中小企業がランサムウェア攻撃を防止し、そこから回復する方法

多くの中小企業の経営者は、依然としてランサムウェア攻撃は病院やグローバルブランド、または公共インフラにのみ発生するものと考えています。しかし実際には、中小企業のランサムウェアリスクは、攻撃者が価値のあるデータを持ち、時間が限られており、防御が弱い組織を一貫して標的にしていることを示す最も明快な例の1つです。

Protonのデータ侵害観測所（Data Breach Observatory）による最近の調査結果では、中小企業（SMB）が頻繁に侵害の被害に遭っていることが示されています。また、これらの中小企業は、高リスクデータに関わる侵害や大規模な記録流出を含む、最も深刻な被害をもたらすインシデントにおいて不釣り合いなほど高い割合を占めています。

ランサムウェアは、事業継続、認証情報のセキュリティ、およびデータ保護の問題です。英国政府のサイバーセキュリティ侵害調査によると、英国企業の1%が過去12ヶ月間にランサムウェアインシデントを特定しており、これは2024年の0.5%未満から上昇しています。国家規模で見ると、これは推定19,000社に相当します。

ランサムウェアの増加にもかかわらず、フィッシングは依然として最も一般的なタイプのサイバー攻撃です。攻撃者は、大規模なサイバー攻撃よりも、人、認証情報、および日常のワークフローを通じてビジネスネットワークにアクセスすることが最も多いです。攻撃者は本質的に、より多額の報酬が得られると感じた場合、フィッシング攻撃を利用してさらに大規模なランサムウェア攻撃を仕掛けることができます。

中小企業にとって、ランサムウェアによる被害は事業継続に重大な支障をきたす可能性があります。チームメンバーはファイルへのアクセス権を失い、業務を継続できなくなり、運営は停滞または停止し、顧客やクライアントは適切なサービスを受けられなくなります。個人データが侵害された場合は、報告義務が生じます。中小企業向けの実用的なランサムウェア戦略は、攻撃の2つの側面、すなわち「防止」と「回復」の両方をカバーする必要があります。

ランサムウェアの仕組みは？

ランサムウェアは、通常、ファイルを暗号化することでお客様がデバイスやデータにアクセスすることを妨げ、その復号と引き換えに支払いを要求するマルウェアの一種です。多くの場合、攻撃者は現在、ファイルをロックする以上のことを行います。彼らはデータを盗み、身代金が支払われない場合はそれを漏洩させると脅します。これにより、インシデントは可用性の危機と潜在的なデータ侵害の両方へと変わります。

被害者はしばしば、匿名のメールやウェブページを通じて連絡を取り、暗号資産で支払うよう指示されます。中小企業にとって、この区別は重要です。なぜなら、暗号資産は匿名性が高く、分散型であり、従来の金融機関によって規制されていないため、支払いを追跡することがほぼ不可能だからです。

ランサムウェアの予定は、ファイルへのアクセスを失うことだけに限定されるとは限りません。それは、顧客情報、従業員データ、財務記録、契約書、またはログイン認証情報がすでに流出している可能性があることも意味します。ランサムウェアは、個人データへのタイムリーなアクセスの喪失を招き、バックアップが適切でない場合や利用できない場合には、永続的な喪失につながることさえあります。

攻撃チェーンは、通常、予想されるよりも平凡なものです。ランサムウェア攻撃につながる可能性のある、見落としやすいインシデントには以下が含まれます。

• フィッシングリンクがクリックされる。
• 使い回されたパスワードがデータ侵害で公開される。
• リモートアクセスサービスが公開されたままになっている。
• 既知の脆弱性が修正されないまま放置されている。

攻撃者は一度ビジネスネットワークへのアクセスに成功すると、ネットワーク内を横方向に移動し、権限を昇格させ、可能な限り回復パスを無効化し、最も打撃の大きい場所で暗号化や恐喝をデプロイします。ランサムウェア攻撃を防止できる単一のツールやソリューションは存在しません。代わりに、組織は自社ネットワークへの容易な侵入パスの数を減らすことに注力する必要があります。

