サーバーのランサムウェア対策｜感染経路ごとの予防策と発生時の対応フロー

企業の事業継続を脅かすランサムウェア攻撃から、中核資産であるサーバーを守ることは経営上の重要課題です。万が一サーバーが攻撃を受ければ、事業停止や情報漏洩といった深刻な事態に陥りかねません。このような事態を防ぎ、有事にも迅速に対応するためには、攻撃手口を理解し、技術と組織の両面から対策を講じることが不可欠です。この記事では、サーバーをランサムウェアの脅威から保護するための感染経路、予防策、そして感染発生後の対応フローまでを網羅的に解説します。

なぜ企業のサーバーが狙われるのか

事業活動の中核データが集中しているため

企業のサーバーがサイバー攻撃の標的となる最大の理由は、そこに事業活動の根幹をなす機密情報や顧客データが集中管理されているためです。攻撃者の多くは金銭的利益の最大化を狙っており、価値の高い情報が効率的に窃取できるサーバーを執拗に攻撃します。サーバーには、取引先の機密情報から従業員の個人情報まで、組織の存続に直結する重要な資産が保管されています。これらのデータが暗号化されたり外部に漏洩したりすれば、企業は事業継続のために身代金の要求に応じざるを得ない状況に追い込まれるおそれがあります。そのため、攻撃者にとって最も費用対効果が高い攻撃対象として、中核データが集まるサーバーが狙われます。

攻撃成功時の事業への影響が大きいため

サーバーへの攻撃が成功した場合、事業活動全体が停止するなど、その影響が計り知れないほど大きくなることも、サーバーが狙われる理由の一つです。サーバーは社内の様々なシステムや端末と連携して稼働しているため、システムの中枢が機能不全に陥ると、組織全体の業務が連鎖的にストップします。製造業における生産ラインの停止や、医療機関における電子カルテの閲覧不能など、事業継続そのものが不可能になる事態も発生しかねません。さらに、システムの復旧には多大な時間と費用がかかるだけでなく、取引先を巻き込んだサプライチェーン全体へ被害が波及するおそれもあります。攻撃成功時に与える致命的なダメージが、攻撃者にとって有利な交渉材料となるため、サーバーは主要な標的となります。

サーバーへの主要な感染経路

VPN機器の脆弱性を悪用した侵入

ランサムウェアの最も主要な感染経路は、VPN（仮想専用線）機器の脆弱性を悪用した社内ネットワークへの侵入です。テレワークの普及に伴いVPNの導入が急増しましたが、機器を動かすソフトウェア（ファームウェア）の更新が適用されず、セキュリティ上の欠陥が放置されているケースが後を絶ちません。警察庁の統計でも、多くのランサムウェア被害がVPN経由であると報告されています。攻撃者はインターネット上で脆弱なVPN機器を探索し、システムの欠陥を突いて侵入し、最終的にネットワーク全体へランサムウェアを拡散させます。利便性を高めるためのVPN機器が、アップデート不足という管理の隙を突かれ、攻撃者の格好の侵入口となっています。

リモートデスクトップの認証情報突破

外部から社内のコンピューターを遠隔操作するリモートデスクトップ機能も、主要な侵入経路として悪用されています。IDとパスワードによる認証情報が脆弱であったり、初期設定のままインターネットに公開されていたりすると、攻撃者による不正ログインを容易に許してしまいます。攻撃者は、パスワードを機械的に試す総当たり攻撃（ブルートフォース攻撃）などを駆使して認証を突破します。推測されやすいパスワードや、複数のサービスでのパスワードの使い回しは、極めて危険です。一度侵入を許すと、社内のPCを直接操作されるため、セキュリティソフトの無効化やランサムウェアの設置を自由に行われてしまいます。

不正なメールからの内部感染拡大

業務連絡などを装った不正なメールを従業員に開封させ、社内ネットワーク全体へ感染を広げる手口も依然として大きな脅威です。攻撃者は実在する取引先や公的機関を巧妙に装うため、受信者が見抜くことは困難です。請求書や業務連絡を装ったメールの添付ファイルを開いたり、本文中のURLをクリックしたりすることで、端末がマルウェアに感染します。その後、感染した端末を踏み台として社内ネットワークを探索され、最終的に重要なデータを保管するサーバーへとランサムウェアの感染が横展開（ラテラルムーブメント）していきます。従業員の心理的な隙を突くこの攻撃は、技術的な対策だけでは防ぎきれない強力な侵入経路です。

