ランサムウェアに感染したら?企業のNG対応と感染経路・対処法
社内のファイルが突然開けなくなり、身代金を要求する画面が表示された。
そんな場面で、頭が真っ白になってしまう担当者の方も少なくないはずです。
ランサムウェアに感染したとき、慌てて再起動したり自己流で対処すると、かえって被害を広げてしまうことがあります。
この記事では、ランサムウェアに感染したときの画面や症状の見分け方、避けたいNG行動、感染後の初動対応から感染を防ぐ対策までを解説します。
ランサムウェアとは?企業が知っておくべき基礎知識
ランサムウェア(Ransomware)とは、会社のパソコンやサーバーに侵入し、保存されたデータを暗号化して使えない状態にしたうえで、元に戻すことと引き換えに「身代金(Ransom)」を要求する手口のマルウェアです。
「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、近年は暗号化だけでなく、盗んだデータの公開をちらつかせて脅す手口が主流になっています。
ランサムウェアの主な種類と手口
ランサムウェアにはいくつかのタイプがあり、年々手口が多様化しています。
| 類型 | 特徴 |
|---|---|
| 暗号化型 | データを暗号化して開けなくし、元に戻すことと引き換えに身代金を要求する |
| リークウェア/二重恐喝型 | データを暗号化したうえで、「払わなければ盗んだ情報を公開する」と脅す二段構えの手口 |
| ノーウェアランサム | 暗号化はせず、盗み出した情報の公開や悪用をちらつかせて対価を要求する |
| RaaSを利用する攻撃 | ランサムウェアが「サービス」として出回り、専門知識のない攻撃者でも実行できてしまう |
なかでも、暗号化と情報の暴露を組み合わせた二重恐喝が被害の大半を占めています。
中小企業の被害が約6割。ランサムウェアは他人事ではない
警視庁によると、令和7年のランサムウェア被害報告件数は226件で、令和4年以降、高い水準が続いています。
しかも、そのうち約6割にあたる143件は中小企業が占めています。
その深刻さは、専門機関の評価にも表れています。
IPA(情報処理推進機構)の「情報セキュリティ10大脅威」組織向けランキングで、ランサム攻撃による被害は2016年以降、11年連続11回目の選出となっています。
情報セキュリティ10大脅威2026
順位 脅威 1位 ランサム攻撃による被害 2位 サプライチェーンの弱点を悪用した攻撃 3位 AIの利用をめぐるサイバーリスク 4位 システムの脆弱性を悪用した攻撃 5位 機密情報を狙った標的型攻撃 6位 地政学的リスクに起因するサイバー攻撃(情報戦を含む) 7位 内部不正による情報漏えい等 8位 リモートワーク等の環境や仕組みを狙った攻撃 9位 DDoS攻撃(分散型サービス妨害攻撃) 10位 ビジネスメール詐欺
ランサムウェアに感染したら企業はどうなる?主な3つの影響
ランサムウェアの被害は、暗号化されたファイルが開けなくなるだけにとどまりません。
業務の停止から情報漏えい、多額の金銭的負担まで、影響は会社全体に及びます。
ここでは、感染した企業が直面する主な3つの影響を見ていきます。
① 業務が止まる(事業停止)
パソコンやサーバー、NASのデータが暗号化されると、次のような業務が一気に立ち行かなくなります。
業務がストップする例
- 見積書や請求書の発行
- 受発注のやり取り
- 生産・出荷の現場作業
記憶に新しいのが、2025年に大手通販会社がランサムウェア攻撃を受けた事例です。
受注や出荷に影響が出てECサービスが停止したうえ、顧客や取引先の情報が外部に流出する事態となり、復旧にも時間を要しました。
被害が業務の停止だけにとどまらないことがわかります。
② 情報が盗まれ、公開される(情報漏えい・二重恐喝)
近年の主流である二重恐喝では、暗号化の前に機密情報や個人情報が盗み出され、「身代金を払わなければ公開する」と脅されます。
盗み出される情報の例
- 顧客の個人情報
- 取引先とのやり取りや契約内容
- 社内の機密データ
こうした情報が流出すれば、取引先や顧客への賠償、信用の失墜につながり、被害は自社だけにとどまりません。
③ 多額の金銭的コストが発生する
かかるのは身代金だけではありません。対応にともなうコストは、次のように多岐にわたります。
発生するコストの例
- システムの復旧費用
- 原因調査や専門家への依頼費用
- 業務が止まっている間の逸失利益
- 再発防止策の導入費用
