、もはや企業規模に関係なく「すべての組織が当事者である」といわざるを得ない状況にあります。
その背景として警察庁が指摘しているのが、「RaaS(Ransomware as a Service)」と呼ばれる構造です。RaaSとは「ランサムウェアの開発・運営を行う者が、攻撃の実行者にランサムウェアやそれに付随するツールを提供し、その見返りとして身代金の一部を受け取る」というビジネスモデルのひとつで、これにより、高度な技術的知識がなくても攻撃を行いやすくなる仕組みが整いつつあるといわれています。
復旧費用の「5割が1,000万円以上」という現実と実務停止リスク
非IT部門のマネージャーや人事・総務の担当者が最も懸念すべきは、感染後に「自分たちの実務がどう止まるか」という点です。ランサムウェアに感染すると、企業には具体的に次のような状況が生じるリスクがあります。
●社内システムが利用できなくなる
○受発注・出荷・請求等の業務が止まる
○顧客対応窓口や問い合わせ対応が機能しなくなる
●個人情報が流出する
○企業の社会的信用が低下する
○取引先への通知やお詫び対応等が必要になる
○取引停止・損害賠償請求につながる恐れがある
さらに、復旧の長期化による経済的損失の拡大も、警察庁の集計から示唆されています。令和7年の調査では、調査・復旧に1か月以上を要した組織(アンケート回答時点で「復旧中」だった組織を含む)は約5割となっていました。また、調査・復旧に1,000万円以上の費用を要した組織も5割を超えています。
被害状況の調査やシステムの再構築、セキュリティ強化等で相応のコストが発生する場合があり、さらにランサムウェア被害により業務が停止し、事業活動への影響が数週間〜数か月にわたることも珍しくないのが現状です。
バックアップが復元できないケースも
ランサムウェア対策のひとつとして、「バックアップさえあれば大丈夫」というイメージを持っている方もいるかもしれませんが、データの内容によっては慎重に確認が必要です。
警察庁が令和7年の被害企業に対して実施した調査では、ランサムウェア被害を受けた企業のうちバックアップを取得していた組織は116件中105件でした。一方で、そのバックアップから復元が可能だったのは20件にとどまったと報告されています。復元できなかった理由としては、バックアップ自体が暗号化されていたケースや、運用上の不備があったケースが挙げられています。
ただし、これは「バックアップ自体が無意味」ということではありません。バックアップは引き続き重要な対策のひとつですが、ランサムウェア攻撃ではバックアップデータも標的とされるケースがあるため、取得方法・保管方法を含めた見直しが推奨されます。
出典:令和7年におけるサイバー空間をめぐる脅威の情勢等について
出典:令和7年版 警察白書
ランサムウェアの被害事例
ランサムウェアの被害は、特定の業種や規模に限った話ではありません。ここでは公表されている情報をもとに、業務がどのように影響を受けるかをイメージしやすい事例を2つ、ピックアップしてご紹介します。
事例1:受発注・出荷システム停止により取引先まで影響が波及したケース
2025年、国内の大手企業がランサムウェア攻撃の被害を受け、受発注・出荷を担うシステムが停止する事案が発生しました。同社の公表情報によると、攻撃を受けた直後から商品の出荷が滞り、グループ会社や物流委託先を含む業務に広く影響が及びました。
この事例で注目したいのは、被害が自社の中だけにとどまらなかった点です。商品が届かなければ取引先の店舗運営にも支障が生じ、納期遅延に伴う問い合わせ対応も発生します。情報システム部門が直接担当する範囲を超えて、営業・カスタマーサポート・人事・総務・広報といった部門の業務にも影響が及び、復旧が長期化するほど影響が拡大していく様子が、こうした公表事例からうかがえます。
事例2:委託先が攻撃を受け、預けていた個人情報が漏えいしたケース
ランサムウェアの被害は、自社が直接攻撃された場合だけに生じるものではありません。2025年、システム開発を手がける企業がランサムウェア被害を受け、同社に業務を委託していた複数の企業が保有する個人情報が漏えいする事案が発生しました。同社の公表によると、漏えいした情報の一部とみられるデータがダークウェブ上で公開されている状況も確認され、業務を委託していた企業側も、順次、自社の情報が被害に遭ったことを公表することになりました。
この事例で押さえておきたいのは、「ランサムウェア対策は、自社のみならず関連するすべての企業に影響し得る」という点です。委託元の企業にとっては、自社が直接狙われたわけではないにも関わらず、委託先の被害によってお客さまや取引先への説明、問い合わせ対応、関係先への報告といった対応が必要になります。
