ランサムウェア対策|中小企業が今日から始める7ステップと感染時の初動手順【2026年最新】
Check!
- ランサムウェア対策の基本7ステップと感染経路別の具体的な手順がわかる
- IPA・警察庁の公的データに基づく最新の被害状況と相場を確認できる
- 感染発覚時の初動対応と法的義務・IT導入補助金の活用法がわかる
ランサムウェアとは、感染した端末内のファイルを暗号化し、復旧と引き換えに金銭を要求するマルウェアです。IPA「情報セキュリティ10大脅威 2026」において組織向け脅威の第1位(11年連続)に選出され、2025年の全国報告件数は226件(警察庁調べ)と依然として高水準で推移しています。特に中小企業の被害が直近の半期で77件と過去最多を記録しており、「うちは関係ない」という認識はもはや通用しない状況です。本記事では、ランサムウェア対策として今日から着手できる具体的な手順を、感染経路の把握から法的義務の確認、実際の失敗パターンまで体系的に解説します。規模や業種を問わず、専任IT担当者がいない事業者でも実践できる内容にまとめています。(出典:独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2026」2026年1月、https://www.ipa.go.jp/security/10threats/10threats2026.html 2026年6月23日取得/警察庁サイバー警察局「令和7年におけるサイバー空間をめぐる脅威の情勢等について」2026年3月、https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7/R07_cyber_jousei.pdf 2026年6月23日取得)
おすすめ記事
目次
開く
閉じる
開く
閉じる
ランサムウェアとは何か|最新の攻撃手法を理解する
ランサムウェアとは、PCやサーバーのファイルを暗号化して業務を停止させ、復元の対価として金銭(身代金)を要求するマルウェアの一種です。近年は暗号化と情報窃取を組み合わせた「二重脅迫型」が主流となり、身代金を払わない場合は盗んだデータを公開すると脅す手口が全体の約9割を占めています。
2025年には特に「RaaS(Ransomware as a Service)」と呼ばれるモデルが台頭しました。開発グループが攻撃ツール一式をサービスとして提供し、技術力が低い第三者でも容易に攻撃を実行できる環境が整っています。これが攻撃者の裾野を広げ、対策が手薄な中小企業・個人事業主が集中的に狙われる一因となっています。
主な攻撃の流れは①VPN機器の脆弱性や標的型メールから侵入→②社内ネットワークを数日〜数週間かけて偵察→③バックアップを含む全端末を一斉に暗号化、という段階を踏みます。発覚したときにはすでにバックアップも道連れにされているケースが多く、被害が長期化します。
ランサムウェア感染経路TOP3と個別対策
ランサムウェアの主な感染経路は①VPN機器の脆弱性(約6割)、②フィッシングメール・標的型メール、③不正Webサイト閲覧の3経路に集中しています。それぞれの経路に応じた対策を実施することが、感染リスクを大幅に低減させる最短ルートです。
警察庁の分析では、2025年のVPN経由の侵入が感染全体の6割超を占めています。テレワーク普及に伴い多くの企業がVPNを導入した一方、ファームウェアの更新や設定見直しが後回しになっているケースが多いことが背景にあります。まずVPN機器のファームウェアを最新版に保つことが最優先の対策です。
| 感染経路 | 割合(目安) | 主な対策 | 難易度 |
|---|---|---|---|
| VPN機器の脆弱性 | 約60% | ファームウェア更新・多要素認証設定 | 低〜中 |
| フィッシングメール | 約20% | メールフィルタリング・従業員教育 | 低 |
| 不正Webサイト | 約10% | URLフィルタリング・プロキシ設定 | 中 |
| USBメモリ等の外部メディア | 約5% | 持込デバイス制限ポリシー策定 | 低 |
| その他(サプライチェーン攻撃等) | 約5% | 取引先のセキュリティ評価・審査 | 高 |
フィッシングメール対策は「人」に依存する部分が大きいため、技術的な対策(メールフィルタリング)と人的対策(訓練・教育)を組み合わせることが重要です。経済産業省「中小企業の情報セキュリティ対策ガイドライン第4.0版」では、フィッシング訓練を定期的に実施することを推奨しています(出典:経済産業省・IPA「中小企業の情報セキュリティ対策ガイドライン第4.0版」2026年3月、https://www.meti.go.jp/press/2025/03/20260327002/20260327002.html 2026年6月23日取得)。
今日から始めるランサムウェア対策7ステップ
