2026.06.09

【セミナレポート】激化するランサムウェアの実態～復旧の命運を分ける正しいバックアップの保管場所とは～

第一部：激化するランサムウェアの実態～復旧の命運を分ける正しいバックアップの保管場所とは～（西尾素己氏）ランサムウェア被害の増加と「ノーウェアランサム」の台頭ランサムウェア攻撃のビジネスモデルランサムウェア攻撃の入り口ランサムウェア攻撃の構造プロセスランサムウェア攻撃の構造プロセスから考えるセキュリティ対策バックアップ保管場所の重要性第一部まとめ第二部： USEN GATE 02 が提案するバックアップソリューションクラウドバックアップサービス（Va）とは？第二部まとめ

サイバーセキュリティラボでは、中堅・中小企業向けに、サイバーセキュリティに関する情報発信の場としてセミナーを不定期開催しています。

2026年5月20日（水）には「ランサムウェア攻撃の実態」と「バックアップの保管場所」をテーマにセミナーを実施しました。
第一部では、東京大学先端科学技術研究センター客員研究員の西尾氏より、ランサムウェアの攻撃手法と機能構造から理解するバックアップの重要性を解説いただきました。第二部では、USEN ICT Solutionsの鈴木より、オフライン保管と世代管理を実現し、運用負荷を抑えるクラウドバックアップサービス（Va）の紹介を行いました。本記事では、セミナーの内容を一部抜粋してお届けします。アーカイブ配信も行っておりますので、あわせてご確認ください。

^{※ 本記事の内容は、セミナー開催時点の情報です。}
^{※ 本記事はサイバーセキュリティに関する啓発や考察を目的としています。特定の企業・団体を批判する意図は一切ありません。}

激化するランサムウェアの実態～復旧の命運を分ける正しいバックアップの保管場所とは～

講師

西尾素己氏

東京大学先端科学技術研究センター
客員研究員

幼少期よりサイバーセキュリティ技術を独学。2社のITベンチャー企業で新規事業立ち上げを行った後、国内セキュリティベンダーで脅威分析や、未知の攻撃手法、防衛手法の双方についての基礎技術研究に従事。大手検索エンジン企業に入社し、サイバー攻撃対策や社内ホワイトハット育成、キャピタルファンドへの技術協力などに従事した後コンサルティングファームに参画。同時に多摩大学ルール形成戦略研究所にサイバーセキュリティ領域における国際標準化研究担当の首席研究員として着任。2017年にサイバーセキュリティの視点から国際動向を分析するYoung Leaderとして米シンクタンクに着任。

鈴木翔太

株式会社USEN ICT Solutions
IaaS＆DCプロダクト部部長

2008年に株式会社USEN ICT Solutionsに新卒入社後、法人向けICTインフラサービスの営業部門に従事。その後、営業部門のマネジメントを経験後、市場におけるIaaS需要の拡大とともにIaaS事業の立ち上げを行う。現在はデータセンター事業も担当しており、オンプレからクラウドまでお客様のご要件に応じたインフラ環境の構築を支援。

第一部：激化するランサムウェアの実態～復旧の命運を分ける正しいバックアップの保管場所とは～（西尾素己氏）

第一部では、近年激化するランサムウェア攻撃の実態やその内部構造をはじめ、データを守り抜くために必要なバックアップの保管場所の重要性について解説しました。

ランサムウェア被害の増加と「ノーウェアランサム」の台頭

2025年のランサムウェア被害は、2024年と比較して約23%増加しています。この増加を牽引しているのが、「ノーウェアランサム」と呼ばれる攻撃です。

Ransomware 2026 FigureFigure 5：Claimed Extortion Attacks, Including Encryptionless Extortion Attacks, 2022–2025｜Broadcom Inc.