ランサムウェアの主な感染経路
ランサムウェア対策は、まず「どこから侵入されるのか」を把握することが出発点になります。警察庁の公表データ等から確認できる、企業への主な感染経路は次の通りです。
VPN機器・リモートデスクトップ経由の侵入
VPNとは「Virtual Private Network」の略で、社外から社内ネットワークに安全にアクセスするための仕組みのことです。リモートデスクトップは、社外の端末から社内のパソコンを遠隔操作する仕組みを指します。いずれもテレワーク環境で利用される機会が多いことから、近年、ランサムウェアの主要な感染経路となっています。
例えば以下のような状況を放置することが、ランサムウェアの侵入を招く要因のひとつです。
●推測されやすいID・パスワードで運用している
●不要なアカウントが管理されないまま残っている
●セキュリティパッチ(修正プログラム)が未適用になっている
メールや不審なWebサイト経由の侵入
VPN機器やリモートデスクトップが侵入経路の中心となっている一方で、メールや不審なWebサイトを経由した感染も引き続き確認されています。具体的には、添付ファイルを開く、本文中のリンクをクリックする、といった操作をきっかけに感染に至るケースです。
業務メールを装った標的型メールが用いられることもあり、件名や本文だけでは見分けがつきにくい場合もあります。攻撃者は人の判断を悪用する形で侵入してくるため、技術的な対策と並んで、従業員一人ひとりのリテラシーが防御の一部を担うことになります。日常業務のなかに攻撃が紛れ込む可能性があるという前提で備えていくことが、現在の企業に求められている考え方です。
サプライチェーン経由の侵入
サプライチェーンとは、商品の企画・開発から、調達・製造・在庫管理・物流・販売までの一連のプロセスと、それに関わる組織群を指す用語です。攻撃者は、標的となる組織を直接狙うのではなく、サプライチェーンの中でセキュリティ対策が手薄な箇所を入口として、間接的・段階的に標的組織へ侵入しようとします。
「自社が直接攻撃されなくても、取引先や委託先のシステムを経由して侵入される可能性がある」という観点を頭に置いておくことが、対策の優先度を判断するうえで参考になります。
USBメモリ等の外部媒体経由の侵入
USBメモリ等の外部記録媒体を介した感染も、引き続き注意したい経路のひとつです。業務用の機器同士で媒体をやり取りするなかで感染が広がるケースや、私物の機器を業務に持ち込んだことが感染の起点になるケース等が考えられます。
外部記録媒体の取り扱いに関する社内ルールを整備し、想定外の挙動を生まないように運用しておくことが、対策の一部として有効に働きます。
企業が取り組むべき7つのランサムウェア対策
ランサムウェア対策は、技術・組織・人という3つの側面から複合的に考えることが推奨されています。「すべてを一度にやる」のではなく、感染経路と被害実態を踏まえて優先度をつけて取り組んでいくのが現実的です。ここでは、企業で特に取り組みたい対策を7つに整理して紹介します。
1.OS等のアップデートを徹底する
OS、業務ソフトウェア、VPN機器のファームウェア等を最新の状態に保つことは、ランサムウェア対策の基本のひとつです。公開された脆弱性を狙う攻撃が引き続き多いため、セキュリティパッチ(修正プログラム)の適用を運用ルールとして明文化しておくと、属人的な抜け漏れを抑えやすくなります。
現場負担を考慮し、適用タイミングや担当を含めて計画的・定期的に行う運用にしておくのが現実的です。
2.多要素認証を導入する
多要素認証(MFA:Multi-Factor Authentication)とは、IDとパスワードに加えて、別の要素(端末認証、生体認証、ワンタイムパスワード等)を組み合わせて本人確認を行う仕組みです。推測されにくいパスワードを設定することと併せて、認証情報そのものの強化も実施しましょう。
退職者のアカウントや、長く使われていないアカウントを残さない運用も、合わせて整理しておきたいポイントです。
3.検知・対応の仕組みを構築する
従来型のウイルス対策ソフトに加えて、不審な挙動を検知・対応する仕組みを活用するのも有効です。
代表的な機能カテゴリとして「EDR(Endpoint Detection and Response)」があります。EDRとは、エンドポイント(パソコンやサーバー)上の活動を継続的に監視し、異常な挙動を検知することで、侵入後の被害拡大を抑えることをめざすものです。
ただし「最新ツールを入れればランサムウェアを必ず防げる」というわけではありません。複数の手段を組み合わせる「多層防御」の考え方を取り入れることが大切です。
4.バックアップの保管方法を見直す
