SPLAMILU BLOG ソラミルブログ

2026年7月17日
ランサムウェアの予兆を見つける3つのサイン

ある朝、社内のファイルがすべて開けなくなり、身代金を要求する画面が表示される――。ランサムウェアの被害は、こうして「突然」訪れるように見えます。ですが実際には、攻撃者は暗号化に踏み切る前に、しばらく社内に潜伏していることが少なくありません。その潜伏期間に現れる「いつもと違う」サインに気づければ、被害は大きく抑えられます。この記事では、中小企業が気づきたい3つのサインを、公的なデータとともに解説します。

ランサムウェアの被害は、ある日突然ではない

ランサムウェアとは、感染した端末やサーバーのデータを勝手に暗号化して使えなくし、元に戻すことと引き換えに金銭(身代金)を要求する不正プログラムです。近年は、暗号化する前にデータを盗み出しておき、「支払わなければ公開する」と脅す手口(二重恐喝)が主流になっています。

ここで大切なのは、攻撃の流れです。多くのケースは「侵入して、すぐ暗号化」ではありません。侵入 → 潜伏(社内の下見・権限の奪取・データの持ち出し)→ 暗号化・要求という段階を踏みます。そして予兆は、この潜伏の期間に現れます。

ランサムウェアの潜伏期間と3つの予兆 侵入→潜伏(予兆が出る)→暗号化・要求という流れ。潜伏期間に不審なログイン・守りの弱体化・持ち出しの気配という3つのサインが現れる。 ランサムウェアは「潜伏期間」に予兆を出す 1 サイン 不審なログイン 2 サイン 守りの弱体化 3 サイン 持ち出しの気配 侵入 潜伏(下見・権限奪取・持ち出し) ← ここで気づければ、被害を抑えられる 暗号化・要求
図:ランサムウェアは「侵入→潜伏→暗号化」と進む。予兆は潜伏期間に現れる

なぜ今、中小企業が「予兆」に注目すべきか

「うちのような小さな会社は狙われない」——そう考えたくなりますが、公的なデータはむしろ逆の傾向を示しています。

ランサムウェアを取り巻く3つのデータ 中小企業63.1%、感染経路の約86%がVPN・リモートデスクトップ経由、IPA10大脅威2026で第1位。 数字で見るランサムウェア 63.1% 被害報告のうち中小企業 約86% 感染経路はVPN・リモート接続 第1位 IPA「10大脅威2026」組織編 出典:警察庁 令和7年版資料(令和6年の値)/IPA 情報セキュリティ10大脅威 2026
図:ランサムウェア被害の約6割は中小企業。感染の入口の多くはリモート接続

警察庁がまとめた令和6年のデータでは、ランサムウェア被害の報告のうち約6割(63.1%)が中小企業でした。さらに、感染の入口として報告された経路の約86%が、VPN機器やリモートデスクトップといった「外からの接続」です。つまり多くの攻撃は、社外から正規の接続口を通って入ってきています。IPAの「情報セキュリティ10大脅威 2026」でも、ランサムウェア(ランサム攻撃による被害)は組織向けの脅威の第1位です。

中小企業ほど、こうした侵入を自動で検知する仕組みが手薄になりがちです。だからこそ、人が「いつもと違う」に気づけるサインを知っておく価値があります。

見つけたい3つのサイン

潜伏期間に現れやすい予兆を、3つに整理しました。いずれも特別な専門知識がなくても「おかしいぞ」と気づける類のものです。

サイン1:いつもと違う「ログイン」

攻撃の多くは、正規のアカウントでのログインから始まります。次のような兆候は、なりすましや不正侵入の可能性を示します。

  • 深夜や休日など、普段は業務のない時間帯の管理者ログイン
  • 見慣れない端末・場所・VPN経由からのアクセス
  • ログイン失敗(パスワード試行)の急な増加
  • 身に覚えのない新しいアカウントや権限が増えている

感染経路の多くがリモート接続である以上、「誰が・いつ・どこから入ったか」の異変は、最も早く出るサインです。

サイン2:守りが、勝手に「弱く」なる

攻撃者は暗号化に踏み切る前に、見つかりにくくするために防御の仕組みを弱めようとします。次のような変化は要注意です。

  • ウイルス対策ソフトやセキュリティ機能が、いつの間にか無効化されている
  • 操作の記録(ログ)が消えている、または記録が止まっている
  • バックアップに対する不審なアクセスや、削除・変更の痕跡がある