復旧が長引けば、その分コストはふくらみます。
1社あたりの被害額が数千万円規模にのぼるケースも珍しくなく、中小企業にとっては経営を揺るがしかねない負担です。
身代金を払っても、データが戻る保証はない
「お金を払えば元に戻るなら…」と考えてしまいそうですが、実際はそう簡単ではありません。
身代金を払ってもデータを復元できなかった企業は約6割にのぼり、支払ったあとも脅迫が続く恐れがあると報じられています。
こうした事態を避けるためにも、感染させない・被害を広げないための備えが大切です。
出典:日本経済新聞 ランサム攻撃、身代金払っても「データ復元できず」6割 脅迫続く恐れランサムウェアに感染したときに現れる症状と画面の特徴
ランサムウェアに感染すると、いくつかの特徴的なサインが現れます。
以下のような状態が見られたら、感染を疑ってください。
身代金要求メッセージが表示される
画面に突然、英語や片言の日本語で「データを暗号化した」「元に戻してほしければ金銭(多くは暗号資産)を支払え」といった脅迫メッセージが表示されます。
支払い期限のカウントダウンや、連絡用サイトへの誘導が記載されていることもあります。
これが、もっともわかりやすい感染のサインです。
こんなときは注意
- 見覚えのない警告画面が、消しても繰り返し表示される
- 「支払わないとデータを公開する」などと脅す文面がある
- 暗号資産での支払いや、特定サイトへのアクセスを求められる
ファイルの拡張子が変わり開けなくなる
これまで開けていた文書や画像が突然開けなくなり、ファイルの拡張子が見慣れない文字列(攻撃者ごとに異なる独自の拡張子)に書き換わります。
フォルダ内のファイルが一斉に同じ拡張子に変わっていたら、暗号化された可能性が高い状態です。
こんなときは注意
- いつものファイルがどれも開けない、内容が文字化けする
- ファイル名の末尾が見慣れない文字列に変わっている
- フォルダ内に「復元方法」などと書かれたテキストが置かれている
セキュリティソフトが無効化される
攻撃者は検知や駆除を逃れるため、ウイルス対策ソフトやセキュリティ機能を勝手に停止させることがあります。
設定を変えた覚えがないのにセキュリティソフトがオフになっていたら、感染を疑うべきサインです。
こんなときは注意
- 身に覚えがないのにウイルス対策ソフトが無効になっている
- セキュリティ機能の設定が勝手に変更されている
- パソコンの動作が急に重くなる、見慣れない通信が発生している
ランサムウェアに感染したら?
逆効果なNG行動と、まずとりたい行動
感染がわかった瞬間は、誰でも焦ってしまうものです。ただ、その焦りからとった行動が、被害をさらに広げてしまうこともあります。
ここでは、やりがちなNG行動と、まずとりたい行動を解説します。
「再起動すれば直るかも」→ 実際は逆効果
つい再起動したくなりますが、そのタイミングで暗号化が進んだり、調査の手がかり(ログなど)が消えてしまうことがあります。
まずはLANケーブルを抜く・Wi-Fiを切り、ネットワークから切り離しましょう。
まずやること
- 電源は切らず、LANケーブルを抜く
- Wi-Fiをオフにする
- その状態のまま、社内の情シスや担当者に報告する
「払えば早く解決するはず」→ 実際は戻る保証なし
身代金を払ってもデータが戻る保証はなく、「払う企業」として再び狙われるリスクもあります。
犯罪者の資金源にもなるため、自己判断で応じず、警察や専門家に相談しましょう。
まずやること
- 画面の指示や犯人との連絡に応じない
- 担当者だけで判断せず、社内で情報を共有する
- 警察やセキュリティの専門家に相談する
「初期化すればリセットできる」→ 実際は復旧できない可能性がある
自分で初期化すると、復号の可能性や、調査に必要な証拠まで失われてしまうおそれがあります。
被害範囲や侵入経路もわからなくなるため、迷う段階では手を加えないのが安全です。
まずやること
- 初期化やファイルの削除をしない
- 感染した端末はそのままの状態で保全する
- 専門家の指示を待ってから対応する
企業が狙われるランサムウェアの感染経路6つと対策
ランサムウェアの侵入口は、メールだけではありません。主な感染経路は、次の6つです。
なかでも、テレワークに使われるネットワーク機器を狙ったものが大半を占めています。
それぞれの経路について、手口と企業ができる対策をあわせて見ていきましょう。
① VPN機器の脆弱性
最も多い侵入経路です。
テレワーク用のVPN機器の未修正の脆弱性や、漏えいした認証情報・安易なパスワード・設定不備を悪用して侵入されます。