ノーウェアランサムとは

ノーウェアランサムとは、システムやファイルを暗号化せずにデータを盗み出し、「公開されたくなければ金銭を支払え」と脅迫するサイバー攻撃の手口です。従来のランサムウェアとノーウェアランサムは、攻撃手法や攻撃スピード、検知の難易度などが大きく異なります。

なぜノーウェアランサムが増えているのか？

ノーウェアランサムが増加した背景には、主に2つの理由があります。1つ目は、大量のファイルを一斉に暗号化するという異常な振る舞いが、EDRなどの高度なセキュリティシステムに検知されるリスクを回避したいという狙いがあるためです。2つ目は、身代金を支払った企業に対して、復号（データ復元）時に発生する技術的なトラブルの手間を排除するためです。

この2つの理由により攻撃者は、暗号化の代わりに「データの完全削除」という手法を選択するようになりました。企業にとっては、身代金を支払ってもデータが復元される見込みがないため、従来のランサムウェア被害を遥かに上回る、極めて深刻な復旧困難に直面しています。

^{※ EDR（Endpoint Detection and Response）：端末の動作を監視し、サイバー攻撃を検知・対応するシステム}

ランサムウェア攻撃のビジネスモデル

そうしたランサムウェア攻撃から自社を守るためには、まず、ランサムウェアの「ビジネスモデル」について理解する必要があります。

RaaS（Ransomware as a Service）について

現在のランサムウェア攻撃は、「RaaS（Ransomware as a Service）」というサービス形態のもと、莫大な利益を生み出す巨大なビジネスとして確立されています。

「Ransomware Gang（ランサムウェアギャング）」と呼ばれる元締めが、攻撃ツールと多言語対応のマニュアルを「Affiliates（アフィリエイター）」や「User（ユーザー）と呼ばれる実行犯に提供します。実行犯はこれを利用して攻撃を行い、身代金の約7〜8割を報酬として受け取ります。

この実行犯は必ずしも高度な技術を持つ専門家ではなく、素人であることも少なくありません。そのため、手始めに中小企業が標的にされやすい傾向があります。

RaaS（Ransomware as a Service）のイメージ図

ランサムウェア攻撃の入り口

こうした実行犯たちは、どこから社内のネットワークへと侵入するのでしょうか。ここからは、ランサムウェア攻撃の最初のステップとなる「侵入の起点」について解説します。

侵入の起点となる「InfoStealer」の脅威

昨今のランサムウェア攻撃において、侵入の入り口として最も多いのが、全体の約41%を占める「有効なアカウントの悪用」です。これを可能にしているのが、「InfoStealer」と呼ばれる情報窃取型マルウェアです。

Ransomware 2026｜Broadcom Inc.

「InfoStealer」とは

「InfoStealer」とは、主にブラウザに寄生して情報を盗み出すマルウェアです。「InfoStealer」の大きな特徴は以下の通りです。

EDRでの検知が不可能：文字を盗んで送るという単純な動作のため正規ソフトと区別がつかない
長期的な潜伏が可能：検知されないまま5年以上も潜伏し、PCの買い替えまで情報を盗み続けるため、定期的なパスワード変更や多要素認証も突破されてしまう

窃取された認証情報はブラックマーケットで売買され、攻撃者はその有効な認証情報を使って企業のネットワーク（VPNやSaaS環境など）に侵入し、ランサムウェアを散布します。英国系自動車メーカーや国内大手企業における数ヶ月に及ぶ大規模なシステム停止も、業務委託先などの端末がInfoStealerに感染したことが起点となっています。

ランサムウェア感染までの流れ

ランサムウェア攻撃の構造プロセス

ランサムウェア攻撃によるシステム停止は、ウイルス感染から肺炎死で命を落とすプロセスに非常に似ています。ここからは、システム停止までの4つのプロセスを、肺炎が進行していくプロセスと対比しながら解説します。

肺炎死とランサムウェアと進行フロー図

1．マルウェア感染（風邪）

攻撃の始まりとなる最初の1台への侵入段階です。メールの開封や、闇市場で取引された認証情報の悪用により、最初の1台の端末がマルウェアに感染します。

2．防御機能破壊/権限昇格（肺炎）

最初に侵入した端末やシステムを完全にコントロール下に置く段階です。

この段階で、攻撃者は一般ユーザー権限から最高位の管理者権限への格上げを狙います。近年では「DLLサイドローディング」や、「BYOVD」という手法が主流です。これらの手法により Windows の根本であるカーネル領域を乗っ取り、EDRなどの防御機能はほぼすべて無効化されます。この段階に達すると、OSを再インストールしても駆除できない状態に陥ります。

