SOC・インシデント対応

ランサムウェア対策チェックリスト【2026年版・企業向け完全版】

ランサムウェア対策チェックリスト【2026年版・企業向け完全版】

2026年のランサムウェア被害動向:依然として最大の脅威

IPAが発行する「情報セキュリティ10大脅威2026(組織編)」において、「ランサムウェアによる被害」は4年連続で第1位を記録しました。警察庁の「令和6年(2024年)におけるサイバー空間をめぐる脅威の情勢等について」では、ランサムウェア被害の報告件数は前年比増加を続けており、被害企業の約50%が中小企業であることが明らかになっています。

「大企業の話だろう」という認識は危険です。むしろ、セキュリティ体制が手薄な中小企業こそが攻撃者の主要ターゲットになっています。本記事では2026年時点の最新動向を踏まえた、企業向けランサムウェア対策チェックリストを提供します。

【2026年版】感染経路ランキングTOP5

警察庁統計・IPA調査・海外インシデントレポート(IBM X-Force 2024、Mandiant M-Trends 2024)をもとにした、国内企業のランサムウェア感染経路ランキングです。

順位

感染経路

割合(目安)

代表的な手口

1位

VPN機器の脆弱性悪用

約32%

未パッチのVPNアプライアンス(Fortinet・Pulse等)への攻撃

2位

フィッシングメール

約25%

添付ファイル・悪意あるURLからの初期侵入

3位

リモートデスクトップ(RDP)の不正アクセス

約18%

弱いパスワード・公開されたRDPポートへのブルートフォース

4位

サプライチェーン経由

約12%

委託先・ソフトウェアベンダー経由での侵入

5位

内部関係者・認証情報の漏洩

約8%

窃取したID/パスワードの悪用、インサイダー行為

2026年に注目すべきトレンド

AIを活用したフィッシングの高度化:ChatGPTなどのAI技術を使って、違和感のない日本語フィッシングメールが急増しています。従来の「日本語が不自然なメール」を見分けるスキルだけでは対応できなくなっています。

二重恐喝(Double Extortion)の標準化:データを暗号化するだけでなく、事前にデータを盗み出して「身代金を払わなければ公開する」と脅す手口が当たり前になっています。バックアップがあっても被害が発生します。

Ransomware as a Service(RaaS)の普及:技術力の低い攻撃者でもRaaSを使えばランサムウェア攻撃が実行可能になっており、攻撃の裾野が広がっています。

【チェックリスト】技術的対策20項目

ネットワーク・境界防御(6項目)

  • VPN機器のファームウェアを最新版に更新している(毎月確認)
    CVE情報を定期確認。Fortinet・Cisco・Pulse Secureなど主要ベンダーのセキュリティアドバイザリを購読する
  • RDP(3389番ポート)をインターネットに直接公開していない
    RDPはVPN経由のみアクセス可能にする。公開が必要な場合はIP制限とMFAを設定
  • ファイアウォールで不要なポートを閉鎖している
    定期的にポートスキャンを実施して開放ポートを確認。不要なポートは即座に閉鎖
  • ネットワークセグメンテーションを実施している
    重要業務システムと一般PCのネットワークを分離。感染が広がりにくい構成にする
  • メールセキュリティゲートウェイ(DMARC・DKIM・SPF)を設定している
    なりすましメールのフィルタリング。Microsoft 365ではExchange Online Protectionを有効化
  • Webプロキシ・URLフィルタリングを導入している
    悪意あるサイトへのアクセスをブロック。カテゴリフィルタリングで未知の悪性サイトにも対応

エンドポイント防御(5項目)

  • EDR(Endpoint Detection and Response)を全端末に導入している
    従来型アンチウイルスではランサムウェアの検知率が低い。CrowdStrike・SentinelOne・Microsoft DefenderなどのEDRを導入
  • OSおよびソフトウェアのパッチを遅延なく適用している
    重大な脆弱性(CVSS 9.0以上)は72時間以内に適用。WSUS・Intuneなどで自動配布を設定
  • 管理者権限を最小化している(最小権限の原則)
    一般業務用アカウントに管理者権限を付与しない。Windows LAPS(Local Administrator Password Solution)の活用
  • USBメモリなど外部記憶媒体の使用を制限している
    グループポリシーで制御。業務上必要な場合は許可リスト制限にする
  • アプリケーション実行の制御を検討している
    Windows Defenderアプリケーション制御(WDAC)やAppLockerで未知のプログラム実行をブロック

ID・認証管理(5項目)

  • 多要素認証(MFA)を全ユーザーに適用している
    Microsoft 365・VPN・特権アカウントへのログインには必ずMFAを要求
  • パスワードポリシーを強化している(長さ12文字以上・複雑性要件)
    パスワードマネージャーの導入を推奨。「漏洩時の即時変更」を重視するポリシーが現在のベストプラクティス
  • 特権アカウントの使用を制限・監視している
    日常業務に管理者アカウントを使用しない。特権操作はPIM(Privileged Identity Management)で管理
  • 休眠アカウントを定期的に削除・無効化している
    退職者や長期休暇中の社員アカウントを放置しない。四半期ごとに棚卸しを実施
  • 認証ログを収集・監視している
    異常なログイン試行(時間外・海外IPなど)をSIEM・SOCで検知