VPN機器とリモートデスクトップで侵入経路の大半を占めており、機器のアップデートを後回しにしていると、そこが入口になります。
対策:ファームウェアを常に最新に更新し、推測されにくいパスワードと多要素認証を設定する。使っていないVPN接続は無効にする。
出典:警視庁 令和7年におけるサイバー空間をめぐる脅威の情勢等について② リモートデスクトップ(RDP)
VPNと並んで侵入経路の大半を占めるのがリモートデスクトップ(手元のPCから社内のPCを遠隔操作する仕組み)です。
社外から社内PCを操作する仕組みが、認証の甘さや設定不備からそのまま侵入口になってしまいます。
対策:RDPを社外に直接公開せず、VPNや多要素認証を経由させる。不要なら無効化し、アクセスできる端末・利用者を限定する。
③ なりすましメール・不審な添付ファイル
取引先や実在の組織を装ったメールの添付ファイルやリンクから感染させる、古典的かつ根強い手口です。
業務に紛れて届くため、開いてしまいやすいのが危険な点です。
対策:差出人やリンク先を開く前に確認し、不審な添付は開かない。従業員へのセキュリティ教育と、メールのフィルタリングを併用する。
④ 改ざんされたWebサイト
攻撃者に改ざんされた正規サイトを閲覧しただけで、気づかぬうちに感染することがあります(ドライブバイダウンロード)。
対策:OSやブラウザ、各種ソフトを常に最新に保つ。不審なサイトへのアクセスを制限する仕組み(フィルタリング)を導入する。
⑤ USBメモリなど外部記憶媒体
感染したUSBメモリなどの外部媒体を社内のPCに接続することで、ウイルスが持ち込まれ、社内ネットワークに広がります。
対策:私物USBの接続を制限し、利用するUSBはウイルスチェックを徹底する。社内で利用ルールを定めておく。
⑥ ソフトウェア・ファイルのダウンロード
正規を装った偽のソフトや、不正なファイルのダウンロードを通じて感染するケースです。
記憶に新しいサプライチェーン型の攻撃のように、信頼している配布元が侵害されると、利用企業まで連鎖的に被害が及びます。
対策:ソフトやファイルは信頼できる正規の入手元からのみ取得する。利用中のサービスや取引先のセキュリティ状況にも目を配る。
ランサムウェアは多層防御で防ぐ。
ウイルス対策ソフトに足したい3つの対策
ウイルス対策ソフトは、すでに多くの企業が導入しているはずです。
ただ、今のランサムウェアは、それだけでは防ぎきれません。
ランサムウェアの多くは、パソコン1台ずつを守るウイルス対策ソフトよりも手前、つまりネットワークの入口(VPNやリモートデスクトップ)から侵入してきます。
さらに、入り込んだあとにセキュリティ機能を勝手に止めてから暗号化を始める手口も確認されています。
そこで重要になるのが「多層防御」です。
入口・端末・データといった異なる層に守りを重ね、どこか1つを突破されても次の層で食い止める、という考え方です。
【入口】UTMでネットワークの入口を守る
UTMは、社内とインターネットの境目に置く、複数のセキュリティ機能を1台に集約した機器です。
ランサムウェアの多くはVPNやリモートデスクトップといった「入口」から侵入するため、その入口で不正な通信をまとめて遮断できるUTMは効果が期待できます。
こんな企業は導入を検討したい
- VPNやリモートデスクトップを使っている
- 専任のセキュリティ担当者がいない
- 複数のセキュリティ対策を別々に管理していて手間に感じている
- 初期費用を抑えて対策を始めたい
UTMが備える主な機能
機能 役割 ファイアウォール 外部からの不正アクセスを遮断する アンチウイルス ウイルスやマルウェアを検知・除去する アンチスパム 迷惑メールやフィッシングメールを検知・遮断する Webフィルタリング 危険なサイトへのアクセスを防ぐ 不正侵入検知 不審な通信を監視し、攻撃を検知・遮断する アプリケーション制御 危険なアプリや禁止されたアプリの通信を遮断する
\定番のUTM製品が初期費用0円/
【端末】EDRで侵入にいち早く気づく
EDR(Endpoint Detection and Response)は、パソコンやサーバーなどの「端末」を見張るセキュリティの仕組みです。
端末の不審な動きを監視し、万一侵入されても素早く気づいて対応できます。
ウイルス対策ソフトが「侵入を防ぐ」役割なのに対して、EDRは「防ぎきれなかったときに、被害を最小限に抑える」役割を担います。
こんな企業は導入を検討したい
