ニュース

Com Net Work Com Net Work .inc

ランサムウェア対策は何をする?企業ネットワークの防御方法

ニュース

ランサムウェアから社内ネットワークを守る3つの防線

【この記事のポイント】

ランサムウェアは「ファイルを暗号化して身代金を要求する」だけでなく、最近はデータを抜き出してから暗号化し、復号キーと情報公開しない権利の二重恐喝を行うケースが増えています。

侵入経路としては、VPN・RDP・脆弱なサーバなどネットワーク上の弱点から入られるケースが大多数を占めています。

行動としては、「入口(VPN・RDP・メール)」「内部(ネットワーク分割・権限管理)」「出口と復旧(バックアップ・インシデント対応)」の3階層で対策を整理し、自社の現状をチェックリスト形式で洗い出すことが現実的な第一歩です。

今日のおさらい:要点3つ

  • ランサムウェアの侵入経路は脆弱性やネットワーク設定の甘さが大多数です。
  • 一度侵入されても広げさせない・止められる・復旧できる設計が重要です。
  • ネットワーク分割・多要素認証・特権ID管理・オフラインバックアップの4本柱が基本です。

この記事の結論

一言で言うと、「ランサムウェアから社内ネットワークを守るには、"侵入させない"より"侵入されても広げさせない・止められる・復旧できる"設計が重要であり、ネットワーク分割・多要素認証・特権ID管理・オフラインバックアップの4本柱を最低ラインとして整えるべき」です。

最も重要なのは、「VPNやRDPの公開を最小限にし、多要素認証と脆弱性管理を徹底すること」「社内LANをフラットにせず、重要サーバ・バックアップ・管理系ネットワークをVLANやセグメントで分離すること」「バックアップをオフライン・別権限で保護し、復旧手順を事前にテストしておくこと」です。

失敗しないためには、「最新のランサムウェア対策ツールを買うこと」よりも、「基本設定の不備や未パッチのVPN機器、共有パスワード、無制限の管理者権限」といった現実的な穴を潰すことを優先し、自社の規模・業種・リソースに合わせたロードマップを描くことが大切です。

メールの添付ファイルを開く指が、一瞬止まった朝のこと

何度目かの「重要なお知らせ.zip」に、さすがに違和感を覚えた

正直なところ、私がランサムウェアを「ニュースの中の話」ではなく「自分ごと」として意識したのは、ある月曜日の朝でした。いつも通りメールを整理していると、件名に「請求書送付の件(至急対応願います)」と書かれたメールが目に入りました。送り主は取引先っぽい会社名、本文にはそれらしい文章。そして添付ファイルは、「請求書_2025年○月分.zip」。

最初の数秒、私は何の疑いもなく添付ファイルの上にマウスカーソルを乗せていました。でも、そのときふと、「最近似たような件名のマルウェアメールが増えている」という記事を読んだことを思い出し、クリックする直前で指が止まりました。

そのまま、メールの送信元ドメインを確認したり、過去のやり取りを探したりするうちに、「うちと取引している会社名と微妙に違う」「同じメールが他のメンバーにも届いている」と判明し、最終的にセキュリティ担当に転送することになりました。

あの時、「ちょっと怪しいけど忙しいし」と、いつもの癖で添付を開いていたら。そんな「もしも」を想像した瞬間、背筋がすっと冷えたのを今でも覚えています。

実は、「ユーザー教育だけ」では防ぎきれない現実

その後、社内のセキュリティ勉強会で、各社のレポートをもとにランサムウェアの現状を聞く機会がありました。そこで示されたデータは、私のイメージと少し違っていました。

ランサムウェア被害の根本原因のトップは「脆弱性の悪用」であり、VPNやRDPなどネットワーク機器・公開サーバの弱点を突かれるケースが多い。メール経由も依然多いものの、「パッチ未適用」「初期パスワードのまま」「多要素認証なし」といった設定・運用の甘さが重なると、一気に侵入されやすくなる。3,000人のIT担当者を対象にした調査では、63%が「人とスキルの不足が被害要因だった」と回答している。

