ランサムウェア攻撃は「ある日突然」ではない

公開情報から見る攻撃タイムラインと、防御側が気をつけるべきポイント

ランサムウェア被害は、利用者の画面に身代金要求が表示された瞬間に始まるわけではありません。多くの場合、その前に「侵入口の確保」「認証情報の悪用」「内部探索」「権限拡大」「バックアップ破壊」「情報窃取」といった準備段階があります。

公開レポートを見ると、攻撃は以前より速くなっています。Sophosの2025年調査では、インシデントレスポンス案件におけるランサムウェアの中央値滞在時間は4日、Mandiantの2025年レポートでもランサムウェア関連侵害の中央値滞在時間は6日で、半数以上が1週間以内に検知されています。つまり、防御側には「数週間かけて調査する余裕」はなく、初期侵入後の数日が勝負になります。(SOPHOS)

1. 初期侵入：入口はメールだけではない

従来は「ランサムウェア＝怪しい添付ファイル」という印象が強くありました。しかし、現在の侵入口はもっと広いです。

MITRE ATT&CKでは、初期アクセスは「攻撃者がネットワーク内に足場を得る段階」と定義され、スピアフィッシング、公開サーバの脆弱性悪用、外部リモートサービス、正規アカウントの悪用などが含まれます。(MITRE ATT&CK)

Verizonの2026 DBIRでは、侵害の31%がソフトウェア脆弱性から始まり、48%の侵害にランサムウェアが関与しているとされています。Mandiantの2026年版でも、2025年の初期感染ベクトルとしてエクスプロイトが32%で最多、音声を使った対話型ソーシャルエンジニアリングが11%まで増加したと報告されています。(Verizon)

ここで注意すべきなのは、「メール訓練だけでは足りない」という点です。VPN、RDP、公開Webアプリ、SaaS、ID基盤、ヘルプデスクの本人確認手順まで含めて、攻撃面として見直す必要があります。

2. アクセスの売買：侵入者と暗号化実行者は同じとは限らない

近年のランサムウェアは、単独犯が最初から最後まで実行する形だけではありません。Microsoftは、サイバー犯罪のエコシステムが「初期アクセスブローカー」「ランサムウェア運用者」「データ恐喝グループ」などに分業化していると説明しています。(Microsoft)

この構造では、最初に侵入した攻撃者がアクセス権を売り、別の攻撃者が内部展開や恐喝を行います。Mandiantも、ランサムウェア関連インシデントでは「以前から存在した侵害」が初期感染ベクトルとして30%を占めたと報告しています。(Google Cloud)

つまり、防御側は「マルウェアが見つからないから安全」と考えるべきではありません。正規アカウントでログインされ、VPNやSaaSを普通に使われているだけの場合、従来型のウイルス対策では気づけないことがあります。

3. 内部探索：攻撃者は“どこを止めれば事業が止まるか”を探す

初期侵入後、攻撃者はすぐに暗号化するとは限りません。まず、どのサーバが重要か、どのアカウントが強い権限を持つか、どこにバックアップやファイル共有があるかを調べます。

この段階で見られやすい兆候は、通常業務では説明しにくい認証試行、深夜・休日の管理者ログイン、短時間での多数ホストへの接続、普段使われない端末からのファイルサーバアクセス、管理共有・リモート管理機能の不自然な利用です。

Sophosの2025年調査では、調査対象インシデントの根本原因として、認証情報の侵害が41%、脆弱性悪用が22%、ブルートフォースが21%と報告されています。ここから見えるのは、攻撃の中心が「マルウェアそのもの」ではなく、「IDと認証基盤」に寄っているということです。(SOPHOS)

4. 権限昇格と横展開：Active Directoryが山場になる

多くの企業環境では、Active DirectoryやID管理基盤が侵害されると、被害範囲が一気に広がります。攻撃者は、一般ユーザー端末から管理者権限、サーバ管理権限、ドメイン管理権限へと段階的に近づきます。

ここで守るべきポイントは明確です。管理者アカウントを日常利用しないこと、特権アカウントにMFAを適用すること、古いVPN・ファイアウォール・公開サーバを放置しないこと、そして端末・サーバ・IDログを横断的に見られる状態にしておくことです。

Mandiantは2026年版で、EDRが入りにくいエッジ機器や仮想化基盤、ID行動の継続的監視を重視するよう求めています。これは、攻撃者がEDR対象外の機器や正規機能を悪用し、検知を避けるためです。(Google Cloud)

5. データ窃取：暗号化前に“持ち出し”が起きる

現在のランサムウェアは、単にファイルを暗号化するだけではありません。復旧できても「盗んだ情報を公開する」と脅す二重恐喝が一般化しています。

NISTのランサムウェア・リスク管理プロファイルでも、ランサムウェアはデータ暗号化だけでなく、情報を盗み、公開しないことを条件に追加の支払いを要求する場合があると説明されています。(NIST Computer Security Resource Center)

このため、バックアップがあるだけでは十分ではありません。重要データの所在、持ち出し経路、外部アップロード、クラウドストレージ連携、異常な圧縮ファイル作成、大量ダウンロードを監視する必要があります。

6. バックアップ破壊：復旧手段を先に潰される

ランサムウェア攻撃で最も危険なのは、暗号化そのものよりも、復旧手段を奪われることです。CISAのStopRansomware関連ガイダンスでは、バックアップデータを暗号化し、変更・削除できないイミュータブルな状態で保持し、組織全体のデータ基盤をカバーすることが推奨されています。(CISA)

バックアップサーバが通常のActive Directoryアカウントで管理され、攻撃者がその権限を奪えば、バックアップも同時に削除・暗号化されます。したがって、バックアップは「取っているか」ではなく、「攻撃者が管理者権限を取っても消せないか」「実際に復元できるか」で評価すべきです。