外部公開サーバーの脆弱性を突く攻撃

企業のIT資産管理が行き届いていない外部公開サーバーの脆弱性を突かれ、そこからランサムウェアに感染するケースも増加しています。企業が把握していない古いテスト用サーバーや、関連会社が独自に運用するウェブサーバーなどは、セキュリティ対策が手薄になりがちで、攻撃者の標的となります。攻撃者は常にインターネット上を探索し、更新プログラムが適用されずに放置されたサーバーを探し出します。システムの欠陥を悪用してサーバーを乗っ取った後、そこを足がかりに企業の中心的なネットワークへと侵入し、広範囲にわたってデータを暗号化します。自社のIT資産を正確に把握できていないという管理上の死角が、重大なセキュリティリスクとなります。

感染を防ぐための技術的予防策

脆弱性管理とアップデートの徹底

ランサムウェア攻撃を防ぐ最も基本的かつ重要な対策は、脆弱性管理とシステムのアップデートを徹底することです。攻撃の大半は、修正プログラム（パッチ）が提供されているにもかかわらず、放置されているシステムの欠陥を狙って実行されます。企業は自社で利用するすべてのIT資産を正確に把握し、脆弱性情報が公開された際には速やかにパッチを適用する体制を整える必要があります。特に外部と接続するVPN機器などのアップデートは最優先で実施すべきです。手動での更新は適用漏れが生じやすいため、管理ツールを導入して自動化を図ることも有効です。システムの弱点を放置せず、常に最新の状態を維持することが、攻撃者に侵入の隙を与えないための基盤となります。

多要素認証など認証情報の強化

不正アクセスを防ぐには、多要素認証（MFA）の導入による認証情報の強化が不可欠です。パスワードのような知識情報だけに頼る認証は、攻撃によって突破される危険性が常にあります。多要素認証は、パスワードに加えて、スマートフォンに届くワンタイムコード（所持情報）や指紋認証（生体情報）などを組み合わせることで、本人確認を厳格化する仕組みです。これにより、仮にパスワードが漏洩しても、攻撃者は追加の認証要素を持たないため不正ログインを防ぐことができます。リモートデスクトップやVPN接続、クラウドサービスの管理者アカウントなど、外部からアクセス可能なすべての入り口に多要素認証を適用することが強く推奨されます。

アクセス権限の最小化とネットワーク監視

万が一ネットワークへの侵入を許した場合でも被害を最小限に抑えるため、アクセス権限の最小化とネットワークの継続的な監視が重要です。権限が制限されていれば、攻撃者が重要なデータへ到達するのを遅らせることができ、その間に監視システムで異常を検知して対処できます。業務に必要な最低限のシステムやデータにのみアクセスを許可する「権限最小化の原則」を徹底します。同時に、ネットワーク内部の通信を監視する仕組みを導入し、不審なプログラムの実行やデータの大量送信といった異常な振る舞いを24時間体制で検知します。権限管理で攻撃者の横展開を阻み、監視によって迅速な初動対応につなげることが、システムの堅牢性を高める鍵です。

「3-2-1ルール」に基づくバックアップ戦略

データが暗号化された場合に備え、国際的な指標である「3-2-1ルール」に基づいたバックアップ戦略を構築することが必須です。攻撃者は本番データだけでなくバックアップデータも破壊しようとするため、単一のバックアップでは不十分です。

現在ではこのルールをさらに発展させ、ネットワークから完全に切り離されたオフライン環境や、一度書き込むと変更・削除ができないイミュータブル（不変）ストレージに保管することが推奨されます。これにより、攻撃者にシステムを乗っ取られても、隔離されたバックアップデータだけは保護されます。これは事業継続のための最後の砦となります。

バックアップからの復旧テストの定期的な実施

バックアップデータを取得するだけでなく、定期的に復旧テストを実施することが極めて重要です。いざという時に「バックアップデータが破損していた」「復旧手順が確立されておらず、想定通りにシステムを戻せない」といった事態が発生するおそれがあるためです。本番環境とは別の検証環境を用意し、保存したバックアップからシステムが正常に起動し、データに矛盾がないかを確認します。また、復旧にかかる時間を計測し、事業継続計画で定めた目標復旧時間内に業務を再開できるかを検証します。定期的な訓練を通じて初めて、バックアップは有事に機能する確実な復旧手段となります。

