近年、企業を狙うサイバー攻撃の中で特に深刻化しているのが「二重恐喝型ランサムウェア」です。
従来のランサムウェアは、データ暗号化による業務停止を引き起こし、復号キーと引き換えに金銭を要求するものでした。しかし企業の「バックアップ強化」によって身代金を払わないケースが増えたことで、攻撃者側は新たな収益手法として“恐喝の第二段階”を組み込むようになりました。
本記事では、二重恐喝型攻撃の仕組みや実際の被害事例、そして企業が取り組むべきセキュリティ対策について解説します。
■ 二重恐喝型とは —— バックアップがあっても逃れられない理由
「二重恐喝型ランサムウェア攻撃」とは、攻撃者が企業のネットワークへ侵入した際に データを暗号化する前に情報を盗み出す手口 を指します。
攻撃の流れは次のとおりです。
フィッシング攻撃 や 不正アクセス によってネットワークに侵入
ファイルサーバーやクラウドストレージから 顧客情報や契約書、研究データなどを窃取
データを暗号化して業務を停止させる
「復号キーがほしければ支払え」と一次要求
“バックアップがあって復旧できても”、盗んだデータを公開すると脅して追加の金銭要求(二次恐喝)
このように二重恐喝型攻撃では、企業のバックアップ体制がどれだけ強固であっても 情報漏洩を材料にした二段構えの脅迫 から逃れることができません。
バックアップだけでは対策として不十分である理由は、この「情報窃取」が攻撃の中心になっているためです。
企業が保有する個人情報、知的財産、未公開の戦略資料——これらの価値は非常に高く、ダークウェブで転売されれば甚大な損害を生みます。
■ 情報流出と金銭要求の二段構え —— 攻撃者の狙いと巧妙さ
二重恐喝型ランサムウェアが企業に甚大な被害を与えるのは、攻撃者が“逃げ道を塞ぐ設計”をしているためです。
● 第1段階:データ暗号化による業務停止
暗号化されれば、サーバーや業務システムは停止し、売上やサービス提供に大きな影響が出ます。
医療機関や製造業など、 ダウンタイムが許されない業界 は特に深刻です。
● 第2段階:盗んだデータの公開・転売を示唆
バックアップで復旧しても、それだけでは攻撃者の要求を断る理由にはなりません。
攻撃者は実際にデータの一部を公開して「本当に盗んだ」と証明したり、ダークウェブ上のリークサイトでカウントダウンを表示したりすることもあります。
ここで脅されるデータはさまざまです。
顧客の個人情報・連絡先
社員の人事データ
経営資料・決算関連情報
サプライチェーンに関する機密資料
特許、研究開発データ
顧客企業との契約書、内部文書
企業が金銭を支払わなくても、攻撃者は盗んだ情報を転売・公開して利益化できます。
そのため「要求に応じないと情報漏洩につながる」という強烈なプレッシャーが生まれます。
■ 実際の被害事例 —— 世界中で深刻化する二重恐喝
二重恐喝型攻撃は世界的に急増しており、日本企業も例外ではありません。
ここでは匿名化しつつ、典型的な事例を紹介します。
● 事例1:製造業(日本)
従業員の端末がフィッシング攻撃を受け、攻撃者が社内ネットワークに侵入。
生産管理システムのデータが暗号化され、工場が一時稼働停止に。
バックアップで復旧できたものの、「顧客情報10万件を公開する」と二重恐喝を受け多額の損失につながった。
● 事例2:医療機関(海外)
攻撃者が病院の電子カルテサーバーから患者データを大量に窃取。
暗号化と同時に「未成年患者のデータを公開する」と脅し、支払いを拒んだ後に実際に一部がリークされた。
患者からの訴訟リスク、ブランド毀損が深刻化。
● 事例3:中小企業でも被害は深刻
中小企業のIT資産管理が不十分で、古いVPN装置から不正アクセスが発生。
攻撃者は社内サーバーから設計図や取引先情報を盗み、暗号化後に二重恐喝。
サプライチェーン企業への被害拡大を懸念し、結果的に公表を余儀なくされた。
これらの事例から分かるとおり、二重恐喝型ランサムウェアは 大企業だけでなく中小企業も標的 としており、全業界が対策を強化すべき状況にあります。
■ 情報漏洩リスクを減らす方法 —— 二重恐喝型への実践的対策
バックアップは「必要条件」ですが、「十分条件」ではありません。
特に二重恐喝型に対しては以下の対策が効果的です。
◎ 1. IT資産管理の強化
攻撃者は、OSの未更新端末や古いVPN装置、放置されたアカウントなど“管理されていない資産”を狙います。
ソフトウェアのパッチ適用
使われていないアカウントの削除
端末の管理台帳の明確化
これらの基本施策こそ、侵入リスクを減らす最も効果的な方法です。
◎ 2. アンチウイルスとEDRによる挙動監視
近年は AIを活用したEDR製品 も普及しており、従来型のアンチウイルスでは検知できない高度なハッキング行為を早期に発見できます。
端末での不審な暗号化処理
権限昇格の試行
大量ファイルへのアクセス
これらの異常を検知し、早期対応につなげられます。
◎ 3. Zero Trustを前提としたアクセス制御
攻撃者は侵入後、横方向に移動(ラテラルムーブメント)し、より価値の高い情報にアクセスします。
最小権限の徹底
多要素認証(MFA)の標準化
アクセスログの定期監視
これにより情報漏洩のリスクを大幅に軽減できます。
◎ 4. データ暗号化と分類管理
万が一情報が盗まれても、暗号化されていれば実害は大きく減ります。
社外秘データの分類
機密ファイルの暗号化
権限ベースのアクセス制御
「盗まれたら終わり」という状況を防ぐことが重要です。
◎ 5. フィッシング攻撃対策と社員教育
攻撃の入口は人であることが多く、特にメールは最も狙われやすいポイントです。
疑わしいメールをAIが自動判定するゲートウェイ導入
定期的な訓練
マクロ無効化や添付ファイルの分離
メール対策はランサムウェア防止の基本中の基本です。
◎ 6. インシデント対応計画(CSIRT)の構築
二重恐喝型はスピード勝負です。
発覚後の対応が遅れると、攻撃者がデータ公開サイトを更新するなど被害が急拡大します。
連絡体制の整備
初動対応手順のマニュアル化
外部専門家との連携(フォレンジック、弁護士、PR)
組織的対応力が企業の損害を左右します。
■ まとめ —— 「情報を守る」ことこそ二重恐喝対策の本質
二重恐喝型ランサムウェアは、バックアップがあっても防ぎきれない 情報窃取型サイバー攻撃 です。
データを盗まれれば、個人情報保護・コンプライアンス・企業ブランド・取引先の信頼など、あらゆる面で深刻な影響が生じます。
従来の「暗号化されてもバックアップで復旧すれば大丈夫」という考え方は、すでに通用しません。
企業が取るべき対策は次の通りです。
IT資産管理を徹底し、侵入の入口を塞ぐ
AI型EDRやアンチウイルスで不審な挙動を検知
Zero Trustによるアクセス制御
データ分類・暗号化で漏えい時の影響を最小化
フィッシング攻撃対策で入口の8割を潰す
CSIRTとインシデント対応計画の整備
ランサムウェア攻撃は今後も進化を続けるため、 「技術・運用・人」の三軸で総合的に対策を講じること が不可欠です。
企業が事前に備え、情報を守る力を高めておくことで、二重恐喝型攻撃による甚大な被害を未然に防ぐことができます。