止まらないランサムウェア被害、侵入経路の6割がVPN
2026年に入っても、国内企業のランサムウェア被害は衰える気配がありません。 ワシントンホテルではクレジットカード端末が使用不能に、穴吹ハウジングサービスでは情報資産の漏えいが確認されるなど、業種を問わず被害が相次いでいます。
こうした攻撃に共通するのが、VPN機器の脆弱性を突いた侵入という経路です。 警察庁の統計によると、ランサムウェア被害の約6割がVPN機器経由で発生しており、リモートデスクトップを含めると実に8割超が遠隔接続の弱点を突かれたものでした。しかし今回お伝えしたいのは、侵入の防ぎ方ではなく「感染してしまった直後」の対応についてです。
感染直後に「やってはいけない」3つの行動
ランサムウェアの感染が疑われたとき、焦りから取ってしまいがちな行動が被害をさらに拡大させるケースがあります。
1つ目は、端末の再起動です。 「おかしいな」と思ったらまず再起動――これは日常のトラブル対応では定石でしょう。ところがランサムウェアの場合、再起動がトリガーとなって暗号化プロセスが再開されるタイプが存在します。さらに深刻なのは、メモリ上に残っている攻撃の痕跡が消失してしまうこと。この痕跡こそ、後のフォレンジック(デジタル鑑識)調査で「いつ・どこから・どうやって侵入されたか」を解明するための重要な証拠になるのです。
2つ目は、感染端末でのウイルススキャンの実行です。 検知・駆除を試みたくなる気持ちは理解できますが、スキャン中のディスクアクセスによって攻撃の痕跡が上書きされる可能性があります。感染端末への操作は、専門家の指示があるまで必要最小限に留めるのが鉄則だと覚えておいてください。
3つ目は、電源を落としてしまうこと。 再起動と同様、シャットダウンによって揮発性メモリの情報が完全に失われてしまいます。「被害を止めるには電源を切ればいい」と考えるのは自然な発想ですが、ネットワークからの切り離しで拡散は十分に止められるため、電源はそのまま入れておくのが正解です。
正しい初動対応、最初の5分でやるべきこと
では、感染が疑われたときに何をすべきでしょうか。 最優先はネットワークからの物理的な遮断です。 LANケーブルを抜く、Wi-Fiを無効にする。これだけで社内ネットワークを通じた感染拡大を食い止められます。発覚から5分以内の対応を目指しましょう。
遮断が完了したら、速やかにCSIRT(社内のセキュリティ対応チーム)や情報セキュリティ責任者へ報告してください。報告先が定まっていなければ、直属の上司を経由して経営層まで一気にエスカレーションすることが重要です。 なお、個人情報の漏えいが疑われる場合は個人情報保護委員会への速報を原則3〜5日以内に行う義務がある点も見落とせません。
その後、外部のセキュリティ専門会社やフォレンジック事業者に連絡し、調査と復旧の支援を受ける段階に進みます。ここでようやく、専門家の指示のもとで端末の詳細な分析が始まるのです。
今すぐ確認したい3つのポイント
万が一に備えて、以下の3点を見直してみてください。
まず、インシデント対応手順書に「やってはいけないこと」が明記されているかという点。 多くの企業の手順書は「やるべきこと」は記載されていても、「やってはいけないこと」が抜け落ちていることが少なくありません。再起動禁止、ウイルススキャン禁止、電源オフ禁止の3点を追記し、全従業員に周知しておきましょう。
次に、VPN機器のファームウェアが最新の状態かどうか。ランサムウェアの侵入経路で最も多いのはVPN機器の既知の脆弱性の悪用であり、パッチの適用を怠ることは、正面玄関の鍵を開けたまま放置するようなものです。
最後に、バックアップが攻撃者の手の届かない場所に保管されているかを確認してください。ネットワーク上でアクセス可能なバックアップは、ランサムウェアによって同時に暗号化されてしまいます。オフラインバックアップやクラウドへの分離保管が不可欠です。
