1. よくある4つの侵入経路

ランサムウェアは、いきなり社内のサーバーやバックアップを狙ってくるわけではありません。ほとんどの場合、まず「入りやすい扉」から静かに入り込みます。ここでは、中小企業で特によく見られる4つの入り口をご説明します。

（1）不審メール（添付ファイル・URL）

もっともイメージしやすいのは、メールをきっかけにした侵入です。実在する取引先や宅配業者を名乗ったメールに、添付ファイルやリンクが付いており、それを開いたことをきっかけに、パソコンの中に不正なプログラムが入り込むケースがよくあります。

• 請求書や見積書を装った添付ファイル
• 「パスワードの有効期限切れ」「アカウントが停止されました」といった、不安をあおる件名
• URLをクリックすると、本物そっくりのログイン画面が表示される

こうしたメールは、1通でも引っかかれば十分です。全社員のうち1人でも開いてしまえば、そこから社内に広がる可能性があります。

（2）古いままのVPN機器

在宅勤務や外出先からのアクセスのために、社内ネットワークに入る「VPN機器」を使っている会社は多くなりました。このVPN機器に、発売後に見つかった弱点（脆弱性）が放置されていると、そこが攻撃者の入り口になります。

• 長年、設定も更新もしていないVPNルーター
• サポートが終了している古い機器
• 初期設定のまま使っている管理者パスワード

攻撃者は、インターネット上に公開されているVPN機器を自動で探し出し、弱点があるものを片っ端から試します。特定の会社を狙っているというより、「開いているドアを順番に押している」イメージに近いです。

（3）リモートデスクトップなどのリモート接続

テレワークのために、会社のパソコンに自宅から直接つなげる仕組み（リモートデスクトップなど）を使っているケースもあります。ここで、インターネット側に直接公開されていたり、弱いパスワードが使われていると、外部からパスワードを総当たりで試され、乗っ取られてしまうことがあります。

• 「社内だけで使うつもりだったが、実はインターネットに公開されていた」
• 退職者のアカウントがそのまま残っていた
• IDとパスワードが複数人で共有されていた

一度リモート接続の入口が破られてしまうと、社内の重要なサーバーにまで一気にアクセスされる危険があります。

（4）取引先・委託先からの「横展開」

もうひとつ見落とされがちな入り口は、取引先や委託先のシステムからの「横展開」です。たとえば、自社と取引先のシステムが専用線やVPNでつながっている場合、取引先が先に侵入され、その経路を使って自社側にも侵入してくる可能性があります。

「相手先は大企業だから安心だろう」と思っていても、設定の仕方や運用の状況によっては、お互いにリスクを持ち込んでしまう形になります。自社だけでなく、つながっている先との関係も含めて考える必要があります。

2. ランサムウェア攻撃の5ステップ

侵入経路から会社の中に入ったあと、攻撃者はすぐにデータを暗号化するわけではありません。最近のランサムウェアは、「いかに効率よくお金を取るか」を考えたビジネスのように動きます。その流れを、あえてシンプルに5つのステップに分けてみます。

ステップ1：侵入

まず、前の章で挙げたような経路（メール、VPN機器、リモート接続など）から、1台のパソコンやサーバーに入り込みます。この段階では、見た目にはほとんど異変がなく、ウイルス対策ソフトも気づかない場合があります。

ステップ2：偵察（社内の様子を調べる）

次に、社内ネットワークの構造や、どのサーバーにどんなデータがあるのかを静かに調べます。どのパソコンが管理者権限を持っているか、どこに重要なファイルサーバーやバックアップサーバーがあるか、といった「地図」を頭の中で作っていくイメージです。

ステップ3：拡大（権限を奪い、広がる）

偵察で得た情報をもとに、管理者権限を持つアカウントや、他のパソコン・サーバーへの入り口を探し、侵入範囲を広げていきます。ここで狙われるのが、「共有パスワード」や「長年変えていない管理者パスワード」です。