ランサムウェア対策は、「侵入させない」予防策と「感染してもダメージを最小化する」備えの2軸で組み立てます。以下の7ステップを優先度順に実施すると、コストを抑えながら効果的な防御体制を構築できます。
IPAが公表する「中小企業の情報セキュリティ対策ガイドライン第4.0版」では、バックアップ取得が新たに「一つ星」の必須6項目に追加されました。これは、バックアップなしでは感染後の復旧が実質不可能になるケースが多いためです。
中小企業・個人事業主が取り組むべき優先対策
専任IT担当者がいない中小企業・個人事業主には、「全部を一度に完璧にやろう」ではなく「コストゼロ〜低コストでできる基本対策から順番に実施する」というアプローチが現実的です。警察庁データでは中小企業の被害が増加の一途をたどっており、2025年上半期は全被害件数の約3分の2(77件)を中小企業が占めました。
まず無料でできることから着手します。Windowsの自動更新を有効にする、Microsoft 365やGoogleアカウントにMFAを設定する、重要ファイルを外付けHDDやクラウドにバックアップする、の3点は今日から始められます。次にIPA「SECURITY ACTION」(一つ星・二つ星)への自己宣言を行うことで、IT導入補助金「セキュリティ対策推進枠」への申請資格が得られます。補助率は最大3/4で、セキュリティソフトやEDRの導入費用を大幅に抑えられます。
サプライチェーン攻撃の観点からは、自社だけでなく取引先・外注先の対策状況も確認する必要があります。IPA「情報セキュリティ10大脅威 2026」第2位がサプライチェーン攻撃であり、「自社は安全」でも取引先経由で侵入されるリスクは実際に報告されています。取引先に対してセキュリティチェックリストへの回答を求めることも有効な対策の一つです。
中小企業のランサムウェア対策|業界別の注意ポイント
業種によってランサムウェアの被害リスクと対策の優先順位が異なります。製造業・医療・小売・建設業では特有の脆弱ポイントがあり、業界特有のシステム構成や法的義務を踏まえた対策が必要です。
製造業:生産管理システム(OT/IT融合環境)は古いOSが多く、パッチ適用が困難なケースがあります。工場の制御系ネットワークとオフィス系ネットワークを分離(ネットワークセグメンテーション)し、制御系へのリモートアクセスを原則禁止にすることが基本対策です。サプライチェーン攻撃で海外子会社を踏み台にされた事例が複数報告されており、グループ全体での統一対策が求められます。
医療機関:電子カルテシステムへの攻撃は診療停止に直結するため、被害の重大性が特に高い業種です。厚生労働省の「医療情報システムの安全管理に関するガイドライン第6.0版」に準拠したバックアップ体制と、クリティカルシステムのオフライン保護が必要です。2024〜2025年に地域病院が電子カルテを暗号化され、紙運用への緊急切替を余儀なくされた事例は地域医療全体に大きな影響を及ぼしました。
小売・EC事業者:顧客の個人情報・クレジットカード情報を保有するため、感染時の情報漏洩リスクが高い業種です。二重脅迫型の被害では、暗号化だけでなく顧客データの公開を脅迫材料にされるため、個人情報保護法の観点から個人情報保護委員会への報告義務が発生します。
建設・不動産:現場のIoT機器(監視カメラ、入退室管理等)が脆弱なパスワード設定のままになっているケースが多く、これらが侵入口になる事例も報告されています。現場機器のパスワード管理と定期的なファームウェア更新が優先課題です。
感染が発覚したときの初動対応手順
ランサムウェアに感染した疑いが生じた瞬間、最初の数分〜数時間の対応が被害の拡大を左右します。パニックに陥らず、以下の手順書を事前に準備・共有しておくことが重要です。
感染発覚時の初動は5ステップで対応します。①感染端末をすぐにネットワークから切断(LANケーブル抜去・Wi-Fi無効化)→②他の端末への感染拡大を防ぐためWi-Fiルータを一時停止→③感染状況・表示されたメッセージ・日時を記録(画面撮影)→④社内担当者・経営者に報告(SNS投稿等は厳禁)→⑤専門機関(IPA:0570-066-573、警察サイバー犯罪相談窓口)に相談、という流れです。
身代金は絶対に支払わないことを組織のルールとして明確にしておきましょう。支払っても暗号化が解除される保証はなく、「支払う組織」として攻撃者リストに載り、再度攻撃を受けるリスクが高まります。また、仮想通貨での支払いは不正資金流通に関与する法的リスクも伴います。
ランサムウェア対策に関わる法律・法的義務の確認事項
ランサムウェア被害が発生した場合、単なる業務停止だけでなく、個人情報保護法・サイバーセキュリティ基本法・不正アクセス禁止法に基づく法的対応が求められます。事前の法務確認が事後対応を迅速化します。
個人情報保護法(個情法)の報告義務:ランサムウェアによってデータが盗まれた場合、個人情報が含まれていれば個人情報保護委員会への報告(速報:72時間以内の努力義務)と本人通知が義務付けられます。「暗号化されたが漏洩していない」という場合でも、二重脅迫型では窃取が前提となっているため要注意です。個人情報保護委員会への連絡先は https://www.ppc.go.jp/ から確認できます。