なぜ中小企業が不釣り合いに標的にされるのか

中小企業が魅力的なランサムウェアの標的となるのには単純な理由があります。それは、中小企業が本来あるべき姿ほど保護されていない価値のあるデータを保持しているからです。Protonの最新の観測結果によると、2025年1月以降に追跡された侵害の63%を中小企業が占めており、3億5,200万件以上の記録が漏洩防止されています。

また、高リスクデータに関わる侵害の61%も中小企業が占めており、これらの中小企業のみで重大なインシデントの48%を代表しています。10万件以上の記録を公開した侵害のうち、中小企業は60%を占め、そのうち小規模企業が42%を占めています。

中小企業は不注意なわけではありません。実際、Protonの2026年度中小企業サイバーセキュリティレポートでは、中小企業がサイバーセキュリティの向上に努めていることが証明されています。問題は、現実世界の状況において彼らの防御が破られていることです。一貫性のない適用、ヒューマンエラー、共有アクセスの習慣、および限られた内部セキュリティ能力が、中小企業を格好の標的にしています。

従業員250名以下の企業のリーダー3,000人を対象としたProton의調査では、39%がインシデントはヒューマンエラーに起因していると回答し、48%がパスワードマネージャーを導入していないと回答しました。

大企業には、専任の対応チーム、セグメント化された環境、テスト済みのバックアッププラン、および外部のインシデントサポートがすでに整っている場合があります。一方、小規模な企業では、IT機能が最小限であったり、サポートを外部委託していたり、専任のセキュリティ専門家がいなかったりすることがよくあります。攻撃を受けた際、企業は運営上のプレッシャーの下で、極めて重要な決断を迫られます。このプレッシャーこそが、ランサムウェア運営者が期待しているものなのです。

中小企業におけるランサムウェアの最も一般的な侵入ポイント

英国で実施された調査を検討した結果、フィッシングは依然として企業にとって主要なサイバー犯罪の媒介手段であることが分かっています。しかし、なぜでしょうか？それは、フィッシングが認証情報の窃取、アカウントの侵害、マルウェアの配信、またはリモートアクセスの悪用への第一歩となることが多いからです。

脆弱な認証情報や使い回された認証情報も大きな問題です。中小企業では、ログインの共有、複数のサービスにわたるパスワードの使い回し、あるいは役割が変わったり退職したりした後も有効なままのアカウントが頻繁に見られます。攻撃者は有効なログインを1つ入手すれば、アカウントをハッキングする必要はありません。単にサインインするだけです。

そこから、十分に保護されていない管理者アカウント、公開されたクラウドコンソール、または2要素認証（2FA）のないリモートアクセスポイントが、広範なランサムウェアインシデントへの架け橋となる可能性があります。現実的には、組織は2FA、最小権限アクセス、および定期的な権限レビューをデプロイして、盗まれた認証情報がいかに簡単に再利用されるか、またマルウェアがどこまで広がるかを抑制する必要があります。

パッチが適用されていないソフトウェアも、よくある侵入経路の一つです。NCSC（英国国家サイバーセキュリティセンター）は、RDPなどの公開されたサービスや、パッチ未適用のリモートアクセスデバイスを介してランサムウェアが展開されるケースが増えていると指摘しています。そのため、リモートアクセスやインターネットに接続されたシステムの脆弱性に対しては、修正プログラムが提供され次第、速やかにパッチを適用することを推奨しています。中小企業（SMB）にとって、インシデントの見逃しはそのまま攻撃対象領域の拡大に直結します。

ランサムウェアから身を守る方法：多層防御アプローチ

ランサムウェアを完全に防ぐことができる単一の制御策は存在しません。最も効果的なアプローチは、多層的かつ実用的な対策を講じることです。

まずはユーザー情報の管理から始めましょう

ランサムウェア攻撃を退けるには、チームメンバーのアカウント内のデータを徹底的に保護する必要があります。メール、管理者ツール、クラウドストレージ、財務プラットフォーム、リモートアクセスポイント、および顧客の個人データやその他の機密性の高い個人識別情報（PII）を保存するすべてのシステムを中心に、ビジネスに不可欠なアカウントに対して可能な限り2要素認証を義務付けてください。