この段階で、社内の多くのパソコンやサーバーに、攻撃者が自由に動ける状態が作られてしまうことがあります。

ステップ4：暗号化・データの窃取（コピー）

攻撃者が十分に有利な位置を確保したと判断すると、重要なデータをまとめて暗号化し、同時に外部へコピー（持ち出し）します。最近は、「暗号化して業務を止める」だけでなく、「コピーしたデータを公開すると脅す」ことで、二重に金銭を要求する手口が一般的になっています。

また、バックアップの場所や方法が知られてしまうと、バックアップも一緒に暗号化され、復旧がより難しくなってしまいます。

ステップ5：恐喝（身代金要求）

最後に、会社の画面に「データを元に戻したければ、お金を払え」「支払わないとデータを公開する」といったメッセージが表示されます。連絡用のメールアドレスやチャットアドレスが示され、暗号資産での支払いを求められることが多いです。

このときにはすでに、社内のあちこちが暗号化され、業務の多くが止まっている状態になっている可能性があります。ここまで来てから対処を考えるのは、非常に厳しい状況です。

3. 中小企業で特に弱くなりがちなポイント

ここまで見てきた流れの中で、中小企業ではどこが特に弱くなりやすいのでしょうか。典型的なパターンを3つ挙げます。当てはまるところがないか、ぜひ自社の状況を思い浮かべながら読んでみてください。

ポイント1：急いで作ったテレワーク環境がそのまま

コロナ禍のときに、「とりあえず在宅勤務ができるように」と急いで環境を作り、その後きちんと見直されていないケースは少なくありません。

• 一時的なつもりで開けたリモート接続が、今も開きっぱなし
• テスト用に設定したID・パスワードが本番で使われ続けている
• ルールが整う前に現場で独自にやり始めた方法が、今も残っている

「あのときの仮対応」が、いまの弱点になっていることも多いのです。

ポイント2：古い機器・古いソフトがそのまま動いている

中小企業では、「まだ動いているから」「止めると業務に支障が出るから」という理由で、古いサーバーやルーター、業務ソフトが長く使われがちです。

• メーカーのサポートがすでに終了している機器
• 更新のたびに不具合が心配で、つい先送りしているソフト
• 誰が設定を担当しているか分からず、触るのが怖いシステム

こうした「触られずに放置されている部分」こそ、攻撃者から見ると魅力的な入口になります。

ポイント3：パスワードと権限の管理があいまい

パスワードや権限の管理は、地味ですがとても重要です。ここがあいまいだと、侵入後に一気に社内へ広がってしまいます。

• 複数人で同じIDとパスワードを共有している
• 退職者のアカウントが残ったままになっている
• 社長や幹部のアカウントが、実はあちこちのサービスと同じパスワード

「管理が大変だから」と一時的に楽なやり方をしているうちに、それが当たり前になってしまうと、攻撃者にとっては非常に攻めやすい環境になります。

4. 自社チェックのための簡易診断リスト

最後に、ここまでの内容をもとに、自社の状況をざっくり確認できる簡易診断リストをご用意しました。まずは、感覚的でかまいませんので、「はい／いいえ」でチェックしてみてください。

【簡易診断リスト】

• 1年以上、設定を見直していないVPN機器やルーターがある。
• どの機器がインターネットから見える状態なのか、すぐに説明できない。
• 在宅勤務のために作ったリモート接続の設定を、ここ1〜2年見直していない。
• 「みんなが知っている共通パスワード」が、社内に1つ以上存在する。
• 退職者や異動者のアカウント削除が、いつも後回しになっている。
• メールの不審な添付ファイルやURLについて、全社員向けの簡単な教育をした記憶があまりない。
• 社内のどこにどんなサーバーがあるか、把握している人が1人か2人に限られている。
• バックアップのやり方や場所を、経営陣が聞かれてもすぐに答えられない。

目安として、「はい」が3つ以上ついた場合は、ランサムウェアの侵入や拡大を許しやすい状態になっている可能性があります。逆に、今のうちに手を打てば、防げる余地がまだ多くあるとも言えます。

Day4では、この診断結果を踏まえて、「今日〜30日」「30〜90日」で何をするかを整理した基本10対策と90日ロードマップをご紹介します。Day3では、その前に、実際に被害に遭った中小企業のケースを見ながら、「もし自社で起きたら何が止まるか」をイメージしていきます。