セキュリティ

ランサムウェア対策の基本|中小企業が最優先でやるべき備え

ランサムウェア対策の基本|中小企業が最優先でやるべき備え

朝、出社するとファイルサーバーの中身がすべて開けません。画面には、身代金を要求する英語の文面が表示されています。こうしたランサムウェア被害は、会社の規模を問わず起こりえます。本記事では、中小企業が最優先で取るべき対策と、感染時の初動対応を解説します。結論は「戻せることを確認済みのバックアップ」を持つことです。

ランサムウェアとは|中小企業が標的になる理由

ランサムウェアとは、データを暗号化して使えなくし、復旧と引き換えに身代金を要求する攻撃です。攻撃者は大企業だけでなく、対策が手薄になりがちな中小企業を積極的に狙います。

名前は「Ransom(身代金)」に由来します。近年は暗号化に加えて、盗んだデータの公開で脅す「二重恐喝」が主流です。さらに、暗号化せずデータを盗むだけで脅す「ノーウェアランサム」も確認されています。

IPA(情報処理推進機構)の「情報セキュリティ10大脅威」では、何年も連続で組織向けの1位です。警察庁の公表資料でも、被害報告の過半数を中小企業が占めます。「うちは狙われるほどの会社ではない」という認識は、実態と合っていません。

中小企業が狙われやすい理由は、主に次の3つです。

  • 更新されていないVPN機器など、侵入しやすい入口が放置されがち
  • 専任のIT担当者がおらず、発見と対応が遅れやすい
  • 取引先の大企業へ侵入する「踏み台」としての価値がある

主な感染経路(VPN機器・メール・リモートデスクトップ)

感染経路の中心は、VPN機器とリモートデスクトップです。警察庁の公表資料では、両者で全体の7〜8割を占める状況が続いています(目安)。

かつての代表例は「怪しいメールの添付ファイル」でした。現在は、社外から社内へ入る「入口」そのものが直接狙われます。テレワーク用に設置したVPN機器が、更新されないまま残っているケースが典型です。

感染経路主な手口対策の要点
VPN機器脆弱性への攻撃、漏えいした認証情報の悪用ファームウェア更新、不要アカウント削除
リモートデスクトップパスワードの総当たり・推測外部公開の停止、多要素認証
メール添付ファイル、偽サイトへのリンク開封前の確認ルール、訓練

まず、自社がどの入口を持っているかを棚卸ししてください。「自社のVPN機器の型番と更新状況を答えられるか」が最初の確認点です。

被害の実態と事業への影響

被害は「ファイルが開けない」だけでは終わりません。数週間単位の業務停止と、数百万円規模の復旧費用が現実的なリスクです。

具体的には、次のような影響が連鎖します。

  • 受発注・請求・給与計算など、基幹業務の停止
  • 顧客情報や取引情報の漏えいと、取引先への説明対応
  • 調査・復旧を外部委託する費用の発生
  • 信用低下による取引の縮小や停止

警察庁の公表資料では、調査・復旧に1,000万円以上を要した事例が報告されています。復旧まで1か月以上かかった事例もあります。売上規模が小さい会社ほど、この停止期間が致命傷になりかねません。被害の想定は「PCの買い替え費用」ではなく、「事業が止まる日数」で考えてください。

最優先の対策5つ(バックアップ・更新・認証・教育・点検)

予算も人手も限られる中小企業では、優先順位づけが重要です。効果の大きい順に、次の5つから着手してください。

  1. バックアップ: 感染しても事業を再開できる唯一の切り札です。設計方法と復旧テストは次章で詳しく解説します。
  2. 更新: VPN機器のファームウェア、OS、ソフトを最新に保ちます。サポート終了品は入口になるため、交換を計画します。
  3. 認証の強化: VPNやクラウドサービスに多要素認証を設定します。初期パスワードの変更と使い回しの禁止を徹底します。
  4. 従業員教育: 不審メールの見分け方と「開いたら即報告」を共有します。報告者を責めない姿勢が、早期発見につながります。
  5. 定期点検: 退職者のIDや使っていないVPNアカウントを削除します。外部公開中のリモートデスクトップがないかも確認します。

2〜5は侵入の確率を下げる対策、1はそれでも事業を守るための対策です。いずれも無料〜低コストで始められます。高額なセキュリティ製品の検討は、この5つを固めた後で十分です。

バックアップの正しい設計(3-2-1ルール)

バックアップの目的は「取っていること」ではなく「戻せること」です。3-2-1ルールで設計し、後述の復旧テストとセットで運用してください。

3-2-1ルールとは、次の状態を保つ考え方です。

  1. データのコピーを3つ持つ(原本+バックアップ2つ)
  2. 2種類の異なる媒体に保存する(例: NASと外付けHDD)
  3. うち1つはオフライン、または遠隔地に置く