講師の方が言った、こんな一言が印象に残っています。

「実は、現場で被害調査をしていると、"ユーザーが添付を開いた"こと自体は最後の引き金に過ぎないことが多いんです。正直なところ、その前段階の"ネットワークと権限の設計"で負けているケースが目立ちます。」

そのとき、「ランサムウェア対策=怪しいメールを開かないよう啓蒙すること」と考えていた自分の認識が、ガラガラと崩れていく感覚がありました。

入口を固める ― VPN・RDP・メールの基本対策

VPN・RDPの公開は「最小限+多要素認証」が前提

各社のレポートでは、日本企業のランサムウェア被害の多くで、VPNやRDPなどリモートアクセスが弱点になっていたと指摘されています。

押さえておきたいポイント:

インターネットに直接公開されたVPN・RDPは、「ID/パスワード総当たり」「既知の脆弱性悪用」の格好の標的。パッチ未適用のVPN機器や、RDPをそのまま公開していた組織で被害が目立つ。「ID+パスワードのみ」の認証は、もはや十分とは言えず、多要素認証(MFA)が必須とされている。

正直なところ、「社内からしか使っていないから大丈夫」と思っているRDPサーバが、いつの間にかルータの設定変更や誤ったポートフォワードで外部に露出している例もあります。

対策の方向性としては:

  • 不要なRDP公開は閉じる。必要な場合もVPN経由に限定する。
  • VPN機器・リモートアクセス環境には、必ずMFAを導入。
  • VPN機器や公開サーバの脆弱性情報を定期的にチェックし、パッチを適用。

こうした「入口の基本」を押さえておくだけでも、かなりの攻撃は門前で弾けます。

メール対策 ― フィルタ+サンドボックス+訓練の三層構え

入口対策では、メールも依然として重要な経路です。勧められているのは、「技術+運用+教育」の三層構え:

技術的対策

  • メールゲートウェイでのウイルス・スパムフィルタ。
  • URLフィルタリング・添付ファイルのサンドボックス分析。

運用面のルール

  • 請求書・振込依頼など重要な依頼は、メール以外の手段で再確認するフロー。
  • 社外からのメールには自動で外部タグを付けるなど、ユーザーの注意喚起。

ユーザー教育

  • 年1回以上のeラーニングやフィッシング訓練。
  • 「怪しいメールを見つけたら、すぐに削除ではなく報告する」文化づくり。

実は、「社員が怪しいメールに気づいてくれていたのに、報告ルートがなくて放置された」というケースも多いと、現場のセキュリティコンサルが指摘しています。

対策1 ― VPN・RDPの公開範囲を最小化する

公開しているリモートアクセスの棚卸しを行い、必要なもの以外は閉じます。本当に必要な場合も、VPN経由でのみアクセス可能にし、インターネット直接公開は避けます。定期的に「今も必要か」を見直すことが重要です。

対策2 ― 多要素認証(MFA)を必須化する

VPN・RDP・メールなど外部公開されているシステムには、必ずMFAを導入します。ID+パスワードのみの認証では、総当たり攻撃やパスワード漏洩時に防ぎようがありません。

対策3 ― 脆弱性情報の定期チェックとパッチ適用

VPN機器・公開サーバ・OSについて、脆弱性情報を継続的に確認し、パッチを迅速に適用します。パッチ未適用が侵入経路になっているケースが多いため、パッチ管理プロセスの整備は必須です。

対策4 ― メール訓練と報告ルートの確立

フィッシング訓練を定期的に実施し、従業員のリテラシーを向上させます。同時に、怪しいメールを検出した際の報告ルートを明確にし、報告しやすい組織文化を作ります。

対策5 ― 重要メールの再確認プロセス

請求書や振込依頼など金銭に関わるメールについては、送信者に電話で確認するなど、メール以外の手段で本当かどうか再検証するプロセスを整備します。

内部で広げない ― ネットワーク分割と権限管理

フラットな社内LANは、「ランサムウェアにとっての高速道路」

被害事例の分析では、「一度侵入されると、フラットな社内LANを横移動して、ファイルサーバやバックアップ、ADサーバまで次々に暗号化された」というパターンが繰り返し報告されています。

