「ランサムウェア対策は万全なはずなのに、情報漏えいが起きた」そんなニュースを最近目にしませんか?その原因の一つが、本記事で解説する「ノーウェアランサム」です。
ノーウェアランサムは、組織が気付かないうちに機密情報を盗み出し、その情報の公開をちらつかせて身代金を要求する新たなサイバー攻撃です。本記事では、この脅威のしくみと、セキュリティ担当者が今すぐ実践できる対策を解説します。
この記事では、ゼロデイ攻撃のしくみから実際の被害事例、実践的な対策まで、公的機関の情報をもとに解説します。
※出典:「令和7年版警察白書」(警察庁)
この記事でわかること
- ノーウェアランサムのしくみと、従来のランサムウェアとの違い
- なぜ従来の対策では検知できないのか
- 今すぐ実践できる具体的な対策と、被害に備えるための次のステップ
この記事を監修した人
増井敏克
増井技術士事務所 代表
技術士(情報工学部門)、テクニカルエンジニア(ネットワーク、情報セキュリティ)、その他情報処理技術者試験にも多数合格。また、ビジネス数学検定1級に合格し、公益財団法人日本数学検定協会認定トレーナーとしても活動。「ビジネス」×「数学」×「IT」を組み合わせ、コンピュータを「正しく」「効率よく」使うためのスキルアップ支援や、各種ソフトウェアの開発を行っている。著書に『IT用語図鑑』『図解まるわかり セキュリティのしくみ』『どうしてこうなった?セキュリティの笑えないミスとその対策51』『「技術書」の読書術』『実務で役立つ ログの教科書』など。
ノーウェアランサムとは
ノーウェアランサムとは、データを暗号化せずに盗み出し、盗んだ情報を公開しないことと引き換えに身代金を要求する、新たなサイバー攻撃の手口です。
従来のランサムウェア攻撃では、攻撃者は企業のデータを暗号化し、「復号したければ身代金を払え」と要求していました。これに対し、ノーウェアランサムでは暗号化を行わず、「盗んだ情報をインターネット上に公開する」という脅迫によって金銭を要求します。
近年話題となっている「二重恐喝(ダブルエクストーション)」は、暗号化と情報暴露の両方を行う手口ですが、ノーウェアランサムは暴露のみに特化している点が特徴です。警察庁の調査によると、令和6年中には22件の被害が確認されており、今後さらに増加する可能性が懸念されています。
出典:警察庁 令和7年版警察白書 (発行年:令和7年(2025年)
ノーウェアランサムと従来のランサムウェアの違い
ノーウェアランサムと従来のランサムウェアの違いを理解することは、適切な対策を講じるうえで非常に重要です。
| 項目 | 従来のランサムウェア | ノーウェアランサム |
|---|---|---|
| 攻撃手法 | データを暗号化して使用不能にする | データを暗号化せず、盗み出すのみ |
| 脅迫の内容 | 「復号キーが欲しければ身代金を払え」 | 「情報を公開されたくなければ身代金を払え」 |
| バックアップの有効性 | バックアップがあれば復旧可能 | バックアップがあっても情報漏えいは防げない |
| 検知の難易度 | 暗号化の挙動で検知しやすい | 正規アクセスに見えるため検知が困難 |
| 攻撃の所要時間 | 暗号化に時間がかかる | 短時間で完了できる |
攻撃者がノーウェアランサムを選ぶ理由として、暗号化のプロセスを省略することで攻撃時間を短縮でき、セキュリティ製品による検知を回避しやすくなることが挙げられます。また、被害者側が被害発覚に気付きにくい点や、実際にデータを窃取していなくても「盗んだ」と主張するだけで脅迫できる可能性があることも、攻撃者にとって有利な要素となっています。また、多くの企業がバックアップ対策を強化した結果、従来の暗号化型攻撃では身代金を得にくくなったことも背景にあります。
監修:増井さん
ランサムウェアでも、ノーウェアランサムでも実施する対策は基本的に変わりません。まずはそもそも感染しないこと、攻撃を受けても侵入されないことが何よりも大切です。そのうえで、被害が発生したことを考えて準備をしておきましょう。
なぜ従来の対策では検知できないのか
ノーウェアランサムの最大の課題は、その検知の難しさにあります。従来のランサムウェア対策の多くは、「ファイルの暗号化」という異常な挙動を検知することに主眼を置いていました。しかし、ノーウェアランサムにはその「異常な挙動」がありません。
