ランサムウェアはどう侵入する?メールよりこわい「見えない入口」とは【中小企業向け】

ランサムウェアはどう侵入する?メールよりこわい「見えない入口」とは

ランサムウェアはどこから会社の中に入ってくるのか?その多くはメールだけでなく、VPNやリモートデスクトップなどの“見えない入口”から侵入します。本記事では、中小企業の経営者向けに、ランサムウェア攻撃の流れと主な侵入経路、そして自社の入口を洗い出すためのチェックポイントをわかりやすく解説します。

はじめに

Day1では、「ランサムウェアは大企業だけの問題ではなく、中小企業こそ狙われやすい」という現実をお伝えしました。

では、そもそもランサムウェアはどこから、どのように会社の中に入ってくるのか。ここをイメージできていないと、「何を対策すればいいのか」がぼんやりしたままになってしまいます。

多くの方はまず「怪しいメール」を思い浮かべるのではないでしょうか。たしかにメールは今でも典型的な入口のひとつです。 しかし、最近は

  • テレワーク用のVPN機器やリモートデスクトップ
  • 弱いパスワードや使い回しのアカウント

といった“見えない入口”から入られるケースが目立っています。

本日のDay2では、

  • ランサムウェア攻撃のざっくりとした流れ
  • 主な侵入経路(メール・VPN/リモート・パスワード)
  • 自社の入口を洗い出すためのチェックリスト

を、専門用語をできるだけ避けながら解説していきます。 「技術の細かいところはよくわからない」という経営者の方でも、全体のイメージがつかめるようにお話ししていきます。

目次

  1. ランサムウェア攻撃の流れは「3つの段階」で考える
  2. 主な侵入経路1:メール(添付ファイル・URL・なりすまし)
  3. 主な侵入経路2:VPN・リモートデスクトップなどテレワーク機器
  4. 主な侵入経路3:パスワード・アカウントの乗っ取り
  5. 社内で何が起きるのか:横展開とデータの暗号化・窃取
  6. 自社の「入口」を洗い出すためのチェックリスト
  7. まとめ:入口を知れば、対策の優先順位が見えてくる

1. ランサムウェア攻撃の流れは「3つの段階」で考える

まずは、ランサムウェア攻撃の全体像をざっくりと3段階に分けて見てみます。

  1. 侵入:会社のネットワークのどこかから入り込む
  2. 社内での移動・乗っ取り:社内のパソコンやサーバーを探し回り、権限を広げる
  3. 暗号化・脅迫:データを暗号化し、場合によっては盗み出して「身代金」を要求する

このうち、最初の一歩が「どこから入られるか」という入口の問題です。 入口が少なく、管理されていれば被害のリスクは大きく下がります。逆に、入口が多くて把握できていない状態だと、 「どこからでも侵入されうる危険な状態」になってしまいます。

ですので、Day2ではこの「入口」部分にフォーカスして見ていきます。

2. 主な侵入経路1:メール(添付ファイル・URL・なりすまし)

いまも昔も、多くのサイバー攻撃で使われるのがメールです。 ただし、昔ながらの「いかにも怪しい英語メール」だけでなく、最近は見た目も内容も非常に巧妙になっています。

よくあるパターン

  • 取引先や社内の人になりすましたメール
  • 「請求書」「見積書」「支払いの確認」など、業務でよくある件名
  • 添付のExcelやWordファイルにマクロを仕込むパターン
  • 「こちらのURLからパスワードを更新してください」と偽のサイトに誘導するパターン

特に中小企業では、

  • 経理担当者が幅広い業務を一人で担っている
  • 「急ぎの支払い」など、時間に追われる場面が多い

といった事情から、「つい開いてしまう」「確認を後回しにしてクリックしてしまう」状況が生まれがちです。

メール経由のランサムウェアの流れ(イメージ)

  1. 攻撃者が、取引先になりすましたメールを送る
  2. 社員が添付ファイルを開く、またはURLをクリックする
  3. 不正なプログラムが入り込み、社内ネットワークに足がかりを得る
  4. そこから別のパソコンやサーバーに移動していく