^{※ DLLサイドローディング（Dynamic Link Library Side-Loading）： Windows がプログラムを動かすために必要な「DLL（共有ライブラリ）」の読み込み順序を悪用するサイバー攻撃手法
※ BYOVD（Bring Your Own Vulnerable Driver）：攻撃者が既知の脆弱性を持つ正規のドライバーを標的環境にあえて持ち込み、不正利用するサイバー攻撃手法}
^{※ カーネル領域：OSの核であるカーネルやデバイスドライバーなどが動作し、メモリやハードウェア資源を直接制御する特権的なメモリ領域}

3．横移動（敗血症）

乗っ取った端末を拠点（踏み台）にし、組織全体のネットワークへ被害を拡大させていく段階です。前段階で奪った最高権限などを悪用して新たな管理者アカウントを作成することで、社内にある他のサーバーや端末を樹形図状に次々とスキャンを可能にし、支配下に収めていきます。

4．情報漏えい／暗号化／削除（多臓器不全）

標的とした組織全体を機能停止に追い込む、最終的な攻撃段階です。

ファイルを暗号化や削除する前に、外部の攻撃者サーバー（C&Cサーバー）と通信を確立し、外部に機密情報を漏えいさせます。その後、前段階でスキャンしたシステム全体に対して一斉にファイルの暗号化や削除を行い、会社全体の業務を完全にストップさせます。

ランサムウェア攻撃の構造プロセスから考えるセキュリティ対策

ランサムウェアの感染から被害拡大に至るまでの構造を理解し、以下の画像を参考に段階ごとの対策を立てることが重要です。

ランサムウェア（補機含む）の機能構造まとめ

EDRは機械的予防に効果的

セキュリティ対策におけるEDRの役割は、風邪と抗生剤の関係に似ています。EDR（抗生剤）は「侵入の初期段階（風邪の引き始め）」には極めて有効ですが、一度侵入を許した「侵入後の段階（風邪を引いた後）」では、効果が低下します。

InfoStealerなどを用いた「認証情報の悪用」に対して、初期侵入を防ぐだけのEDRは万能ではありません。そのため、EDRで防げる領域（風邪を引く手前）は確実にガードし、防げない2段階目のリスクには別の対策を重ねる「EDRを前提とした多層防御」の視点での導入が不可欠です。

ランサムウェアの進行プロセスとEDRの効果

バックアップ保管場所の重要性

ランサムウェア攻撃の構造プロセスで解説したように、ランサムウェアは、ネットワーク上で繋がっている機器を次々とスキャンし、感染を広げていきます。そのため、ランサムウェア被害からデータを守るためには、「自社ネットワークや既存のアカウント権限から完全に隔離された場所」にバックアップを保管することが重要です。

ランサムウェアによるバックアップ破壊の仕組み

3つのバックアップ基本要件

ランサムウェア攻撃によるデータ暗号化・削除の被害に遭った際、身代金を支払わずに復旧するためには、以下の3つの要件を満たしたバックアップ体制が不可欠です。

自社ネットワーク（アクセス制御）から完全に切り離されていること
なるべく長い期間の世代保管ができていること
復旧方法や復旧先が柔軟であること

最優先でバックアップすべき2つのデータ

システム停止を防ぎ、業務を継続するために、最優先でバックアップすべきデータは「止まるとまずいシステムの情報」であり、大きく以下の2つに分類されます。

情報	内容
Uプレーン／Cプレーン情報（顧客データなど）	日々の業務が完全にストップしてしまう、人間が利用する重要データ
システム構成ファイル	システムそのものを動かし、構成するために不可欠なファイル

優先すべきバックアップデータについて

第一部まとめ

ランサムウェア攻撃は暗号化なしのデータ窃取・削除型へと悪質化している
侵入経路の多くはEDRで検知しにくいInfoStealerによる有効なアカウントの悪用
ランサムウェアの構造を理解し、セキュリティ対策を立てる必要がある
ランサムウェアのネットワーク内での拡散・破壊を防ぐためには、社内ネットワークから完全に切り離された（オフラインなど）安全な場所にバックアップを保管することが最も重要

第二部： USEN GATE 02 が提案するバックアップソリューション

第二部では、 USEN ICT Solutionsの鈴木より、クラウドバックアップサービス（Va）を紹介しました。

クラウドバックアップサービス（Va）とは？

クラウドバックアップサービス（Va）はオンプレミスに一次バックアップ、クラウドに二次バックアップを取得する、ハイブリッド型のバックアップサービスです。オフラインでもバックアップ可能なため、ランサムウェア対策に非常に有効です。