- 「防ぐ」だけでなく「侵入された後」の備えもしたい
- 取引先から高いセキュリティ体制を求められている
- 万一の際、何が起きたかを記録・把握できるようにしたい
- 顧客情報など、漏えいすると影響が大きいデータを扱っている
【データ】バックアップで、暗号化されても元に戻す
大事なデータを別の場所にコピーしておけば、もし暗号化されても元の状態に戻せる可能性が高まります。
ただし、社内ネットワークにつないだままだと、バックアップごと暗号化されることもあります。
普段はネットワークから切り離して(オフラインで)保管しておくと安心です。
こんな企業は見直しておきたい
- 身代金を払わずに復旧できる体制をつくりたい
- 業務が止まる時間を少しでも短くしたい
- 重要なデータ(顧客情報・図面・帳票など)を扱っている
- 今のバックアップがネットにつながったままになっている
現地調査・お見積り無料
ランサムウェア対策におすすめ。初期費用0円のUTMレンタル
ランサムウェアの多くは、VPNやリモートデスクトップといった「入口」から入ってきます。
だからこそ、その入口をまとめて守るUTMは、まず最初に手をつけたい対策です。
トリニティーのUTMレンタルなら、サクサやCheck Pointといった定番のUTMを、初期費用0円・月額費用のみで導入いただけます。
「ITにくわしい人が社内にいない」という企業でも、選び方から運用まで、わかりやすくサポートします。
ご希望に応じて、ESETやウィズセキュアといったパソコン端末向けのエンドポイントセキュリティもご案内できます。
導入の流れや費用は、お気軽にご相談ください。
\UTMレンタルのメリット/
初期費用0円・月々定額で始めやすい
まとまった初期費用が不要で、毎月定額のみ。
「まずは無理なく導入したい」という中小企業や、はじめての担当者にも選ばれています。
ひとり情シス・兼任でも安心のサポート
設置から設定、導入後のトラブル対応まで専門スタッフにおまかせ。
「ITに詳しい担当者がいない」「他業務と兼任」という方にも、分かりやすくご提案・サポートします。
物理セキュリティもまとめて相談できる
防犯カメラや入退室管理システムといった物理的な対策にも対応。
会社を守るセキュリティを一社にまとめて相談できるのが、私たちの強みです。
現地調査・お見積り無料
よくある質問
感染時の対応から日頃の備えまで、企業が抱きやすい疑問にお答えします。
Q. ランサムウェアに感染したら、まず何をすればいい?
すぐに感染端末をネットワークから切り離してください(LANケーブルを抜く、Wi-Fiを切る)。
被害の拡大を防げます。再起動はせず、社内の責任者や専門業者、警察のサイバー窓口に相談しましょう。
Q. 身代金は払うべき?払えばデータは戻る?
支払いは推奨されません。払ってもデータが戻る保証はなく、再び狙われるリスクもあります。
まずはバックアップからの復旧や、専門業者への相談を検討してください。
Q. ランサムウェアに感染したらやってはいけないことは?
「再起動・電源オフ」「身代金の支払い」「自己流での初期化」の3つです。
いずれも被害を広げたり、復旧を難しくしたりするおそれがあります。
Q. ランサムウェアは中小企業も狙われる?
はい。被害の多くは中小企業が占めています。
対策が手薄になりやすく、取引先を経由して大手が狙われることもあるため、規模を問わず対策が必要です。
まとめ 企業が大きな影響を受ける前に、ランサムウェア対策を
この記事では、ランサムウェアに感染したら企業に何が起きるのか、その対処法と感染を防ぐ対策まで解説しました。
この記事のおさらい
- ランサムウェアに感染すると、業務停止・情報漏えい・多額の金銭的被害につながる
- 感染したら、まず端末をネットワークから切り離し、再起動せずに専門家へ相談する
- 感染経路の大半はVPNやリモートデスクトップなど「ネットワークの入口」
- ウイルス対策ソフトだけでは防ぎきれず、入口・端末・データを守る「多層防御」が必要
- 被害の多くは中小企業。規模を問わず対策が求められる
ランサムウェア対策は、会社の規模を問わず欠かせないものになっています。
完璧な対策は難しくても、被害の入口になりやすいネットワークの守りから一歩ずつ進めることが、事業を守る近道です。
トリニティーでは現在の対策状況をうかがったうえで、最適なプランをご提案しています。
UTMレンタルは初期費用0円から始められ、設定もおまかせいただけます。お気軽にご相談ください。
現地調査・お見積り無料
注目キーワード