バックアップが復元できないトラブルを防ぐために参考になるのが、「3-2-1ルール」の考え方です。
3-2-1ルールとは、「データのコピーを3つ持ち(オリジナル+バックアップ2つ)、2種類の異なる媒体・場所に保管し、そのうちひとつはネットワークから切り離した(オフラインの)環境で保管する」というものです。現状のバックアップは活かしながら、保管方法に一工夫を加える、というイメージで取り組むのがよいでしょう。
5.情報セキュリティに関する社内ルールを整備する
技術的な対策と並んで、社内ルールの整備も組織防御の重要な要素です。整備しておきたい項目の例としては、端末の利用ルール(社外への持ち出し、画面ロック、無断インストールの禁止等)、外部記録媒体(USBメモリ等)の取り扱いルール、私物機器の業務利用に関するルール、テレワーク・在宅勤務時の運用ルール等が挙げられます。
その上で、ルールを「策定して終わり」にしない取り組みも必要です。業務環境や脅威動向の変化に合わせて、定期的な見直しを行うようにしましょう。
6.BCP(事業継続計画)を定める
BCP(Business Continuity Plan:事業継続計画)とは、災害やインシデント発生時にも事業を継続するための計画です。警察庁の集計によれば、令和6年、ランサムウェア被害の調査・復旧に「1,000万円以上」かつ「1か月以上」を要した組織のうち、サイバー攻撃を想定状況に含むBCPを策定済みだった組織は11.8%にとどまった一方、1週間未満で復旧した組織のうちでは、23.1%が同種のBCPを策定していたことが分かっています。
このデータは、BCP策定の有無と復旧スピードのあいだに何らかの関係性があり得ることを示唆するものといえます。ランサムウェア攻撃を念頭においた対応体制を事前に整備しておくことが、有事の対応を考えるうえで参考になるでしょう。
7.従業員一人ひとりのリテラシーを高める
ランサムウェアの感染経路の多くで「人の判断」が関わる以上、従業員のリテラシー向上は組織防御の重要な要素になります。従業員に伝えたい基本ルールには、例えば以下のようなものが挙げられます。
●心当たりのないメールの添付ファイルやリンクを安易に開かない
●業務で使用する機器やサービス以外を業務端末で利用しない
●パスワードを使い回さない
●不審な動作に気付いたらすぐに報告する
注意したいのは、「個人を責める」雰囲気にならないようにする点です。攻撃者の手口が高度化するなかで、誰もがうっかり引っかかってしまう可能性は否定できません。「全員でリテラシーを底上げする」という前向きな表現を心がけ、報告が萎縮しない環境を作ることが、組織として被害拡大を防ぐうえで重要な姿勢です。
【4ステップ】ランサムウェアに「感染したかもしれない」ときの初動対応
どれだけ対策を講じても、ランサムウェアへの感染を完全に防ぐことは難しいとされています。「感染したかもしれない」と気付いた瞬間に現場の従業員がパニックにならず、最低限の行動を取れることが、被害の最小化につながります。
初動対応は、主に次の4ステップで行うのがよいことをあらかじめ知っておきましょう。
初動対応の4ステップ:
- ネットワークから切り離す
- 自己判断で電源を切らない
- 社内の情報システム部門・責任者へ報告する
- 警察庁等の窓口へ相談する
ステップ1.ネットワークから切り離す
感染が疑われたときに最優先で行いたい行動は、感染が疑われる端末をネットワークから物理的・論理的に切り離すことです。有線LANの場合はLANケーブルを抜き、無線LAN(Wi-Fi)の場合はWi-Fi接続を切るか、機内モードに設定しましょう。
目的は、他のパソコンやサーバーへの感染拡大(横展開)を防ぐことです。
ステップ2.自己判断で電源を切らない
感染した端末の電源を切るかどうかは、状況によって判断が分かれる側面があります。
暗号化の進行を止める観点で「強制的に電源を切る」ことが推奨されるケースがある一方、政府広報オンライン等では、端末内に残っている復旧の手がかりや証拠を保持するため、自己判断で電源を落としたり、再起動したりしないことが推奨されています。
自己判断で電源を操作するのは避け、社内の情報システム部門やセキュリティ担当者の指示を仰ぐようにしてください。
ステップ3.社内の情報システム部門・責任者へ報告する
個人で対処しようとせず、速やかに情報システム部門やセキュリティ担当者へ連絡することが、被害拡大を防ぐ次の鍵になります。
「いつ・どの端末で発生したか」「どのような画面が表示されたか」「どのような操作の直後に発生したか」等の情報をまとめて共有しましょう。
緊急時でも必要な情報を落ち着いて報告できるよう、整理しておくべきポイントを事前に社内で共有しておくことも有効です。