専用機器の設置による2段階のバックアップ

社内に設置する専用機器（一次保管）と、外部のクラウド環境（二次保管）を組み合わせた計2ヵ所でバックアップを行います。

この専用機器は、外部からのアクセスを完全にブロックし、専用機器側からの戻り通信のみを受け付ける強固なセキュリティ設計となっています。そのため、万が一社内のPCがランサムウェア等に感染した場合でも、バックアップデータへの不正アクセスを徹底的に防ぐことができます。また、データは最大31世代（31日分）まで保持できるため、過去の任意の時点への復旧が可能です。

クラウドバックアップサービス（Va）のイメージ図

対象サーバーへの影響は最小限

重複排除や圧縮、暗号化といった処理を専用機器内で行うため、対象サーバーへの影響は最小限に抑えることができます。さらに、アーカイブ化されたデータのみを、圧縮・暗号化した上でクラウドにアップロードするため、インターネット回線や業務への負荷を最小限に抑えつつ、高いセキュリティを確保できます。

クラウドバックアップサービス（Va）のアーカイブ化によるサーバー・回線負荷最小化の仕組み

簡単操作が可能の管理画面と安心の日本語マネージドサポート

管理画面のボタン操作のみで、ファイル単位でのフォルダ選択やスケジュール設定が簡単に行えます。また、導入後の運用チェックやリストアテストが未実施になりがちな課題に対し、日本語対応のサポートセンター（マネージドサポート）が日々の動作を常に監視します。

クラウドバックアップサービス（Va）の管理・サポート体制図

第二部まとめ

USEN GATE 02 が提供するクラウドバックアップサービス（Va）が提供する専用機器は、あらかじめ許可された特定の通信以外を受信しない仕組みのため、ネットワークに接続しながらも擬似的なオフラインバックアップが実現可能
最大31世代のデータ管理とフォルダやファイル単位での設定が可能なわかりやすい管理画面を備え、クラウドへの二次バックアップ転送時にも暗号化や圧縮を行い、運用負荷をかけずに安全にデータの保護が可能

クラウドバックアップサービス（Va）

オンプレミスに一次バックアップを、クラウドに二次バックアップを取得する、ハイブリッド型のバックアップサービスです。

現状のバックアップサービスを見直したい方は以下のお役立ち資料もご活用ください。

YesNoテストで丸わかり！バックアップ安全性診断

まとめ

ランサムウェアは検知を逃れるため、ファイルの暗号化を行わずに削除・窃取を行う手法が増加しており、InfoStealerで奪われた認証情報が侵入の引き金となっている。
ネットワーク経由で次々と端末やサーバーを掌握するランサムウェアに対抗するには、社内ネットワークから完全に切り離された場所（オフライン）でのバックアップが必須である。
USEN GATE 02 が提供するクラウドバックアップサービス（Va）は、擬似的なオフラインバックアップを提供し、運用負荷を抑えながらデータ復旧環境を構築できる。

セキュリティ対策・セキュリティサービスに関するお問い合わせはこちら

お問い合わせ

執筆者

長幡開介

2002年、株式会社USEN（現：株式会社USEN ICT Solutions）入社。法人向けICTソリューション営業で経験を積み、2013年より全サービスの企画開発責任者を務める。2025年には、安全な事業運営を支援したいという想いから、USEN ICT Solutions内にサイバーセキュリティの情報発信組織「サイバーセキュリティラボ」を設立。現在は、約4万社へのICTサービス提供実績を背景に、AIと現場を繋ぐ「クラッチ」の役割を担うべく、AIの情報発信メディア「AI-Clutch」の編集長に就任。セキュリティとAI実装の両面から、中堅・中小企業のDXを力強く牽引している。

月刊マルウェア分析 2026年4月版｜XWorm の台頭とLOTLの脅威

【セミナレポート】激化するランサムウェアの実態 ～復旧の命運を分ける正しいバックアップの保管場所とは～

講師

西尾 素己 氏

鈴木 翔太

第一部：激化するランサムウェアの実態 ～復旧の命運を分ける正しいバックアップの保管場所とは～（西尾 素己 氏）