組織として取り組むべき予防策

従業員へのセキュリティ教育と訓練

組織をサイバー攻撃から守るには、従業員一人ひとりのセキュリティ意識を向上させる教育と訓練が不可欠です。技術的な対策をどれほど強化しても、従業員の不注意や知識不足が最大の侵入経路となり得るからです。定期的な研修を通じて、最新の攻撃手口や不審なメールの見分け方、安全なパスワード管理といった知識を周知します。さらに、実際の攻撃を模した標的型メール訓練を実施し、実践的な対応能力を養います。万が一、不審なメールを開いてしまった場合に、隠さずに速やかに報告できる企業文化を醸成することも重要です。組織全体で高い防衛意識を共有することが、最も効果的な予防策の一つです。

インシデント対応体制の整備

ランサムウェアに感染した際の被害拡大を抑え、迅速な復旧を図るには、インシデント対応体制を平時から整備しておくことが求められます。攻撃を受けた混乱状態の中では、誰が何をすべきか明確でなければ、対応が後手に回り被害が深刻化するからです。社内にCSIRT（シーサート）のような専門チームを設置し、経営層、法務、広報など関連部署との連携体制を構築します。異常検知からシステム復旧までの一連の対応手順を文書化し、ランサムウェア感染を想定した机上演習を定期的に行い、各担当者が自身の役割を的確に遂行できるように訓練を重ねます。

事業継続計画（BCP）の策定と見直し

システムが停止する事態を想定し、サイバー攻撃に特化した事業継続計画（BCP）を策定し、定期的に見直すことが重要です。自然災害を前提とした従来のBCPでは、データが暗号化されネットワークが使えなくなるというサイバー攻撃特有の事態に対応できません。主要システムが利用不能になった場合に、代替手段で業務を継続する手順を明確化します。また、どのシステムを優先的に復旧させるか、システム停止が許容される最大時間はどれくらいかを事前に定めておくことで、有事の際の判断を円滑にします。サイバー攻撃を重大な経営リスクと捉え、BCPに組み込むことが組織の存続基盤を強固にします。

サイバー保険の活用と限界の理解

ランサムウェア被害による経済的損失に備えるため、サイバー保険の活用は有効ですが、その補償の限界を正しく理解しておく必要があります。サイバー保険は、インシデント原因の調査費用、システムの復旧費用、顧客への対応費用などを補償し、事故後の財務的負担を軽減します。しかし、多くのサイバー保険契約において、攻撃者に支払う身代金そのものは補償の対象外となるのが一般的です。また、基本的なセキュリティ対策を怠っていた場合には保険金が支払われない免責事項もあります。サイバー保険はあくまで自社の対策を補完する最後の経済的な砦と位置づけ、その適用範囲を正確に把握した上で活用することが求められます。

感染発生時の対応フロー

初動：被害拡大を防ぐネットワーク隔離

ランサムウェアの感染が疑われる場合、最初に行うべき最も重要な初動対応は、感染した端末を速やかにネットワークから隔離することです。ランサムウェアはネットワークを通じて他の端末やサーバーへ感染を広げ、被害を急拡大させるためです。画面に脅迫メッセージが表示されたりファイルが開けなくなったりした場合は、直ちにその端末のLANケーブルを抜き、Wi-Fiをオフにします。このとき、原因調査に必要な情報が失われる可能性があるため、端末の電源を落としたり再起動したりすることは避けてください。冷静かつ迅速な通信遮断が、被害を最小限に食い止めるための絶対的な鉄則です。

状況把握と専門機関・警察への相談

ネットワークからの隔離後、被害の全体像を正確に把握し、速やかに外部のセキュリティ専門機関や警察へ相談します。自社の知識だけでは、ランサムウェアの特定や適切な復旧手順の判断は困難であり、対応を誤るとデータを永久に失う危険性があります。どの範囲のデータが暗号化されたか、情報漏洩の可能性はあるかを調査すると同時に、各都道府県警察のサイバー犯罪相談窓口や専門のセキュリティベンダーへ連絡し、指示を仰ぎます。専門機関は高度な知見に基づき、証拠保全や被害拡大防止に関する具体的な助言を提供してくれます。自社だけで解決しようとせず、早期に専門家の支援を確保することが、確実な解決への近道です。

身代金要求への対応方針（支払わない）

攻撃者から身代金を要求された場合、組織として支払いに応じないという明確な方針を貫くことが重要です。安易に支払うと、さらなるリスクを招きます。

身代金の支払いは問題の根本的な解決にはならず、企業の社会的責任にも反します。無償の復号ツールが公開されている場合もあるため、安易な取引には応じず、断固として拒否する姿勢が求められます。