メール対策は「基本中の基本」ですが、それだけでは不十分であることを、この後の内容で感じていただけると思います。

3. 主な侵入経路2:VPN・リモートデスクトップなどテレワーク機器

新型コロナ以降、多くの企業でテレワーク用の仕組みが一気に広がりました。 社外から社内のネットワークにつなぐために、

  • VPN機器(社内ネットワークにつなぐための装置)
  • リモートデスクトップ(社内のパソコンを外から遠隔操作する仕組み)

などを導入した会社も多いのではないでしょうか。

なぜテレワーク機器が狙われやすいのか

  • インターネット側から「社内の入口」として常に開いている
  • 一度入られると、そのまま社内ネットワークの中に入り込まれてしまう
  • 古い機器やソフトのまま放置されやすい
  • 初期設定のままのパスワードが使われているケースがある

例えば、次のような状況は非常に危険です。

  • 何年も前に導入したVPN機器を、そのまま設定も更新もせずに使っている
  • リモートデスクトップをインターネット側にそのまま公開している
  • 「1234」「password」など、簡単なパスワードで外部から接続できてしまう

攻撃者はどうやって見つけるのか

攻撃者は、特定の会社だけを狙っているとは限りません。 専用のツールを使って、

  • 世界中のインターネット上に公開されているVPN機器やリモートデスクトップを機械的に探す
  • 古いバージョンや設定の弱い機器を見つける
  • 弱いパスワードや、既に漏えいしているID・パスワードを片っ端から試す

といったやり方で、「入りやすい会社」を自動的に見つけていきます。

つまり、 「うちの会社が狙われている」というより、「たまたま入口が開いていたから入られた」 というイメージに近いのです。

4. 主な侵入経路3:パスワード・アカウントの乗っ取り

もうひとつの重要な入口が、社員や管理者のアカウント(ID・パスワード)です。 攻撃者にとって、すでに社内で使われている本物のアカウントは「正面玄関の鍵」のようなものです。

よくあるリスクパターン

  • 複数のサービスで同じパスワードを使い回している
  • 短くて簡単なパスワード(誕生日・会社名+数字など)
  • 退職者のアカウントが残ったままになっている
  • 管理者権限のアカウントを日常的な作業にも使っている

世の中では、さまざまなサービスからID・パスワードが流出する事件が起きています。 攻撃者は、インターネット上に出回ったID・パスワードのリストを使い、

  • 社内で使われているメールアドレス
  • クラウドサービスのログイン画面

に片っ端から試し、「どこかに同じパスワードを使っている人はいないか?」を探します。

パスワードから侵入された場合のイメージ

  1. 外部サービスの漏えいでID・パスワードが手に入る
  2. 攻撃者が、そのID・パスワードで会社のメールやVPNにログインを試す
  3. たまたま同じパスワードを使っている社員がいると、ログインに成功してしまう
  4. 「正規のユーザー」として社内に入り込み、そこから攻撃が始まる

これを防ぐためには、 「長くて推測されにくいパスワード」+「多要素認証(ワンタイムコードなど)」 の組み合わせが非常に有効です。

5. 社内で何が起きるのか:横展開とデータの暗号化・窃取

一度入口から社内に入られてしまうと、その後は次のような流れで被害が広がっていきます。

ステップ1:社内の情報を「探し回る」

  • 社内ネットワークに接続されているパソコンやサーバーを調べる
  • 重要なサーバー(ファイルサーバー、基幹システムなど)を特定する
  • 管理者アカウントを奪えないか試す

ステップ2:バックアップや監視の無効化を試みる

  • バックアップ用のサーバーや装置を見つけて削除・暗号化する
  • 監視ツールやウイルス対策ソフトを止めようとする

ステップ3:データの窃取・暗号化・脅迫

  • 重要なデータを外部に送信してコピーをとる
  • 社内のファイルを一斉に暗号化する
  • 「◯日以内に支払わなければ、データを公開する」といった脅迫文を表示する

