【2026年最新】ランサムウェアの種類と進化：“4重脅迫”の手口と対策

画面ロックからデータ窃取へ。ランサムウェアの種類の「進化」

ランサムウェアは、時代とともに目的・手法・影響範囲を拡大させてきました。まずは、現在のランサムウェアの主流となっている3つの進化のポイントを解説します。

単純な「ばらまき型」から、企業を狙い撃つ「標的型」へ

かつてのランサムウェアは、不特定多数にメールをばらまき、引っかかった個人のPC画面をロックして少額請求する単純な攻撃が主流でした。しかし現在は、資金力と事業継続性を持つ企業を狙い撃ちにし、数千万〜数億円の身代金を要求する標的型へと完全にシフトしています。

種類や名前が違っても、裏側の仕組みは同じRaaS

「LockBit」や「Akira」など様々な種類が存在しますが、その裏側の仕組みの多くは「RaaS（サービスとしてのランサムウェア）」と呼ばれる分業制の犯罪ビジネスです。ウイルスの開発者、企業のネットワークに侵入する請負人、実行するアフィリエイトが役割分担し、使われる手口やインフラが横断的に再利用されます。

「暗号化すらしない」ノーウェアランサムの台頭

最新のトレンドとして、データを暗号化せず、機密データを盗み出して「公開されたくなければ金を出せ」とだけ脅迫する「ノーウェアランサム」が台頭しています。暗号化によるシステム異常が発生しないため、検知が遅れるという特徴を持っています。

関連記事：【ランサムウェアとは】企業の事業継続を脅かす脅威｜最新手口、感染経路、必須対策、復旧までを徹底解説

【脅迫手法別】ビジネスを追い詰める「4つのタイプ」

現在のランサムウェアは、単にデータを暗号化するだけではありません。企業を確実に支払いへと追い込むため、脅迫の手法は「4つの段階」にまで進化しています。

第1の脅迫：データの「暗号化」による業務停止と身代金要求

社内のサーバーやPCのデータを勝手に暗号化し、利用不可能な状態にします。その上で「元に戻すための復号鍵と引き換えに身代金を支払え」と要求する、ランサムウェアの最も基本的な脅迫手法です。

第2の脅迫：盗み出した機密データの「暴露」

企業がバックアップから自力で復旧するケースが増えたため、暗号化の前に機密データを盗み出しておき、「身代金を払わないと、盗んだ顧客情報や財務データをリークサイトで公開する」と二重に脅迫します。

第3の脅迫：システム復旧を妨害する「DDoS攻撃」の追加

二重脅迫でも応じない企業に対し、企業のWebサイトや外部公開システムに対して大量の通信を送りつける「DDoS攻撃」を仕掛けます。これにより企業の業務や復旧作業をさらに妨害し、心理的プレッシャーを強めます。

第4の脅迫：顧客や取引先への「直接的な連絡・嫌がらせ」

盗み出したデータに含まれる連絡先を使い、企業の顧客や取引先、さらには株主に対して直接「あなたのデータが盗まれました。〇〇社が身代金を払わないため公開されます」と連絡を入れ、企業の社会的信用を徹底的に破壊します。

恐ろしいことに、現在ではこの「4重脅迫」が、RaaSグループの間で標準的な手口として定着しつつあります。

【系統別】日本企業を狙う代表的なランサムウェア

日本企業に多大な被害を与えている代表的なランサムウェアの系統を解説します。

LockBit：世界最大級のRaaS。名前を変えつつ何度も復活

長年にわたり猛威を振るう世界最大のRaaSグループです。国際的な捜査機関による摘発を何度も受けていますが、その度にツールをアップデートし、別名義や新バージョンとして復活を繰り返しています。

Akira / Black Basta：VPN機器の脆弱性を狙い撃つ新興勢力

昨今、日本企業への攻撃を急増させている新興グループです。主に企業のVPN機器の未修正の脆弱性を突いて侵入し、情報窃取と暗号化（二重脅迫）を迅速に行う高度な技術を持っています。

Phobos：リモートデスクトップを狙う古参

古くから存在するランサムウェアで、主にインターネットに公開されたままの「リモートデスクトップ（RDP）」の弱いパスワードを総当たり攻撃（ブルートフォース）で突破して侵入します。大企業よりも、対策の手薄な中小企業が標的になりやすい傾向があります。