サイバーセキュリティ基本法:特定の重要インフラ事業者(電力・ガス・金融・医療等)は、サイバーセキュリティ基本法に基づき、NISC(内閣サイバーセキュリティセンター)への報告義務があります。
不正アクセス禁止法:自社がランサムウェア攻撃を受けた場合、被害届の提出は法的義務ではありませんが、警察への被害届提出は捜査協力となり、犯罪抑止や復旧情報の入手(復号ツールの提供等)につながる場合があります。警察庁のサイバー犯罪相談窓口は各都道府県警察に設置されています。
取引先との契約・責任範囲:自社のセキュリティ不備によって取引先に被害が及んだ場合(サプライチェーン攻撃の踏み台となった場合)、損害賠償責任を問われる可能性があります。業務委託契約にセキュリティ基準への準拠を明記しているか、保険でカバーされているかを事前に確認しておきましょう。
ランサムウェア対策でよくある失敗パターン3つと回避策
ランサムウェア対策を実施しているつもりでも、よくある落とし穴にはまって「備えていたのに感染した」「感染後に復旧できなかった」という事態が多く報告されています。3つの典型的な失敗パターンを把握し、事前に対処することが重要です。
【失敗パターン1】バックアップが「使えない」状態だった
「バックアップは取っている」と思っていても、感染したシステムと同一ネットワーク上のNASにのみ保存していたため、本番データと同時に暗号化されてしまうケースが後を絶ちません。また、バックアップデータの復元テストを一度も実施していなかったため、いざというときにデータが壊れていて復旧できなかった事例もあります。
回避策:3-2-1ルール(3つのコピー・2種類の媒体・1つはオフライン)の徹底と、四半期に1回以上の復元テスト実施を業務ルールに組み込みましょう。
【失敗パターン2】法的要件の確認漏れで後手に回った
感染後に「個人情報保護委員会への報告義務があるとは知らなかった」「取引先への報告をいつ・誰が・どのように行うかが決まっていなかった」という事態が発生し、対応の遅れが二次被害(信用毀損、損害賠償請求)につながるケースがあります。
回避策:インシデント発生前に、報告・通知が必要な機関と手順、担当者を一覧化した「緊急対応シート」を作成して関係者全員で共有しておきましょう。
【失敗パターン3】退職者のアカウントが放置されて侵入口になった
退職・転職した従業員のVPNアカウントやクラウドサービスのアクセス権が削除されないまま残っており、それを悪用した不正アクセスからランサムウェア感染につながった事例があります。特に中小企業では、アカウント管理が属人化・形骸化しやすい傾向があります。
回避策:退職・部署異動の際のアカウント削除を人事手続きに紐付け、半年に1回以上の全アカウント棚卸しを実施しましょう。IDの棚卸しリストをExcelで管理するだけでも大幅にリスクを低減できます。
ランサムウェア対策ツール・補助金の活用
中小企業がランサムウェア対策を進めるには、IT導入補助金の「セキュリティ対策推進枠」の活用が有効です。補助率が高く、セキュリティツール導入コストの大部分をまかなえます。また、無料で使えるツールや公的支援窓口も充実しています。
費用の目安としては、ウイルス対策ソフト(クラウド型)が1台あたり月額500〜2,000円程度、EDR(Endpoint Detection and Response)は1台あたり月額1,000〜5,000円程度が相場です。10〜20名規模の中小企業であれば、月額5〜10万円程度の投資でベーシックなセキュリティ体制を構築できます。IT導入補助金セキュリティ対策推進枠の補助率は最大3/4(上限450万円)であり、申請前にIPA「SECURITY ACTION」一つ星・二つ星の自己宣言が要件となる場合があります。補助金の要件・金額は毎年変更されますので、最新情報は中小企業庁の公式サイト(https://www.chusho.meti.go.jp/)でご確認ください。
| ツール・支援 | 費用 | 内容 |
|---|---|---|
| IPA「情報セキュリティ相談窓口」 | 無料 | 0570-066-573 平日10〜12時・13〜17時 |
| No More Ransom(復号ツール) | 無料 | 一部のランサムウェア用復号ツールを提供 |
| IPA SECURITY ACTION | 無料 | 自己宣言でIT導入補助金申請資格を取得 |
| ウイルス対策ソフト | 月500〜2,000円/台 | 感染防止の基本ツール。EDR付きが望ましい |
| IT導入補助金(セキュリティ枠) | 補助率最大3/4 | セキュリティソフト・EDR等の導入費用を補助 |
よくある質問(FAQ)
Q1. ランサムウェアに感染したら身代金を払うべきですか?