この段階まで進むと、自社だけでの対応は非常に難しくなり、専門家や警察への相談が欠かせなくなります。

だからこそ、「入口でできるだけ止める」「社内で広がる前に気づく」という視点が重要になります。

6. 自社の「入口」を洗い出すためのチェックリスト

ここまで読んでいただいたうえで、経営者としてまず確認していただきたいのは、 「うちの会社には、外から社内につながるどんな入口があるのか?」 という点です。

メールまわりの確認

  • 社内で「不審メールの見分け方」や「怪しいときの相談先」は共有されていますか?
  • 請求書や見積書のやりとりが多い部署に、特に注意喚起できていますか?
  • 経営者・役員宛てのメールについても、なりすまし対策を意識していますか?

テレワーク・リモート接続の確認

  • 社外から社内ネットワークに入る方法(VPN、リモートデスクトップなど)の一覧はありますか?
  • その機器やサービスは、誰がどのように管理・更新していますか?
  • 「使っていないのに開いたまま」のリモート接続はありませんか?
  • パスワードの強度や、多要素認証の有無は把握できていますか?

アカウント・権限の確認

  • 退職者や長期間使われていないアカウントは、きちんと削除されていますか?
  • 管理者権限のアカウントを、日常業務で使い回していませんか?
  • パスワードの変更ルールや、使い回し禁止ルールはありますか?

これらはすべて、技術的な細かい話ではなく、「経営の視点で入口を棚卸しする」ための質問です。

「自社だけでは洗い出しきれない」「そもそも何があるのかがわからない」という場合は、 外部の専門家や、信頼できるITベンダーに「入口の棚卸しだけでもお願いしたい」と相談するのも現実的な選択肢です。

8. まとめ

本日のポイント

  • ランサムウェア攻撃は、「侵入 → 社内での移動・乗っ取り → 暗号化・脅迫」という3つの段階で考えると整理しやすくなります。
  • 入口はメールだけではなく、VPNやリモートデスクトップなどのテレワーク機器も大きな狙われどころになっています。
  • パスワードの使い回しや弱いパスワードは、「正面玄関の鍵を外に置いている」のに近い状態で、非常に危険です。
  • 一度社内に入られると、重要なサーバーやバックアップを狙って移動され、最後にデータの暗号化・窃取・脅迫へと進みます。
  • まずは「自社にはどんな入口があるのか?」を棚卸しし、メール・テレワーク・アカウントの3つの観点から見直すことが、現実的な第一歩です。

Day3では、実際に中小企業で起きた事例をイメージしたストーリーを通じて、「もし自社で起きたら何が困るのか?」をより具体的に考えていきます。

9. FAQ

Q1. ランサムウェアはやっぱりメールから来ることが多いのですか?

A. メールは今でも典型的な入口のひとつですが、最近はVPNやリモートデスクトップなど、テレワーク関連の仕組みを狙う攻撃も非常に多くなっています。 「メールさえ気をつけていれば安心」とは言えない状況です。

Q2. うちはテレワークをしていないので、VPNやリモートデスクトップは関係ありませんか?

A. テレワークを正式に運用していなくても、システム保守のためにベンダーがリモート接続しているケースや、過去に設定したVPNがそのまま残っているケースもあります。 「自社には外から社内に入る仕組みがまったくない」と思っていても、実際には存在することがあるため、一度棚卸しして確認することをおすすめします。

Q3. 経営者として、まず社内に何を確認すればよいですか?

A. 技術的な細かい話よりも、まずは次の3点を確認してみてください。

  • 外から社内ネットワークに入る方法(VPN・リモート接続など)の一覧があるか
  • メールの不審メール対策や連絡ルールが決まっているか
  • パスワードやアカウント運用のルール(使い回し禁止・退職者アカウントの削除など)があるか

これらが「わからない」「決まっていない」場合は、その点から整えていくだけでもリスクを大きく下げることができます。

📩 あなたの会社の状況に合わせて「どこに入口があり、何から対策すべきか」を整理したい方は、 LINEで相談する から気軽にご相談ください。現状の棚卸しと、優先順位の整理だけのご相談も歓迎です。