特にバックアップは、復旧の生命線です。ここが狙われている気配は、極めて危険なサインだと考えてください。

サイン3:データ「持ち出し」の気配

二重恐喝が主流の今、攻撃者は暗号化の前にデータを外へ持ち出します。その動きは、通信の異変として表れます。

  • 外部への大量のデータ送信(普段より明らかに多い通信量)
  • 普段はやり取りのない宛先・海外などへの不審な通信
  • 社内の別のPCやサーバーへ、次々とアクセスが広がる動き(横展開)

予兆に気づくために、まず必要なこと

3つのサインに共通するのは、すべてが「いつもと違う」という形で現れる、という点です。裏を返せば、「いつも(平常時)の状態」が分かっていなければ、異変にも気づけません

その第一歩が、自社に今どんな機器があり、どこにつながっているのかを把握しておくこと——つまりネットワークの見える化です。平常時の姿が見えていれば、「見慣れない接続」「増えた機器」「おかしな通信」に気づきやすくなります。社内に紛れ込む機器の見つけ方は「社内に持ち込まれた不審な機器、どう見つけるか」、端末の不審な挙動をとらえる仕組みは「EDRとは?アンチウイルスだけでは足りないを解説」もあわせてご覧ください。

セルフチェック:あなたの会社は「いつも」を把握できていますか?

□ 今、社内ネットワークに何台の機器がつながっているか、即答できますか?
□ VPNやリモートデスクトップで社内に入れるアカウントを、把握・棚卸しできていますか?
□ セキュリティ機能やバックアップが正常に動いているか、定期的に確認していますか?

「わからない」が残るなら、まずはそこを見える化することが、予兆に気づく力の土台になります。

まとめ:ランサムウェアは「気づけるサイン」を出している

ランサムウェアの被害は、ある日突然に見えて、実際には潜伏期間にいくつもの予兆を残しています。次の流れを意識しておきましょう。

  • ランサムは「侵入→潜伏→暗号化」と進み、潜伏期間に予兆が出る
  • 3つのサイン(ログインの異変/守りの弱体化/持ち出しの気配)を知っておく
  • 予兆に気づく前提として、平常時の状態=ネットワークを見える化する
  • 早期に気づく仕組み(EDRなど)と、万一に備える復旧計画(BCP)をセットで整える

復旧の備えについては「BCP対策とは?中小企業が今すぐ取り組むべき5つのステップ」もあわせてどうぞ。完璧な監視体制をいきなり作る必要はありません。まずは「うちの“いつも”は、どんな状態か」を見えるようにするところから始めてみてください。

予兆に気づく第一歩は、”いつもの状態”——自社のネットワークと機器を見えるようにすることです。

SOLAMILUは、その一歩を支える仕組みです。

参考リンク(公式情報)

※リンク先は外部の公式サイトです(別タブで開きます)。統計やURLは更新されることがあるため、最新の数値・情報は各公式ページでご確認ください。

あわせて読みたい

内部セキュリティ社内に持ち込まれた不審な機器、どう見つけるか EDR・MDMEDRとは?「アンチウイルスだけでは足りない」を中小企業向けに解説 BCP対策BCP対策とは?中小企業が今すぐ取り組むべき5つのステップ

ランサムウェア対策の前に、まずは「見える化」から

予兆=「いつもと違う」に気づくには、平常時のネットワークが見えていることが前提です。SOLAMILUなら、社内に今どんな機器がつながっているかの把握(見える化)を無料で始められます。

無料でダウンロードする

この記事を書いた人

SOLAMILU編集部
名古屋発のITベンチャーとして、中小企業のネットワーク管理・セキュリティ・IT資産管理をやさしく解説しています。専門知識がなくても「自社のITの状態がわかる」状態づくりを応援します。

CONTACT US お気軽にお問合せください お問い合わせ・ご相談はこちら

お問い合わせ・ご相談はこちら
お気軽にお問合せください
電話でのお問合せはこちら

【受付時間】 月〜金 10:00〜17:00
( 土・日・祝日・弊社休業日を除く )

SOLAMILUをもっと知りたい方はこちら
top top