7. 暗号化と恐喝：被害が見えるのは最後の段階

利用者が異常に気づくのは、多くの場合この段階です。ファイルが開けない、拡張子が変わる、業務システムが停止する、身代金要求文が表示される。ここまで来ると、攻撃者はすでに内部探索、権限取得、バックアップ妨害、データ窃取を終えている可能性があります。

Mandiantの2026年版では、ランサムウェア事案で攻撃者自身が被害組織に通知するケースが44%とされています。これは、検知したから攻撃が止まったのではなく、攻撃者が恐喝フェーズに入ったために発覚するケースがまだ多いことを示しています。(Google Cloud)

防御側が気をつけるべきポイント

「入口対策」はVPN・RDP・SaaS・公開サーバまで含める

メール訓練だけでは不十分です。脆弱な公開サーバ、古いVPN装置、MFA未設定のリモートアクセス、漏えい済みパスワード、ヘルプデスク経由のMFAリセットが入口になります。Verizon DBIRやMandiantの傾向を踏まえると、脆弱性管理とID管理はランサムウェア対策の中心です。(Verizon)

• MFAは「全員」ではなく「重要経路」から優先する

特に優先すべき対象は、VPN、管理者アカウント、リモートデスクトップ、SaaS管理者、メール管理者、バックアップ管理者です。NCSC系のガイダンスでも、リモートアクセスや特権ユーザーにMFAを適用することが推奨されています。(NCSC)

• バックアップは“復元訓練”までやる

バックアップが存在しても、復元手順が未確認なら意味がありません。オフライン、イミュータブル、別認証基盤、復元テスト、重要システムごとのRTO/RPO定義まで含めて設計します。NCSCは、重要ファイルの定期バックアップと、復元できることの確認を重要な対策として挙げています。(National Cyber Security Centre)

• “暗号化前”の兆候を検知する

暗号化が始まってからでは遅いため、次のような前兆を監視します。

• インシデント対応は「隔離・証拠保全・復旧判断」を分ける

感染端末を止めることは重要ですが、むやみに初期化すると侵入経路や横展開の証拠が消えます。CISAの被害時ガイダンスでも、初期侵害に関与したシステムやアカウントの特定が重要とされています。(CISA)

• 経営・法務・広報まで含めた訓練を行う

ランサムウェアは技術インシデントであると同時に、事業継続、個人情報保護、顧客対応、規制当局対応、広報対応の問題です。NISTのランサムウェアプロファイルも、予防・対応・復旧を支えるセキュリティ目標を整理し、組織の準備状況を測るためのガイドとして位置付けられています。(NIST Computer Security Resource Center)

まとめ

このように、ランサムウェアを含むサイバー攻撃は、ある日突然発生するものではありません。多くの場合、数日、場合によっては数か月にわたり、侵入、認証情報の悪用、内部探索、権限昇格、横展開、データ窃取、バックアップ破壊、暗号化、恐喝という段階を経て進行します。

そのため、監視システムでアラートが出ていないからといって、必ずしも安全とは言い切れません。特に近年は、盗まれた正規ユーザーアカウントや管理者権限が悪用されるケースが増えており、攻撃者の行動が一見すると通常業務の操作に見えてしまうことがあります。この点が、ランサムウェア攻撃の検知を難しくしています。

だからこそ重要なのは、「侵入されないこと」だけを前提にするのではなく、「侵入される可能性がある」ことを前提にした設計です。入口対策、認証強化、権限管理、ログ監視、ネットワーク分離に加えて、万が一データが暗号化されても事業を継続・復旧できる体制を整えておく必要があります。

ここで注意したいのは、「バックアップを取っているから大丈夫」という考え方です。実際のランサムウェア攻撃では、暗号化の前にバックアップサーバや復元ポイントが狙われることがあります。復旧手段そのものを破壊・削除・暗号化することで、被害組織を身代金の支払いへ追い込むためです。

つまり、バックアップは「存在するか」ではなく、「攻撃者に消されないか」「別の認証基盤で守られているか」「実際に復元できるか」まで確認して初めて意味を持ちます。イミュータブルバックアップ、オフライン保管、復元訓練、復旧優先順位の整理は、単なるIT運用ではなく事業継続の要件として扱うべきです。

サイバー攻撃は、企業にとって災害に近い性質を持っています。事前対策はもちろん重要ですが、すべての脅威を完全に防ぐことはできません。だからこそ、侵入後の検知、被害範囲の特定、証拠保全、復旧判断、関係者への説明まで含めた事後対応に投資することが重要です。

ランサムウェアは、最後にファイルを暗号化するだけの攻撃ではありません。事業を止めるために、事前に復旧力を奪う攻撃です。防御側も「マルウェアを検知する」という発想にとどまらず、「侵入されても事業を止めさせない設計」として対策を考える必要があります。

参考情報・出典URL

https://www.verizon.com/business/resources/reports/dbir/https://cloud.google.com/security/resources/m-trends-executive-editionhttps://services.google.com/fh/files/misc/m-trends-2025-en.pdfhttps://www.sophos.com/en-us/blog/2025-sophos-active-adversary-reporthttps://www.microsoft.com/en-us/corporate-responsibility/cybersecurity/microsoft-digital-defense-report-2025/https://attack.mitre.org/tactics/TA0001/https://attack.mitre.org/techniques/enterprise/https://www.cisa.gov/resources-tools/resources/stopransomware-guidehttps://www.ncsc.gov.uk/guidance/mitigating-malware-and-ransomware-attackshttps://csrc.nist.gov/Pubs/ir/8374/IPD