特に重要なのは3つ目です。最近のランサムウェアは、ネットワーク上のバックアップも探して暗号化します。常時接続のNASだけでは、原本と一緒に全滅する恐れがあります。取得後に取り外す外付けHDDや、世代管理つきのクラウドを組み合わせてください。

費用ゼロで最重要の「復旧テスト」

現場で本当に恐ろしいのは、「バックアップはあったのに戻せなかった」という事態です。設定ミスで途中から取得が止まっていた。暗号化された後のファイルで上書きしていた。復元の手順を誰も知らなかった。いずれも、現場では珍しくない失敗です。

復旧テストは費用ゼロで実施でき、費用対効果が最も高い対策です。次の手順で行ってください。

  1. 会計・顧客・受発注など、最重要データを1つ選ぶ
  2. バックアップから、普段と別のPCへ実際に復元する
  3. ファイルが開けるか、内容が最新かを確認する
  4. 復元にかかった時間と手順を記録する
  5. 半年に1回を目安に繰り返す

このテストに合格して初めて、「うちはバックアップがある」と言えます。一度も試していないなら、その備えはまだ仮の状態です。

感染してしまったときの初動対応

感染に気づいたら、最初の1時間の行動が被害範囲を左右します。原則は「隔離する・消さない・相談する」の3つです。

  1. ネットワークから切り離す: 感染が疑われる端末のLANケーブルを抜き、Wi-Fiを切ります。拡散の防止を最優先します。
  2. 電源は切らない: 再起動や初期化で、調査や復号の手がかりが消える恐れがあります。そのままの状態を保ちます。
  3. バックアップ機器を守る: 接続中のバックアップ用HDDやNASがあれば、直ちに切り離します。
  4. 画面と時刻を記録する: 脅迫文の画面をスマートフォンで撮影し、発生時刻と状況をメモします。
  5. 専門窓口へ相談する: 都道府県警察のサイバー犯罪相談窓口と、IPAの相談窓口に連絡します。
  6. 関係者への報告を検討する: 個人情報の漏えいが疑われる場合、個人情報保護委員会への報告と本人通知が義務となることがあります。

なお「No More Ransom」プロジェクトのサイトでは、一部のランサムウェアの無料復号ツールが公開されています。自己判断で復旧作業を進める前に、まず相談窓口へ状況を伝えてください。

身代金は払うべきか問題

結論として、支払いは推奨できません。警察やIPAも、支払わないよう呼びかけています。

理由は3つあります。第一に、支払ってもデータが完全に戻る保証はありません。相手は犯罪組織であり、約束を守るとは限りません。第二に、「支払う会社」と認識され、再攻撃の標的になる恐れがあります。第三に、支払いは犯罪組織への資金提供となり、次の被害を助長します。

一方で、バックアップがなく事業停止が長引けば、支払いの検討に追い込まれます。本当の分かれ目は感染した日ではなく、その前の備えにあります。「戻せるバックアップ」を用意し、この判断自体を不要にすることが経営の仕事です。

よくある質問

ウイルス対策ソフトを入れていれば防げますか?

それだけでは不十分です。近年の攻撃は、VPN機器の脆弱性など対策ソフトの守備範囲外から侵入します。対策ソフトは基本として維持しつつ、更新・認証・バックアップと組み合わせてください。

クラウドに保存していればバックアップ代わりになりますか?

同期型のクラウドストレージは、暗号化されたファイルもそのまま同期する恐れがあります。バージョン履歴などの復元機能と、その保存期間を確認してください。その上で、切り離して保管できるバックアップを別に持つと安全です。

サイバー保険には入ったほうがいいですか?

復旧費用や賠償への備えとして、検討する価値はあります。ただし、保険は業務停止そのものを防ぎません。まず本記事の対策5つを固め、保険は補完と位置づけてください。

IT担当者がいない会社は何から始めればいいですか?

今週中にできるのは「復旧テスト」と「VPN機器の更新確認」の2つです。自社だけで難しい場合は、外部支援も選択肢です。「サイバーセキュリティお助け隊サービス」(IPAの登録制度)などがあります。

まとめ

  • ランサムウェアは中小企業こそ標的になり、被害の本質は業務停止
  • 主な侵入口はVPN機器とリモートデスクトップ、次いでメール
  • 対策の優先順位はバックアップ・更新・認証・教育・点検の順
  • バックアップは3-2-1ルールで設計し、復旧テストで「戻せること」を確認
  • 感染時は「隔離する・消さない・相談する」、身代金の支払いは推奨されない

次の一歩として、今週中に復旧テストを1回実施してください。費用はかからず、自社の備えが機能するかを実際に確かめられます。

関連記事

株式会社EMPLAY 編集部

中小企業のWeb集客・DX推進を支援するEMPLAYが、現場で得た実践知をもとに執筆・監修しています。運営会社について