用語辞典

ランサムウェアとは — 仕組み・侵入経路・「払わない」ための防御

ランサムウェアは、ファイルを暗号化して身代金を要求するマルウェアです。最近は『データを盗んで暴露するぞ』と脅す二重恐喝が主流。仕組み・主な侵入経路（フィッシング・露出したVPN/RDP・未修正の脆弱性）と、身代金を払わずに復旧するための防御（オフラインバックアップ・MFA・パッチ・最小権限）を、攻撃手順を伏せて防御目線で解説します。

公開日 2026-06-12 更新日 2026-06-12 7分で読める

「ファイルを人質に取って身代金を要求する」——それがランサムウェアです。仕組みと、身代金を払わずに済ませるための防御を解説します（攻撃手順は載せません）。

仕組み：単なるウイルスではなく「ビジネスモデル」

古典的なランサムウェアは、端末やサーバの中のファイルを片っ端から暗号化し、「復号鍵が欲しければ払え」という脅迫文を残します。しかし現在の脅威の本質は、技術というより収益化の仕組みにあります。

二重恐喝

暗号化＋データ窃取の同時脅迫が主流。復号できても“暴露”は止まらない

RaaS

Ransomware-as-a-Service。攻撃ツールを“貸し出す”分業化で攻撃者の裾野が拡大

数時間〜数日

侵入から暗号化までが短時間化。気づいたときには手遅れになりやすい

**二重恐喝（ダブル・エクストーション）**では、攻撃者は暗号化する前にデータを盗み出します。だから被害者が自前のバックアップから復旧できても、「払わなければ盗んだデータを公開する」という第二の脅迫が残ります。「バックアップがあるから大丈夫」が通用しにくくなったのは、この変化が理由です。さらに RaaS（サービスとしてのランサムウェア） によって、ツールを作る者と実際に攻撃する者が分業化し、攻撃のハードルが大きく下がりました。

主な侵入経路（入口を塞ぐ）

ランサムウェアは魔法のように現れるのではなく、ほぼ決まった入口から入ります。入口を塞ぐことが第一の防御です。

① フィッシング

メールの添付・リンクから。最も多い入口。対策＝MFA・メール対策・教育

② 露出したVPN/RDP

弱い／MFAなしのリモート接続。対策＝MFA必須・露出を絞る

③ 未修正の脆弱性

公開ソフトの既知の穴。対策＝速やかなパッチ適用

ランサムウェアの三大侵入経路。いずれも『防御』で塞げる。

実例として、当サイトでも扱った MOVEit の大規模侵害（Cl0p）は、インターネットに面したソフトの未修正の脆弱性を突かれ、修正パッチが出る前に大量のデータを盗み出された二重恐喝型の事例です。「メールの添付ファイル」だけがランサムウェアの入口ではない、という良い教訓になります。

防御：払わずに戻せる状態をつくる

オフライン／改ざん不能なバックアップを持つ（最重要）

復旧の決め手はバックアップです。ただし常時オンラインで書き換え可能なバックアップは一緒に暗号化される恐れがあるため、オフライン、または改ざん不能（イミュータブル）なコピーを少なくとも1つ持つこと。そして定期的に“本当に戻せるか”復元テストをする。詳しくはバックアップと復旧の基本（3-2-1）を参照。

入口を塞ぐ：MFAとパッチ

最大の入口であるフィッシングと露出したリモート接続には多要素認証（MFA）を必須に。公開しているソフトは既知の脆弱性を速やかに修正する。これだけで侵入の多くを止められます（→ MFAの選び方）。

被害範囲を狭める：最小権限とネットワーク分離

万一入られても全社が暗号化されないように、権限は必要最小限に、ネットワークは分離（セグメント化）する。1台の侵害が全体に広がらない設計にすることで、被害を局所化できる。

検知と“感染した後”の手順を用意する

入口を固めても完全な予防は不可能。だから異常を早く検知し、感染時に誰が何をするかのインシデント対応手順（隔離・連絡・復旧の順番）を事前に決めておく。慌てて支払う前に、まず封じ込めと復元を試せる体制を作る。

当サイトの視点：支払いは“最後”ですらなく、備えが本命

身代金を払うべきか、という問いに当サイトの立場ははっきりしています——払わずに済む備えを先に作ること。支払っても復号できる保証はなく、二重恐喝なら暴露も止められず、犯罪資金を提供して「払う相手」として再標的化されるリスクまで負います。だから本命は事故対応ではなく事前準備です。オフラインバックアップで“戻せる”状態と、MFA・パッチで“入らせない”状態。この2つが揃っていれば、ランサムウェアは「壊滅的な事件」から「面倒だが復旧できる事故」へと格下げできます。

盲点：「バックアップがある＝安全」ではなくなった

かつてはバックアップさえあればランサムウェアは怖くありませんでした。しかし二重恐喝が主流になった今、バックアップで“戻せる”ことと、データを“盗ませない”ことは別問題です。攻撃者は暗号化の前にデータを抜き取り、「払わなければ公開する」と迫ります。だから防御は二段構え——**戻せる（バックアップ）**だけでなく、**そもそも入らせない・盗ませない（入口の防御）**まで含めて初めて完成します。「うちはバックアップがあるから」で止まらないことが、現代のランサムウェア対策の出発点です。

次に読む

入門：バックアップと復旧の基本（払わずに戻すための土台・3-2-1ルール）
入門：二要素認証（MFA）の選び方（最大の入口を塞ぐ）
用語：フィッシングとは（最大の侵入経路そのものを断つ）
事例：MOVEit 大規模侵害（Cl0p）（未修正の脆弱性を突いた二重恐喝の実例）

よくある質問

Qランサムウェアに感染したら身代金は払うべきですか？

原則として払わない方向で考えるべきです。払っても復号できる保証はなく、暴露を止められる保証もありません。さらに犯罪組織の資金になり、『払う相手』として再び狙われやすくなります（制裁対象への送金など法的リスクもあります）。多くの公的機関も支払いを推奨していません。だからこそ事前の備え——払わずに戻せるオフラインバックアップ——が決定的に重要です。

Qランサムウェアはどこから入ってきますか？

主な侵入口は3つです。(1) フィッシングのメール添付やリンク、(2) インターネットに露出した弱い／多要素認証(MFA)のないVPN・RDPなどのリモート接続、(3) 未修正の公開脆弱性（インターネットに面したソフトの既知の穴）。つまり『人の操作』『露出した入口』『パッチ未適用』が三大ルートで、いずれも防御で塞げます。

Qバックアップさえあれば安心ですか？

バックアップは最重要ですが、条件があります。常時オンラインで書き換え可能なバックアップは、本体ごと暗号化される恐れがあります。だから『オフライン／改ざん不能（イミュータブル）なコピーを少なくとも1つ』持ち、定期的に復元テストをすること。加えて、最近は暗号化前にデータを盗む二重恐喝が主流なので、バックアップで“戻せる”だけでなく、そもそも“盗ませない・入らせない”入口の防御も必要です。