パスワードの衛生状態（ハイジーン）を改善する

攻撃者は常にアカウントをハッキングするわけではありません。多くの場合、盗まれた、あるいは使い回された認証情報を使用してログインします。すべてのビジネスアカウントに固有の強力なパスワードを設定する必要があり、アクセスの共有は、スプレッドシートやチャット、メールではなく、ビジネスパスワードマネージャーを通じた、管理された安全な認証情報の共有に置き換えるべきです。

Proton独自の中小企業レポートでは、ツールを導入している企業であっても、依然として安全でないパスワード共有の習慣に陥っていることが多いことが浮き彫りになっています。これこそが、Proton Pass for Businessのような安全なビジネスパスワードマネージャーがリスクを軽減できるポイントです。チームが強力で固有の認証情報を作成し、安全に保管し、管理された安全な方法でアクセスを共有することをサポートします。

パッチ管理は徹底しなければなりません

オペレーティングシステム、アプリ、VPN、リモートアクセスツール、境界デバイスのセキュリティ更新は、任意のメンテナンスではなく、運用上の不可欠な事項として扱う必要があります。セキュリティ更新はできるだけ早くインストールし、可能な場合は自動更新を有効にしてください。

堅牢なメールおよびウェブ保護

メールフィルタリング、添付ファイルの制御、既知の悪質なサイトのブロック、安全なブラウジング保護はすべて、そもそもランサムウェアが送り込まれる可能性を低減します。フィッシングは非常に一般的であるため、これらの制御は不可欠です。

ヒューマンエラーへの対処

セキュリティ対策やパスワードポリシーを導入していても、セキュリティ意識向上トレーニングは依然として必要です。トレーニングはスタッフが不審なメールやソーシャルエンジニアリングの試みに気づくのに役立ちますが、それでも人はミスを犯すものです。

より強力なツールや機能、アクセス制御は、ミスが起こることを前提とする必要があります。NCSCは意識向上トレーニングを明確に推奨していますが、Protonの調査でも、トレーニングだけではすべてのミスを防ぐことはできないと指摘されています。優れたセキュリティ設計は、2要素認証、最小権限アクセス、より強力なメール保護、セグメント化されたアクセス、または復旧をサポートする検証済みのバックアップなどを通じて、誰かがクリックしてしまった際の一つのミスが大規模なインシデントに発展する可能性を低くし、被害を軽減します。

必要になる前に、回復手段を保護する

バックアップは定期的かつ隔離された状態で行い、テストする必要があります。ICO（情報コミッショナーオフィス）は「3-2-1アプローチ」（3つのコピーを、2つの異なるデバイスに保存し、1つをオフサイトに保管する）を推奨しています。NCSCは運用上の重要な警告を付け加えています。ランサムウェアは発見される前に環境に侵入している可能性があるため、バックアップは復元前にスキャンする必要があり、バックアップシステム自体も保護されるべきです。

認証情報のつながり：ランサムウェア防御においてパスワードが依然として重要である理由

ランサムウェアを単なるマルウェアと考え、パスワードが攻撃の成功に一役買っていることを忘れがちです。しかし、多くのランサムウェアインシデントは、ログイン情報の窃盗、使い回し、または悪用から始まります。

これには、スタッフが別のサービスからパスワードを使い回していること、元請負業者のアカウントが有効なままであること、管理者の認証情報が複数人で共有されていること、あるいは公開されたリモートアクセスポイントがパスワードのみで保護されていることなどが含まれます。これらのショートカットは、それぞれが攻撃対象領域を拡大させることになります。

これが、強力な認証情報管理がいかなるランサムウェア回復プランや予防フレームワークにも含まれるべき理由の一つです。サービスごとに固有のパスワードを使用することで、一つの盗まれたログイン情報による被害範囲を抑えることができます。MFA（多要素認証）は盗まれたパスワード単体での有用性を低下させ、認証情報の中央集中型のストレージは、安全でない回避策の必要性を排除します。

安全な共有とは、従業員が非公式なパスワード共有ではなく、管理され追跡可能な方法を通じて必要なアクセス権を得ることを意味します。誰が何に対してアクセス権を持っているかを定期的に見直すことも、NCSCが横方向の移動や拡散を制限するための一環として推奨している「最小権限の原則」をサポートします。