A. 絶対に支払わないことを推奨します。警察庁・IPA・NISCは一貫して「身代金の支払いは禁止」の立場をとっています。支払っても復号キーが提供される保証はなく、「支払う企業」として攻撃者リストに登録されて再攻撃を受けるリスクが高まります。また、仮想通貨での身代金支払いは不正収益の流通に加担する可能性があります。感染が発覚したら即座に端末をネットワークから切断し、IPAや警察のサイバー犯罪相談窓口に連絡することが正しい対応です。
Q2. 中小企業でもランサムウェアに狙われますか?
A. はい、むしろ中小企業が主な標的になっています。警察庁の統計では、2025年上半期の国内ランサムウェア被害116件のうち中小企業が77件(約3分の2)を占め、過去最多を更新しました。大企業に比べてセキュリティ対策が手薄になりやすいうえ、大企業への侵入経路(サプライチェーン攻撃の踏み台)としても狙われます。「うちは小さいから関係ない」は最も危険な思い込みです。
Q3. バックアップがあれば感染しても大丈夫ですか?
A. バックアップは非常に重要ですが、正しく管理していないと「バックアップも暗号化されて使えなかった」という事態が起きます。ポイントは①バックアップをネットワーク接続していないオフライン環境に保管する、②3-2-1ルール(3つのコピー・2種類の媒体・1つはオフライン保管)を遵守する、③定期的に復元テストを実施して「使えるバックアップ」であることを確認する、の3点です。バックアップだけに頼らず、感染予防策と組み合わせることが大切です。
Q4. ランサムウェア対策にかかる費用の目安はどのくらいですか?
A. 10〜20名規模の中小企業であれば、ウイルス対策ソフト+EDRで月額5〜10万円程度が目安です。初期費用を抑えるならIT導入補助金「セキュリティ対策推進枠」(補助率最大3/4)の活用を検討してください。ただし、復旧費用は被害を受けた組織の約59%が1,000万円以上かかっているという警察庁データもあります。対策のコストと被害を比較すれば、セキュリティ投資の優先度は明らかです。なお、補助金の要件・金額は年度ごとに変更されますので必ず公式情報をご確認ください。
Q5. ランサムウェアに感染した場合、個人情報保護法に基づく報告義務はありますか?
A. 感染によって個人情報が漏洩した場合または漏洩のおそれがある場合、個人情報保護法に基づき個人情報保護委員会への報告(速報:72時間以内が努力義務)と本人への通知が必要です。二重脅迫型のランサムウェアでは、暗号化と同時にデータが窃取されているケースが多いため、「暗号化されただけで外部には出ていない」とは言い切れない状況が多くあります。被害発覚後は速やかに法務担当者または弁護士に相談することを推奨します。
まとめ
- ランサムウェアはIPA「情報セキュリティ10大脅威 2026」で11年連続1位、中小企業の被害が過去最多を更新するなど、今まさに対策が急務の脅威です
- 感染経路の約6割はVPN機器の脆弱性。まずVPNのファームウェア更新・MFA設定・バックアップの3点から着手することが最も効果的です
- 感染後の初動は「ネットワーク切断→証拠保全→社内報告→専門機関相談」の5ステップで対応。身代金は絶対に支払わないことが鉄則です
- 個人情報が含まれるデータが漏洩した場合は個人情報保護委員会への報告義務が発生するなど、法的対応も事前に確認しておきましょう
- IT導入補助金(セキュリティ対策推進枠)を活用すれば、補助率最大3/4でセキュリティツールの導入コストを大幅に抑えられます
ランサムウェア対策は「完璧な防御」を目指すのではなく、「感染しにくくする予防策」と「感染しても業務を止めない回復力」の両輪で取り組むことが現実的です。本記事のステップを参考に、今日できることから一つずつ実施してみてください。
参考文献
1. 独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2026」2026年1月、https://www.ipa.go.jp/security/10threats/10threats2026.html 2026年6月23日取得
2. 警察庁サイバー警察局「令和7年におけるサイバー空間をめぐる脅威の情勢等について」2026年3月、https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7/R07_cyber_jousei.pdf 2026年6月23日取得
3. 警察庁サイバー警察局「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」2025年9月、https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf 2026年6月23日取得
4. 経済産業省・IPA「中小企業の情報セキュリティ対策ガイドライン第4.0版」2026年3月、https://www.meti.go.jp/press/2025/03/20260327002/20260327002.html 2026年6月23日取得
5. 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」、https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ 2026年6月23日取得
この記事に興味を持った方におすすめ