正規アクセスとの見分けが困難
攻撃者は、VPN機器の脆弱性やリモートデスクトップの設定不備を突いて侵入し、正規のIDやパスワードを窃取します。その後、通常の業務で行われるファイルアクセスと同様の方法で、少しずつデータを外部に転送します。そのため、一連の動作が攻撃なのか正規の業務なのかを区別することが非常に困難です。
痕跡を残さない巧妙な手口
攻撃に使用されるマルウェアは、既知のウイルス定義ファイルに該当しない新種や亜種である場合が多く、正規のシステムツールを悪用するなど、検知を逃れるための巧妙なしくみを持っているため、一般的なアンチウイルスソフトだけでは対応が困難です。
このような背景から、侵入後の不審な挙動を検知・分析するEDR(Endpoint Detection and Response)のような、より高度なセキュリティソリューションの重要性が高まっています。ただし、EDRを導入するだけでは不十分で、適切なチューニングや運用体制の構築、アラート発生時の対応手順の整備など、実効性のある運用が不可欠です。
監修:増井さん
正常時と違う状況に気付くためには、正常時がどのような動作なのかを把握しておくことが重要です。まずは1日や1週間、1カ月といった単位でログの件数がどのように推移しているのかを把握しているだけでも、不審な行動に気付ける可能性があります。
ノーウェアランサムの被害リスク
ノーウェアランサムによる情報漏えいは、組織に多岐にわたる深刻な影響を及ぼします。
信用の失墜とビジネス機会の損失
顧客情報や取引先の機密情報、自社の重要データなどが漏えいした場合、企業の社会的信用は大きく損なわれます。これにより、顧客離れや取引停止など、事業の継続に直接的な打撃を与える可能性があります。
法的責任と金銭的損失
個人情報保護法や不正競争防止法などの法令に基づき、企業は情報漏えいに対して法的責任を問われる可能性があります。これに伴う損害賠償や行政からの罰金など、多額の金銭的損失が発生するリスクがあります。
二次被害の発生
盗み出された情報は、ダークウェブなどを通じて他の攻撃者の手に渡り、フィッシング詐欺やなりすましといった二次的なサイバー攻撃に悪用される危険性があります。
被害事例
実際にどのような被害が発生しているのか、具体的な事例を見てみましょう。
事例1:国内製造業の顧客情報流出
2024年、国内の製造業A社では、VPN機器の脆弱性を突いて侵入した攻撃者に顧客情報約10万件を窃取され、「公開する」と脅迫を受けました。暗号化被害はなかったものの、情報漏えい対応と信用回復に多大なコストを要しました。
事例2:医療機関の患者データ窃取
ある医療機関では、リモートデスクトップの設定不備から侵入を許し、患者の診療記録が窃取されました。機微な医療情報であったため、患者への通知対応や行政報告など、対応に追われることになりました。
ノーウェアランサムへの対策
この脅威から組織を守るためには、多層的な防御策を講じることが不可欠です。以下に、セキュリティ担当者が今すぐ実践すべき具体的な対策を挙げます。
侵入の防止
攻撃者に侵入の隙を与えないための基本的な対策です。警察庁の調査では、VPN機器の脆弱性を突かれた侵入が半数以上を占めています。
- 脆弱性管理の徹底
VPN機器やリモートデスクトップサービス、サーバーのOSやソフトウェアに存在する脆弱性を速やかに解消するため、セキュリティパッチを確実に適用してください。 - 認証の強化
単純なパスワードは容易に破られてしまいます。多要素認証(MFA)を導入し、不正なログインを阻止しましょう。
内部での検知と対応
侵入を100%防ぐことが難しい以上、侵入後の不審な動きをいかに早く検知できるかが重要になります。
- EDRの活用
PCやサーバー上のプロセスやネットワーク通信、ファイル操作などをリアルタイムで監視し、不審な挙動を検知・分析するEDRの導入は、ノーウェアランサム対策に非常に有効です。 - アクセス権限の最小化
従業員やシステムに与えるアクセス権限は、業務上必要な範囲に限定する「最小権限の原則」を徹底してください。 - ログの監視
ファイルサーバーへの不審な大量アクセスや、深夜・早朝など通常業務時間外の通信など、異常なアクティビティがないか、ログを定期的に監視する体制を構築しましょう。
データの保護
万が一データが窃取された場合に備え、情報そのものを保護する対策も重要です。
