【2025年版】ランサムウェアと標的型攻撃の違いとは?“標的型ランサムウェア”が主流になった理由と最新動向
サイバー攻撃は今や「ビジネス化」しています。
特にランサムウェアの分野では、Ransomware as a Service(RaaS)という仕組みが登場しました。これは、ランサムウェア攻撃を「サービス」として提供するビジネスモデルです。専門的な技術を持たない人でも、簡単にランサムウェア攻撃を実行できる状況が生まれています。
情報処理推進機構(IPA)が毎年発表する「情報セキュリティ10大脅威[組織]」では、ここ10年にわたり「ランサムウェアによる被害」が常に1位です。
現在主流なのは、事前にターゲットとなる組織を定めて狙い撃ちする「標的型のランサムウェア攻撃」で、無差別攻撃よりも被害が深刻化する傾向があります。
同じランキングには「機密情報等を狙った標的型攻撃」がありますが、標的型攻撃とランサムウェアによる被害は、どこが違うのかよく分からないという声を聞きます。
そこで今回は、ランサムウェアと標的型攻撃の違いについて、そして近年「標的型ランサムウェア」が主流となっている背景を最新の動向と合わせてご紹介します。
(※)IPA「情報セキュリティ10大脅威 2025」 https://www.ipa.go.jp/security/10threats/10threats2025.html
ランサムウェア/標的型攻撃とは
ランサムウェア:不正なプログラムの一種。身代金(Ransom)とソフトウェア(Software)を組み合わせた造語。
標的型攻撃:攻撃対象となるターゲットを定めて機密情報などを窃取する攻撃手法。類似の用語はばらまき型・無差別攻撃など
標的型攻撃は「特定の相手や組織を狙う攻撃手口」、ランサムウェアは「攻撃に使われるマルウェアの一種」です。近年は、標的型攻撃の手法を使った「標的型ランサムウェア攻撃」が主流になっているため、この二つが混同されやすくなっています。
「標的型ランサムウェア攻撃」が主流になった背景
従来のランサムウェアは、不特定多数に向けてランサムウェアをメールに添付し送信する「ばらまき型・無差別攻撃」が主流でした。
しかし、企業や個人のセキュリティレベルが上がるにつれ、ばらまき型のような単純な攻撃手法では感染が広がらなくなり、犯罪者は新たな感染経路を探すようになりました。
そこで目を付けたのが、VPNなどネットワーク機器の脆弱性の悪用や特定の組織を狙ったフィッシングメールの送付など、標的型攻撃と呼ばれる手法です。攻撃者は、支払能力が高い企業や、業務停止の影響が大きい組織を狙って攻撃し、多額の身代金を要求するようになりました。
【2025年最新動向】ランサムウェア攻撃が増えた3つの背景
警察庁が公表している2025年上半期におけるランサムウェアの被害報告件数は116件となっています。これは2022年の下半期と並ぶ最多の被害報告数となっており、ランサムウェアの被害は高水準を推移しています。
https://www.npa.go.jp/publications/statistics/cybersecurity/index.html
出典:警察庁レポート「令和7年上半期における サイバー空間をめぐる脅威の情勢等について」
ランサムウェア攻撃が近年増えた要因として、下記の背景が考えられます。
RaaSの普及で“標的型ランサムウェアを実行できる攻撃者”が増加
「RaaS(ランサムウェアによる攻撃を提供するビジネスモデル)」の普及によって、犯罪組織内での役割分担や分業が可能となりました。攻撃者が技術を持たなくとも犯罪が成立するようになったことも、被害報告数が減少しない要因になっています。
二重恐喝や暗号化しない“ノーウェアランサム”など攻撃パターンの多様化
ランサムウェアは、端末内のデータを暗号化し、復旧するために身代金を要求するマルウェアですが、近年主流となっているのは「二重恐喝」と呼ばれる攻撃パターンです。「二重恐喝」は、データを窃取したのちに暗号化し、その上「盗んだデータを公開する」などと脅迫する攻撃方法です。
他にも、「ノーウェアランサム」と呼ばれる、暗号化を行わずデータを窃取する攻撃手法が確認されています。窃取したデータは二重恐喝に使用され、情報漏えいや企業の信頼に関わるリスクが発生します。
生成AIの悪用によるランサムウェア攻撃の高速化と高精度化
近年においては生成AIの悪用によって、巧妙なサイバー攻撃による被害の拡大が懸念されています。
- 標的となる組織の情報収集や侵入計画をAIが支援し、攻撃実行までのスピードが速くなる
- フィッシングメール文面の高精度化
- ディープフェイクによる高度ななりすまし
このように準備段階から実行に至るまでAIが悪用されることで攻撃スピードが上がり、攻撃そのものも高精度化しています。
こうした変化は、RaaSの普及や二重恐喝の定着などの要因も相まって、ランサムウェアによる被害を増幅させている一因になっていると考えられます。
それぞれの被害・攻撃の対策に違いはあるのか
それぞれの被害・攻撃の対策に違いはあるのでしょうか。結論として、基本的な対策に大きな違いはありません。不審なメールやウェブサイトを開かない、ソフトウェアや機器を最新の状態に保つなど、日頃の基本的な対策を徹底することが何よりも重要です。
さらに、セキュリティ対策製品(EDRなど)による「侵入を防ぐ対策」に加えて、万が一侵入された場合でも復旧できる状態を保つことがランサムウェア対策では特に重要です。ランサムウェアは業務停止を狙うため、バックアップと復旧体制の整備が企業の事業継続性を大きく左右します。
- オフラインまたは分離したバックアップの確保
- バックアップデータの改ざん防止
- 復旧手順の定期的なテスト
これらを徹底することで、攻撃を受けても事業を迅速に復旧できる体制が整います。特に昨今の二重恐喝・ノーウェアランサム攻撃では、バックアップの有無が明暗を分けるケースが増えています。
また、ランサムウェア被害の発端は1通のフィッシングメールから始まることも少なくありません。そのため、上記のような対策だけでなく、従業員のセキュリティ意識向上に向けた対策を併せて実施することをおすすめします。
従業員の皆さんのセキュリティ意識向上のためには、実際の攻撃に近いメール文面を体験してもらうことも効果的です。
- 知識としては知っているものの、見分け方が分からない…
- 万が一リンククリックや添付ファイルを開いてしまった際、どうすればいいのか分からない…
こうした方に、実際の攻撃に近い訓練メールを送ることで、不審メールの見分け方や、万が一の際の適切な対応を学んでいただけます。また、会社全体としてメール攻撃があった際に「どれくらいの従業員が開封してしまうのか」というリスクの把握にもつながります。
ランサムウェアの被害を防ぐためにも、メール訓練サービスの活用もぜひご検討ください。
メール訓練サービスの効果についてはこちらで詳しく解説しています。
(本ブログは、2024年2月29日に公開した内容を最新動向に合わせて改訂しました。)