対策のキーワードは「ネットワークセグメンテーション」です。

部門別・用途別にVLANやサブネットを分割:

  • 例:社内PC用、サーバ用、バックアップ用、管理用、来客用Wi-Fi等。

VLAN間通信やサブネット間ルーティングに、ファイアウォールやACLで制限をかける:

  • 例:来客用Wi-Fiから社内サーバへのアクセス禁止。

バックアップネットワークは基本的に一方向のみの通信にする。

これにより、仮に1台のPCが侵害されても、「同じセグメント内の範囲」に被害を閉じ込めやすくなります。

正直なところ、全部をゼロトラストにするのは現実的に時間がかかります。まずは、管理系ネットワーク(ADや管理コンソール)、バックアップネットワーク、来客用・IoT用ネットワークなど「分けやすいところ」からセグメント化を進めるのが現実的です。

特権ID・共有アカウント ― 「全員Domain Admin」は論外

各社のレポートでも、攻撃者が最初に狙うのは「管理者権限の奪取」だと指摘されています。

よくある落とし穴:

  • 社内でDomain Adminのパスワードを複数人が共有している。
  • 退職者のアカウントがそのまま管理者権限で残っている。
  • サービスアカウントに過剰な権限が与えられている。

こうした状態だと、一度1つのIDが乗っ取られた瞬間、ADやファイルサーバ、バックアップサーバなどが芋づる式に制御されます。

対策としては:

  • 特権ID管理(PAM)ツールの導入や、管理者権限の分割(ドメイン管理・サーバ管理・ネットワーク管理など)。
  • 管理者権限の常時付与を避け、必要時のみ昇格させる仕組み。
  • 退職・異動時の権限棚卸しと即時削除。

ランサムウェア対策ガイドでは、「管理者権限を最小限に抑えること」が中核項目の一つとして挙げられています。

EDR・ログ監視は「最後の砦」

エンドポイント側では、アンチウイルスに加え、挙動ベースで検知するEDR/XDRの導入が推奨されています。不審な暗号化動作や横移動の兆候を検知し、早期に端末を隔離。SIEM/SOCと組み合わせ、サーバやネットワーク機器のログと合わせて相関分析。

とはいえ、正直なところ、「EDRを入れたから大丈夫」と思い込み、ネットワークや権限の設計を後回しにするのは本末転倒です。セグメンテーション・権限の最小化・パッチ適用など土台があってこそ、EDRの価値が最大化されます。

出口と復旧 ― バックアップとインシデント対応計画

バックアップは「3-2-1ルール」と「隔離」が鍵

各社の対策ガイドラインは、バックアップについて共通して次のように推奨しています。

3-2-1ルール

  • データは3つ以上のコピーを持つ。
  • 2種類以上の異なる媒体に保存する(ディスク+クラウドなど)。
  • 1つはオフサイト(別拠点またはクラウド)に保管する。

オフライン/イミュータブルバックアップ

  • 通常のネットワークから切り離されたバックアップ(テープ・オフラインストレージなど)。
  • 一定期間変更・削除できない「イミュータブル(WORM)ストレージ」を活用。

実際の被害事例では、バックアップサーバが同じADドメインに参加しており、攻撃者に管理者権限を取られてバックアップまで暗号化された。バックアップ用NASが常時マウントされていて、ランサムウェアに一緒に暗号化されたといったケースが多数報告されています。

正直なところ、「バックアップがあるから大丈夫」と思っていても、「攻撃者から見て同じネットワーク内」に見えてしまう構成では意味が半減します。

インシデント対応計画 ― 「誰が」「何を」「どの順で」

各社のガイドでは、「感染が疑われたら/確認されたら」の対応フローが具体的に示されています。

例:

  • 感染疑い端末のネットワーク遮断(LANケーブル抜線・Wi-Fi OFF・スイッチポート遮断)。
  • 影響範囲の特定(同一セグメント・同一認証情報を使うシステム)。
  • ログの保全(サーバ・ファイアウォール・EDRなど)。
  • バックアップからの復旧可否の確認。
  • 必要に応じて警察や外部CSIRTへの相談。

これを紙だけでなく、システム担当・現場マネージャー・経営層で共有し、年1回程度の訓練をしておくことが推奨されています。

実は、「どこまでが情報システム部門の判断で止められるのか」「いつ経営層に報告するのか」が曖昧なまま本番インシデントを迎え、判断が遅れて被害を拡大させた例も少なくありません。

よくある質問

Q1. ランサムウェア対策で、まず最初に取り組むべきことは?

A1. VPN・RDPなど外部公開している入口の棚卸しと、多要素認証・パッチ適用の徹底です。入口が開きっぱなしの状態では、他の対策の効果が大きく下がります。

Q2. アンチウイルスが入っていれば十分ですか?

A2. いいえ。ランサムウェアは正規ツールを悪用したり、ゼロデイ脆弱性を突いたりするため、ネットワーク分割・権限管理・バックアップなど多層防御が必要です。

Q3. バックアップだけしっかりしておけば安心ですか?

A3. バックアップは重要ですが、同じネットワーク・同じ権限で保護されていると一緒に暗号化されるリスクがあります。オフラインやイミュータブルなバックアップも組み合わせてください。

Q4. 身代金を支払えば確実に復号できますか?

A4. 各社レポートでは、「支払っても完全に復旧できなかった」「データを公開された」事例が複数報告されています。支払いは推奨されず、自前のバックアップと復旧体制の整備が前提です。

Q5. 中小企業もランサムウェアの標的になりますか?

A5. はい。各社の統計では、中小企業も広く標的になっており、「規模が小さい=狙われない」は通用しません。むしろ防御が手薄な組織ほど狙われやすいとされています。

Q6. ゼロトラストやSASEを導入しないと守れませんか?

A6. それらは有効な選択肢ですが、必須ではありません。まずはパッチ管理・MFA・ネットワーク分割・バックアップなど基本対策を固め、その上で段階的にゼロトラストを検討するのが現実的です。

Q7. 社内教育はどれくらいの頻度で行うべきですか?

A7. 多くのガイドラインでは、少なくとも年1回以上のセキュリティ教育と、年数回のフィッシング訓練を推奨しています。新入社員向けには入社時教育も重要です。

まとめ

ランサムウェア対策は、「入口の防御(VPN・RDP・メール)」「内部での拡散防止(ネットワーク分割・権限管理)」「出口と復旧(オフラインバックアップ・対応計画)」の3階層で考えるのが現実的であり、どれか一つだけ強化しても十分とは言えません。

正直なところ、高度な製品を並べるより、「公開しているRDPを閉じる」「VPNにMFAを入れる」「バックアップを隔離する」「管理者権限を絞る」といった地道な改善の方が、被害リスクを大きく下げます。まずは現状の棚卸しから始めて、自社の現在の穴に優先順位をつけることが、後悔しないランサムウェア対策の第一歩です。


💻 IT・通信に関するご相談はこちら

「業務効率を改善したい」
「通信環境を見直したい」
「自社に合うシステムを導入したい」

そんなお悩みはありませんか?

コムネットワーク株式会社では、
お客様の課題に合わせた最適なIT・通信ソリューションをご提案します。

まずはお気軽にご相談ください。

📞 フリーダイヤル:0120-56-9665
📞 TEL:052-533-0331
📠 FAX:052-533-0306

👉 お問い合わせはこちら
https://comnetwork.co.jp/contact/

―――――――――――――――

👩‍💼 採用エントリーはこちら

新卒・中途ともに募集しています。
IT業界で活躍したい方はぜひご応募ください。

👉 エントリーはこちら
https://comnetwork.co.jp/recruit/

News 一覧