重要なのは“系統”であり、亜種名を追いかけても防御にはならない

ランサムウェアはセキュリティソフトの検知を逃れるため、無数の「亜種」を生み出しています。そのため、個別の名前をすべて追いかける意味はありません。彼らがどの系統であれ、「どうやって侵入してくるのか」を知り、その入り口を塞ぐことが重要です。

種類が違っても「侵入口」は同じ？3つの主な感染経路

ランサムウェアの種類が異なっても、彼らが狙ってくる「最初の侵入口」は驚くほど共通しています。警察庁のデータからも、上位の感染経路は明確になっています。

出典：警察庁「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について」を基に作成
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf

経路①：VPN機器のパッチ未適用

テレワークの普及により導入されたVPN機器が最大の侵入口です。メーカーから提供されているセキュリティパッチを適用せず、脆弱性を放置している企業が真っ先に狙われます。

経路②：リモートデスクトップの認証突破

外部から社内PCを操作するためのリモートデスクトップが、インターネット上に無防備に公開されているケースです。単純なパスワード使い回し等により、簡単にログインされてしまいます。

経路③：Emotetなどの「運び屋マルウェア」や初期アクセスブローカー経由

従業員が詐欺メールの添付ファイルを開いてしまうことで、「Emotet」などのマルウェアに感染します。これがバックドアとなり、初期アクセスブローカーと呼ばれる専門業者を通じて、ランサムウェア実行犯に社内へのアクセス権が売却されます。

関連記事：【Emotet（エモテット）とは】過去の脅威ではない？最悪の「運び屋」マルウェアの手口と最新対策

すべての種類に対抗する「共通の根本対策」

ランサムウェアの名前や種類がどれだけ変化しても、彼らが狙う「弱点」は共通しています。以下の「共通の根本対策」を徹底することで、新種のウイルスであっても被害を最小限に抑え込むことができます。

対策①：「侵入される前提」で振る舞いを検知するEDR/XDRの導入

VPNの脆弱性などによる最初の侵入を100%防ぐことは不可能です。「すでに侵入されているかもしれない」という前提に立ち、システム内部の監視網を構築します。

• EDR/XDRの導入： 端末やネットワーク上の不審な挙動を常時監視し、被害が広がる前に自動で隔離する仕組みの構築
• 24時間365日の監視体制： 夜間や休日に実行されることが多い攻撃に対し、専門チームによる迅速な初動対応体制を構築

対策②：MFA（多要素認証）とアクセス権限の最小化

侵入された後、攻撃者が社内ネットワークを横展開して管理者権限を奪うのを防ぐための、認証と権限の厳格化です。

• MFA（多要素認証）の徹底： パスワードが漏えいしても、追加の認証なしではログインできない環境の必須化
• アクセス権限の最小化： 従業員やシステムに与える権限を最小限にとどめ、被害範囲を局所化する厳格な管理

対策③：イミュータブルバックアップの構築

暗号化に対する防御策であり、有事の際に身代金を払わずに事業を再開するための命綱です。

• イミュータブルバックアップの確保： 管理者権限であってもデータの変更・削除が不可能な状態での保存
• オフライン保管： 感染した社内ネットワークから完全に切り離された隔離環境へのデータ退避

対策④：「侵入前」と「侵入後」を分けた多層防御

一つのセキュリティ製品に頼るのではなく、攻撃のフェーズごとに複数の防御壁を設けるアプローチです。

• 侵入前の防御： VPN機器の迅速なパッチ適用や、メールセキュリティによる不審メールのブロック
• 侵入後の防御： ネットワークのセグメンテーションによる、一部が感染してもサーバー群へ被害を到達させない構造設計

まとめ：「敵の特定」ではなく「自社の守り」にリソースを集中する

サイバー犯罪グループは頻繁にウイルスの名前を変えますが、狙ってくる侵入口（パッチ未適用のVPNや弱いパスワード）は常に同じです。だからこそ、「最新の敵」にリソースを割くのではなく、自社の弱点を塞ぐことが最優先です。EDR、MFA、イミュータブルバックアップといった防御策を確実に実行し、どんな新種が来ても揺るがない体制を構築しましょう。