近年、ランサムウェアが再び猛威を振るっています。特に2025年9月・10月にはアサヒビール社が大規模な被害を受けたことが大きなニュースとなりました。

今回は、ランサムウェアとエンドポイント管理について、私自身の現場経験を交えながら考えをまとめたいと思います。

ランサムウェアとは

改めて整理すると、ランサムウェアとは以下のような挙動を示すマルウェアを指します。

実行ファイルやマクロを通じてネットワークに拡散
↓
端末内のデータを暗号化し、ファイルの拡張子を強制的に変更
↓
ファイルにアクセスできなくした上で「身代金」を要求

実際に現場で被害に直面した際には、デスクトップ上のファイルが次々と書き換えられ、最終的には「振込先情報」と「カウントダウン画面」が表示される光景を目の当たりにしました。非常に衝撃的な経験でした。

ランサムウェア対策の基本

ランサムウェアの感染を防ぐためには、以下のような多層的な対策が有効です。

• ふるまい検知システムの導入
• 最新の更新プログラム適用
• ネットワーク脆弱性の定期的な対応
• エンドポイントセキュリティポリシーの徹底

感染が確認された場合の対応

1. 初期段階の対応

感染が広がる前にできる限り迅速な対応が求められます。
私が当時行ったのは、以下の対応です。

緊急の更新プログラム適用

通常は数万台規模の端末に数カ月かけて適用していましたが、緊急時には翌日までに約80％の端末へ適用を実施しました。

重要端末のネットワーク分離

ネットワークに接続されたままでは感染拡大のリスクが高いため、まずは重要な端末を隔離し、データ退避を優先しました。

2. 感染中の対応

感染経路の特定

原因が特定できなければ再発のリスクがあります。ログ調査や感染経路の明確化が不可欠です。

専門ベンダーの活用

大規模インシデント対応では自社のリソースだけでは限界があるため、有識者を抱える外部ベンダーとの連携が重要になります。

3. 感染後の対応

端末の初期化とキッティング

感染した端末はすべて初期化が必要です。数千台規模のPCキッティングを実施した経験もあります。

サーバー復旧

クライアント端末だけでなく、MECMやIntuneなどの管理サーバーも完全復旧が必須です。これらが不完全なままでは新たな脆弱性を突かれる危険があります。

クラウド時代における課題

私が現場で対応していた当時は、まだオンプレミス環境が主流でした。

現在はクラウド化やハイブリッド環境が進み、IntuneやAutopilotを活用した運用が一般的になっています。

ただし、Autopilotでのキッティングは復旧スピードが遅れるケースもあるため、緊急時に備えた端末バックアップの確保が改めて重要だと感じます。

まとめ

ランサムウェアは「感染させないこと」が最優先ですが、もしもの時にどれだけ迅速に復旧できるかも同じくらい重要です。

アーザスでは、MECMやIntuneを活用したエンドポイントのランサムウェア対策に加え、大規模な端末復旧やサーバー復旧の実績も多数あります。エンドポイント管理の強化や緊急対応の体制についてご検討中の方は、ぜひお気軽にご相談ください。