バックアップ・復旧(4項目)

  • バックアップを「3-2-1ルール」で管理している
    3つのコピー・2種類のメディア・1つはオフサイト(クラウドまたはオフライン)。バックアップをネットワーク切り離しで保護
  • バックアップからの復旧テストを定期実施している(最低年1回)
    「バックアップはあるが復旧できなかった」ケースを防ぐ。復旧手順書も整備
  • バックアップデータが本番と同期して暗号化されない構成になっている
    本番環境と同期しているバックアップは感染時に一緒に暗号化される。世代管理とオフライン保存が重要
  • 重要データの保護レベルを分類している(データクラシフィケーション)
    機密情報・個人情報・公開情報を分類し、重要度に応じたバックアップ頻度・保護レベルを設定

【チェックリスト】運用・体制面の対策10項目

  • ☐ セキュリティポリシーを文書化し、全従業員が参照できる状態にしている
  • ☐ セキュリティ教育・訓練を年2回以上実施している(フィッシングメール訓練含む)
  • ☐ インシデント対応手順書(IRP)を作成・整備している
  • ☐ インシデント発生時の連絡先リスト(ベンダー・警察・JPCERT等)を整備している
  • ☐ サードパーティ・委託先のセキュリティ管理基準を設けている
  • ☐ 定期的な脆弱性診断・ペネトレーションテストを実施している
  • ☐ クラウドサービスのセキュリティ設定を定期的に見直している
  • ☐ セキュリティインシデントの報告体制(経営層への報告フロー)を整備している
  • ☐ サイバー保険への加入を検討・評価している
  • ☐ BCP(事業継続計画)にサイバー攻撃シナリオを組み込んでいる

感染が疑われた時の初動対応フロー

ランサムウェアに感染した(または感染が疑われる)場合、初動の速さが被害の拡大を左右します。

  1. 感染端末をネットワークから即時切断(LANケーブル抜去 / Wi-Fi無効化)
    ※シャットダウンは一時保留 — フォレンジック証拠が失われる可能性あり
  2. 周辺端末・共有フォルダの感染拡大確認
  3. 経営層・セキュリティ責任者への即時報告
  4. 外部専門家(CSIRT・セキュリティベンダー)への連絡
  5. 警察への被害届(任意だが推奨)→ 都道府県警察のサイバー犯罪相談窓口
  6. バックアップからの復旧計画の策定
  7. 根本原因分析(RCA)と再発防止策の実施

身代金について:IPAおよびCISAは身代金の支払いを推奨していません。支払っても復号されない事例も多く、「払った企業は次回も払う」として再度攻撃されるリスクもあります。

中小企業向け:優先順位付き対策ロードマップ

「全部は難しい」という中小企業向けに、予算・工数別の優先順位を整理します。

今すぐ無料でできること(コスト0)

  1. Windows UpdateとMicrosoft 365のパッチ適用確認
  2. RDPポートのインターネット公開停止
  3. Microsoft 365 Security Defaults(セキュリティの既定値群)の有効化 → MFA強制
  4. 管理者権限を持つアカウントの棚卸し

低予算でできること(月数万円〜)

  1. クラウドバックアップサービスの導入(Microsoft 365バックアップ等)
  2. EDR導入(Microsoft Defender for BusinessはMicrosoft 365 Business Premiumに含まれる)
  3. フィッシングメール訓練サービスの活用(年1〜2回)

本格的な対策(年間数百万円〜)

  1. 脆弱性診断・ペネトレーションテストの定期実施
  2. SOCサービスの導入(24/7監視)
  3. インシデントレスポンス体制の整備(CSIRT構築 or 外部IR契約)

まとめ:ランサムウェア対策は「全滅を防ぐ」設計で

ランサムウェア攻撃は「100%防ぐ」ことはできません。重要なのは、感染しても事業を継続できる体制を作ること、そして感染の拡大を最小化することです。

バックアップ・ネットワーク分離・EDR・MFAの4つは最低限整備すべき対策です。その上で、定期的な脆弱性診断によって攻撃者が悪用する「穴」を先に塞いでいくことが、中長期的な防御の柱になります。

AEVUSでは、ランサムウェア対策の観点を踏まえたペネトレーションテスト・脆弱性診断を提供しています。「自社にどんな穴があるか知りたい」という方はお気軽にご相談ください。

関連記事

← ブログ一覧に戻る

関連記事

「SOC・インシデント対応」の記事をもっと見る →

SOC・インシデント対応のご相談

記事の内容についてのご質問・監視体制の強化をご検討の方はお気軽にどうぞ。

サービス詳細を見る 無料相談・お問い合わせ