要点まとめ： ランサムウェア攻撃は、突然暗号化が行われるのではなく、「侵入・展開・暗号化・要求」という複数の段階を経て進行するケースが一般的とされています。各段階の特徴を理解することで、被害を抑えられる可能性がある点も見えてきます。

---

侵入から要求まで、何が起きているのか

近年、ランサムウェア被害は「突然業務が止まった」「理由がよく分からないままPCが使えなくなった」といった形で表面化することが多いようです。 しかし実際には、ランサムウェア攻撃はいくつかの段階を踏んで進行するケースが一般的とされています。 本記事では、総務・情シス担当者の方を想定し、 侵入 → 展開 → 暗号化 → 要求 という流れに沿って、攻撃の全体像を図解イメージとともに整理します。あわせて、各段階で「防げる可能性がある点」についても考えてみます。

---

ランサムウェア攻撃は「一瞬」では終わらない

「ランサムウェア＝突然ファイルが暗号化される」という印象を持たれがちですが、一般的には事前の準備行動が行われています。 この準備段階に気づけるかどうかが、被害の大きさを左右すると考えられます。

---

攻撃の全体像（4つの段階）

① 侵入：社内ネットワークへの入り口を探す

最初の段階は、攻撃者が社内環境に侵入する場面です。 侵入経路としてよく知られているものには、以下のような例があります。

• メールに添付されたファイルやリンク
• インターネット経由で公開されている機器やサービス
• ID・パスワードの使い回しによる不正ログイン

ここで使われる「マルウェア」とは、悪意のあるプログラム全般を指す言葉です。ランサムウェアもマルウェアの一種とされています。 警察庁の報告でも、VPN機器などからの侵入が多い実態が指摘されています。 防げる可能性がある点 侵入段階では、日常業務の中での「気づき」や「基本的な運用」が影響すると考えられます。必ずしも高度な対策だけが必要になるわけではありません。

---

② 展開：社内での調査と横展開

侵入後すぐに暗号化が始まるとは限りません。 攻撃者は、社内ネットワークの構成や権限関係を調べ、被害を最大化できる位置を探すことが多いとされています。 この段階では、

• 他のPCやサーバーへの接続
• 管理者権限（強い操作権限）の探索
• バックアップの所在確認

などが行われる場合があります。 「横展開」とは、1台の端末から別の端末へ移動していく動きを指します。 防げる可能性がある点 展開には一定の時間がかかることが多く、通信ログや挙動の違和感に気づける余地があると考えられます。

---

③ 暗号化：業務が止まる瞬間

十分な準備が整った後、ファイルの暗号化が実行されます。 「暗号化」とは、専用の鍵がないと元に戻せない形にデータを変換することです。 この段階で、

• ファイルが開けなくなる
• システムが使えなくなる
• 業務データにアクセスできなくなる

といった事象が発生し、現場では混乱が生じやすくなります。 防げる可能性がある点 完全に防ぐことは難しくても、影響範囲を限定できる可能性は残されていると考えられます。

---

④ 要求：金銭や条件の提示

最後に、画面上にメッセージが表示され、金銭などを要求されるケースがあります。これが「身代金要求」と呼ばれる部分です。 ただし、要求に応じるかどうかは、技術だけでなく、経営・法務・取引先への影響など、複数の視点が関係します。 防げる可能性がある点 この段階に至る前に気づけるかどうかが、結果を大きく左右すると考えられます。

---

攻撃の流れを知ることが「業務を止めない」第一歩

ランサムウェア対策というと、「暗号化を防ぐ」点に意識が向きがちです。 しかし実際には、侵入前後の段階でできることも存在すると考えられます。 攻撃の流れを理解しておくことは、

• どこで気づけた可能性があったのか
• どの段階で業務影響が拡大したのか

を冷静に振り返る材料になります。 結論として： 結論を急がず、自社の業務や体制に照らし合わせながら考えることが、周囲に迷惑をかけず、業務を止めないための備えにつながるのではないでしょうか。 ▼ 次回のテーマ 攻撃の最終段階で突きつけられる「身代金要求」。支払えば解決するのか、それとも拒否すべきか。 この難しい経営判断については、『身代金は支払うべきか？日本企業の判断基準』で掘り下げます。