システムの復旧と再発防止策の策定

安全が確認された後にシステムの復旧を進めるとともに、抜本的な再発防止策を策定することが必須です。侵入経路となった脆弱性を放置したままシステムを再稼働させれば、再び攻撃を受けるリスクが極めて高くなります。専門家によるフォレンジック調査の結果をもとに、感染した端末は完全に初期化し、安全性が確認されたバックアップデータを用いてシステムを復元します。その後、侵入経路となったVPNのアップデート、多要素認証の導入、ネットワーク監視体制の強化など、技術と運用の両面からセキュリティ対策を根本的に見直します。攻撃の教訓を活かし、組織全体のセキュリティ基盤を再構築することが真の復旧と言えます。

データ漏洩（二重脅迫）を想定した広報・顧客対応計画

現代のランサムウェアは、データを暗号化するだけでなく、事前に窃取した情報を公開すると脅す「二重脅迫」が主流です。そのため、情報漏洩の事態を想定した広報・顧客対応計画を準備しておく必要があります。情報漏洩の事実が発覚した際に対応が遅れると、顧客からの信用を失い、企業の存続を揺るがす事態に発展しかねません。漏洩が確認された場合は、関係省庁への報告義務を果たすとともに、専用の問い合わせ窓口を設置します。ウェブサイトや記者会見を通じて被害状況や対策を透明性をもって公表し、関係者への謝罪と二次被害防止の注意喚起を行います。最悪のシナリオを想定した誠実かつ迅速な対応が、企業の信頼を維持する鍵となります。

ランサムウェアに関するよくある質問

身代金を支払えばデータは復旧できますか？

いいえ、身代金を支払ってもデータが確実に復旧できる保証は一切ありません。攻撃者から送られてきた復号ツールが正常に機能しなかったり、データの一部が破損したままだったりするケースが発生するおそれが指摘されています。また、一度支払うと「支払いに応じる企業」と見なされ、再び標的になるリスクも高まります。身代金の支払いは解決策にはなりません。

バックアップがあれば万全といえますか？

いいえ、バックアップがあるだけでは万全とは言えません。攻撃者はネットワークに侵入後、本番データだけでなくバックアップデータ自体も暗号化・削除しようとします。ネットワークに常時接続されたバックアップは、本体と同時に被害に遭う可能性が高いです。ネットワークから完全に切り離されたオフライン環境での保管など、バックアップデータを確実に保護する対策が不可欠です。

警察に相談する具体的なメリットは何ですか？

警察に相談することで、専門的な助言や被害回復に向けた実践的な支援が期待できます。警察は最新の攻撃情報や過去の事例を多数保有しており、証拠保全のアドバイスや、場合によっては特定のランサムウェアに対応する無償の復号ツールの情報を提供してくれることがあります。捜査機関との連携は、ステークホルダーへの説明責任を果たす上でも重要です。

サイバー保険は被害を補償しますか？

サイバー保険は、調査費用や復旧費用など、インシデント対応にかかる多くのコストを補償します。ただし、補償範囲には限界があります。特に、多くのサイバー保険契約において、攻撃者に支払う身代金そのものは補償の対象外となるのが一般的です。保険はあくまで事後対応の経済的負担を軽減する手段であり、日頃のセキュリティ対策を代替するものではありません。

復旧にはどのくらいの期間がかかりますか？

復旧期間は被害の規模や事前の備えによって大きく異なり、数週間から数ヶ月以上を要することも珍しくありません。システムの隔離、原因調査、安全な環境の再構築、バックアップからのデータ復元など、多くの工程が必要です。バックアップが適切に保護されていなかった場合、復旧はさらに長期化します。平時からの準備が復旧期間を大きく左右します。

まとめ：ランサムウェアからサーバーを守り事業継続性を確保する

本記事では、企業のサーバーを標的とするランサムウェア攻撃の脅威に対し、その感染経路から予防策、そして感染後の対応フローまでを解説しました。主な侵入経路であるVPN機器やリモートデスクトップの脆弱性管理を徹底するとともに、多要素認証の導入、アクセス権限の最小化といった技術的対策が基本となります。さらに、バックアップは攻撃者に破壊されることを想定し、ネットワークから隔離された場所に保管し、定期的な復旧テストを行うことが事業継続の鍵を握ります。組織としては、従業員教育やインシデント対応体制の整備、サイバー攻撃を想定したBCPの策定が不可欠です。万が一感染した場合は、身代金には応じず、速やかに専門機関へ相談してください。本稿で解説した対策は一般的な指針であり、自社の具体的な状況に応じた計画策定には専門家の助言を求めることが重要です。

Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

運営会社情報ページへ