重要データの暗号化:特に機密性の高い情報については、保管場所のサーバーやデータベース内でデータを暗号化しておくことで、万が一データが外部に持ち出されても、内容を読み取られるリスクを低減できます。
監修:増井さん
中小企業では、脆弱性情報の収集やログの監視などは難しいかもしれません。この場合は、自社だけでなんとかしようとせず、専門家を頼るようにしましょう。
被害発生時に備えたインシデント対応の準備
どれだけ対策を講じても、被害に遭う可能性をゼロにすることはできません。そのため、被害が発生したことを前提とした事前の準備が極めて重要です。
- インシデント対応計画(IRP)の策定
被害が発覚した際に、「誰が、何を、どのように」対応するのかを定めた計画書を事前に作成し、関係者間で共有しておきましょう。 - 連絡体制の明確化
経営層、法務、広報、そしてセキュリティ専門チームなど、インシデント発生時に連携が必要な部署や担当者の連絡先をまとめたリストを準備し、いつでも迅速に連携できる体制を整えておくことが重要です。 - 定期的な訓練の実施
策定した計画が実効性を持つものかを確認するため、標的型攻撃メール訓練や、インシデント対応の机上訓練などを定期的に実施し、対応能力の維持・向上に努めましょう。
まとめ
今回は、組織が気付かないうちに情報を盗み出す「ノーウェアランサム」について、そのしくみから具体的な対策までを解説しました。
ノーウェアランサムは、従来のランサムウェア対策だけでは防ぎきれない新たな脅威です。バックアップがあっても情報漏えいは防げず、正規のアクセスに見せかけた攻撃は検知が非常に困難です。だからこそ、VPN機器の脆弱性対策、多要素認証の導入、EDRによる監視など、多層的な防御策を講じることが重要になります。
この記事で紹介した対策の実装状況や、自社のセキュリティ体制について詳しく知りたい場合は、社外のセキュリティ専門チームに相談することをお勧めします。現状のリスク評価や改善提案など、より具体的なアドバイスを受けることができます。
よくある質問(FAQ)
Q. ノーウェアランサムとランサムウェアの違いは何ですか?
A. 従来のランサムウェアはデータを暗号化して「復号キーが欲しければ身代金を払え」と脅迫します。一方、ノーウェアランサムは暗号化を行わず、データを盗み出して「公開されたくなければ身代金を払え」と脅迫する点が大きな違いです。
Q. バックアップがあれば安全ですか?
A. いいえ、バックアップだけでは不十分です。従来のランサムウェアでは暗号化されたデータをバックアップから復元できますが、ノーウェアランサムは情報を盗み出す攻撃のため、バックアップでは情報漏えいを防げません。むしろ、盗まれた情報がダークウェブで売買される可能性があるため、バックアップ戦略だけに依存せず、侵入防止と検知対応の強化が重要です。
Q. 中小企業も狙われますか?
A. はい、むしろ中小企業は重要な標的です。セキュリティ対策が手薄な傾向があるため、攻撃者にとって侵入が容易です。また、大企業のサプライチェーンの一部として狙われるケースも増えており、取引先の大企業から「セキュリティ対策の強化を求められる」という事例も報告されています。企業規模にかかわらず、ノーウェアランサム対策は急務です。
Q. ノーウェアランサムの被害に遭った場合、身代金を払うべきですか?
A. 身代金の支払いは推奨されません。支払っても情報が完全に削除される保証がなく、さらなる攻撃の標的になる可能性があります。代わりに、法執行機関への報告、被害者への通知、ダークウェブでの情報監視など、適切な対応を取ることが重要です。
Q. EDRの導入だけで十分ですか?
A. いいえ、EDRは検知と対応を強化する重要なツールですが、単独では不十分です。VPN機器のパッチ管理、多要素認証の導入、ログの監視体制など、複数の対策を組み合わせることで初めて効果的な防御が実現します。
「何から始めればいい?」がゼロになる!セキュリティ対策スタートガイド
セキュリティ担当を任されたけど、何から手をつけていいかわからない。そんな悩みに応える、初心者向けスタートガイドです。 基本的な考え方から具体的な対策まで、順を追って分かりやすく整理しています。
- セキュリティの基本的な考え方と全体像
- 最初に取り組むべき具体的な対策
- 「まずこれだけは」の厳選対策を紹介