弊社は中小企業が直面するランサムウェアの脅威について、幅広く執筆してきました。そこで繰り返し見えてきたのは、攻撃者は単に最も有名な企業を狙うのではなく、より侵入しやすい企業をますます探しているという実態です。

中小企業が被害に遭った場合の対処法

1. インシデントの封じ込め

ビジネスが攻撃を受けた場合、最優先事項は被害の封じ込めです。感染したデバイスをネットワークから切断し、侵害されたアカウントが特定できる場合は無効化してください。リモートアクセスパスを隔離し、証拠を保存します。後でフォレンジックサポートが必要になる可能性があるため、システムの消去を急ぎすぎないようにしてください。

2. インシデントの報告

NCSCは英国の組織に対し、インシデントを報告するよう助言しており、対応と回復のための専用のランサムウェアガイダンスを提供しています。また、Protonのインシデント対応ガイドも、封じ込め、調査、コミュニケーション、回復に関する広範な意思決定プロセスを構築する上で有用なリファレンスとなります。

3. 身代金を支払わない

NCSCおよび英国の法執行機関は、身代金の要求に応じることを推奨、支持、または容認していません。身代金を支払っても、アクセスを回復できる保証はなく、システムは依然として感染したままである可能性があり、犯罪組織に資金を提供することになり、再び標的にされる可能性が高まると指摘しています。

ICOも同様に、身代金の支払いが人々へのリスクを軽減したり情報を保護したりすることにはならないと明確に述べています。たとえ復号キーが提供されたとしても、それが機能する保証はなく、盗まれたデータが漏洩しないという保証もありません。

4. 回復の開始

回復は、時間をかけて確実な復元に重点を置くべきです。つまり、クリーンなバックアップから再構築し、攻撃パスが閉じられていることを確認し、影響を受けた認証情報を更新し、慎重にアクセスを再有効化し、何が起こったのかを文書化することを意味します。バックアップが稼働中のシステムに接続されていたり、テストされていなかったりする場合、企業は最初の障害に続いて2度目の失敗に気づくことがよくあります。優れたランサムウェア回復プランは、実際にはインシデントが発生するずっと前から始まっているのです。

英国における報告義務：ICOの関与が必要となる場合

ランサムウェアのインシデントが個人データに影響を与える場合、これは英国GDPRに基づく個人データ侵害に該当する可能性があります。ICOは、個人データへのアクセスができなくなること自体が、個人にリスクが生じる場合の侵害になり得ると説明しています。侵害によって人々の権利と自由に対するリスクが生じる可能性がある場合は、不当に遅延することなく、可能であれば72時間以内にICOに通知しなければなりません。リスクが高い場合は、影響を受けた個人にも不当に遅延することなく通知する必要があります。

一部の組織は、システムを迅速に復元したり、明らかな公開漏洩がなければ報告は不要であると依然として考えています。しかし、それは安全な想定ではありません。ICOのランサムウェアガイダンスでは、侵害通知のシナリオに明示的に言及しており、評価の基準は盗まれたファイルがオンラインに出回ったかどうかだけでなく、個人へのリスクであると明確にしています。

ランサムウェアは今や中小企業の問題です

中小企業は、かつてない頻度で身代金目的の攻撃を受けており、攻撃者がその脆弱性を悪用するため、ひとたび攻撃を受けるとその影響は深刻なものになります。Protonの最新の侵害データが示す通り、脅威は目に見える形で存在し、増大しており、業務を停止させるほどの影響力を持っています。

幸いなことに、基本的な対策が中小企業にとって大きな役割を果たします。2要素認証を導入し、独自の認証情報を作成するためのビジネス用パスワードマネージャーの使用、パッチ適用、メールフィルタリング、スタッフの意識向上、権限の確認、テスト済みのバックアップ、インシデント対応プランなどの対策は、それ自体は派手ではありませんが、これらが組み合わさることで大きな違いを生みます。これらによって、たった1つの盗まれたパスワード、1通のフィッシングメール、あるいは露出した1つのリモートサービスが、ビジネス全体の中断にまで拡大する可能性を低減できます。