ステップ4.警察庁等の窓口へ相談する
社内対応と並行して、社外の専門機関への相談・通報も検討します。まず確認したいのは次の4つです。
●警察庁都道府県警察本部「サイバー犯罪相談窓口」
●IPA「情報セキュリティ安心相談窓口」
●IPA「ランサムウェア対策特設ページ」
●JPCERT/CC「侵入型ランサムウェア攻撃を受けたら読むFAQ」
また、個人情報の漏えいが疑われる場合には、合わせて個人情報保護委員会への報告が必要となる場合があります。
ランサムウェア対策を実効性あるものにする従業員教育の進め方
技術的な対策と並んで、従業員教育の継続が組織防御の鍵を握ります。「研修をやって終わり」ではなく、定期的に見直す仕組みを作っておくことが、リテラシーを底上げし続けるうえで重要です。
ここでは最後に、教育プログラムを設計する基本方針と、継続させるための工夫を整理します。
教育プログラムを設計する際の基本方針
教育プログラムを設計する際は、「対象者」と「目的」を明確にすることから始めるのが進めやすい方法です。全従業員向けの基礎研修と、特定部門向けの追加研修を分けて設計するという考え方は、業務との接続を意識するうえで参考になります。
教育内容として扱いたいテーマには、ランサムウェアを含むサイバー攻撃の最新動向、不審メール・不審サイトの見分け方、業務端末・私物端末の取り扱いルール、パスワード管理の基本、インシデント発生時の連絡方法等があります。現場の業務状況を踏まえた、実践的なケースで設計することが、受講者の理解と行動変容につながりやすい設計の方向性といえるでしょう。
注意したいのは、「禁止事項を並べる」だけでは行動変容につながりにくいという点です。「なぜそうするのか」を理解できる構成にしておくと、状況が少し変わったときにも応用が利きます。
教育を継続させるためにできる工夫
教育を継続させるための工夫として、入社時等の研修だけで終わらせず、定期的な再研修や理解度確認の機会を設けることが挙げられます。役職や業務内容に応じて教育内容を分け、短時間で受講できる教材を活用することで業務への負荷を抑える、といった設計も、無理なく続けるための選択肢です。同時に、最新の脅威動向に合わせて教材内容を更新していくことも求められます。
こうした継続的な教育を実現する手段として、eラーニングを活用するという選択肢があります。時間や場所を問わず受講できる、全従業員に同じ内容を届けられる、受講状況や理解度を管理しやすい、教材の更新により最新動向に合わせた教育が可能になる、といった点が、企業の研修担当者の負担を抑える観点で挙げられる特長です。
「すべての企業に当てはまる最適解」というよりも、自社の規模・体制・対象者に応じて、複数の手段を組み合わせて検討するのが現実的なアプローチといえます。
「現場の報告遅れが被害の規模を大きく変える」という認識を持ち、継続的な教育を実施していきましょう。
まとめ
ランサムウェア被害を防ぐためには、OSのアップデート等の技術的対策に加えて、社内ルールの見直し等、組織的な対策も整備していくことが重要です。
そして、感染経路の多くで「人の判断」が関わる以上、従業員一人ひとりのリテラシー向上が、組織全体の防御につながります。「すべてを一度にやる」のではなく、自社の現状を踏まえて優先度をつけて取り組み、継続的な情報収集と従業員教育を続けていくことが、ランサムウェア対策の基盤になるでしょう。
万が一感染した場合に生じる巨額の事後処理費用や長期間の業務停止リスクを考慮すれば、未然に防ぐための教育環境を整えることは、企業にとって非常に費用対効果(ROI)の高い、合理的なリスクマネジメントといえます。
従業員のセキュリティリテラシーを継続的に底上げするためには、現場の負担を抑えつつ、定期的に学べる環境としてeラーニングの導入を検討するのもひとつの選択肢です。サイバー大学の「Cloud Campus コンテンツパック100」では、情報セキュリティの事故を防ぎ、企業や個人の資産を適切に守るための基本と対策について学べるコンテンツを配信しています。
低コストで厳選コンテンツ見放題!Cloud Campusコンテンツパック100

「知っておくべき情報セキュリティの基本と対策」では、インターネットや情報システムを活用するうえで押さえておきたいリスクの全体像から、具体的な備え方までを分かりやすく解説しています。全社的なセキュリティリテラシーの底上げを進めたい担当者の方は、ぜひご活用ください。
ニーズの高いコンテンツを厳選することで、業界最安値の1ID 年額999円(税抜)を実現しています。
サービスの詳細は、以下からご確認いただけます。
>>「Cloud Campusコンテンツパック100」をチェックする
サインイン