ランサムウエア感染経路の8割超が外部公開資産、ASMで防御へ

ランサムウエアの入口は、社内ではなく「外に見えている場所」にある

ランサムウエア対策というと、怪しいメールを開かない、ウイルス対策ソフトを入れる、といった対策を思い浮かべる人は多いかもしれません。

もちろん、それらは今でも大切です。しかし、近年の攻撃では、メールだけを警戒していれば十分という状況ではなくなっています。

日経クロステックActiveが2026年5月28日に公開した記事では、日本企業へのランサムウエア攻撃において、VPN機器やリモートデスクトップといった「外部公開資産」が侵入経路の大きな割合を占めていると報じられています。

外部公開資産とは、簡単に言えば、インターネット側から見える会社の入口です。

たとえば、社外から社内ネットワークへ接続するためのVPN機器、遠隔操作に使うリモートデスクトップ、公開サーバー、管理画面などが該当します。これらは、社員や取引先が便利に使うための仕組みである一方、攻撃者からも見つけられる可能性があります。

つまり、攻撃者は会社の中にいきなり入ってくるのではなく、まず外から見える入口を探します。そして、古い機器、設定ミス、弱いパスワード、未修正の脆弱性などを見つけると、そこから侵入を試みます。

VPNやリモートデスクトップは、便利な一方で狙われやすい

VPNやリモートデスクトップは、在宅勤務や外出先からの業務に欠かせない仕組みです。

社外から安全に会社のシステムへ入るために、多くの企業が導入しています。特にコロナ禍以降、急いでリモートワーク環境を整えた企業も少なくありません。

しかし、便利な入口は、攻撃者にとっても魅力的な入口になります。

VPN機器のソフトウェアが古いまま放置されている。リモートデスクトップが外部から接続できる状態になっている。管理画面がインターネットから見えている。退職者や使っていないアカウントが残っている。

このような状態があると、攻撃者にとっては「入れるかもしれない扉」が外に見えていることになります。

ランサムウエア攻撃では、侵入後すぐにデータを暗号化するとは限りません。まず内部を調べ、重要なサーバーやファイルを探し、バックアップの場所を確認し、より大きな被害を与えられるタイミングを狙うこともあります。

そのため、最初の入口を放置しないことが、被害を防ぐうえで非常に重要になります。

攻撃者の目線で自社を見る「ASM」とは

今回の記事で紹介されている対策の中心が、ASMです。

ASMとは、Attack Surface Managementの略で、日本語では「攻撃対象領域管理」と呼ばれます。

少し難しく聞こえますが、考え方はシンプルです。攻撃者から見たときに、自社のどこが見えているのか、どこが狙われそうなのかを把握し、危険な入口を減らしていく取り組みです。

会社の中から見ると、「このシステムは社内用」「このサーバーは昔使っていたもの」「この管理画面は担当者しか知らない」と思っているかもしれません。

しかし、攻撃者はインターネット上を広く探し、公開されている機器やサービスを見つけます。担当者が忘れていた古いサーバーや、更新されていないVPN機器、使われていないはずの管理画面も、外から見えていれば攻撃対象になります。

ASMは、こうした「見えているのに管理されていない入口」を洗い出すための考え方です。

すべての脆弱性に同じ力をかけるのは現実的ではない

セキュリティ対策を難しくしている理由の一つに、脆弱性の多さがあります。

記事では、年間約4万件に上る脆弱性への効率的な対処が課題として紹介されています。これだけの数があると、すべてに同じ優先度で対応することは現実的ではありません。

そこで重要になるのが、優先順位です。

外部から見えている機器なのか。攻撃に悪用されやすい脆弱性なのか。認証を回避できる危険があるのか。遠隔から不正な命令を実行される可能性があるのか。実際に攻撃で使われている脆弱性なのか。

こうした観点で、危険度の高いものから対応していく必要があります。

ASMは、単に一覧表を作るための取り組みではありません。限られた人員と時間の中で、どこから手を打つべきかを判断するための仕組みでもあります。

中小企業にも関係する「外から見える入口」の管理

ランサムウエア対策というと、大企業や大規模な組織の話に感じるかもしれません。

しかし、外部公開資産の管理は、中小企業にとっても無関係ではありません。

たとえば、リモート保守用の接続口、古いサーバー、社外から使える管理画面、クラウドサービスの設定、公開したまま忘れているテスト環境などは、規模の小さな会社でも存在することがあります。

しかも、中小企業では専任のセキュリティ担当者がいないことも多く、導入した機器やサービスがその後どう管理されているか分かりにくくなることがあります。

攻撃者は、会社の規模だけで相手を選ぶわけではありません。外から見えていて、入りやすい場所があれば狙われる可能性があります。

だからこそ、まずは自社がインターネット上に何を公開しているのかを把握することが重要です。

まず確認したいのは、技術よりも「見えているものの棚卸し」

ASMという言葉だけを聞くと、専門的なシステムを導入しなければ始められないように感じるかもしれません。

しかし、考え方としては、まず「外から見えるものを棚卸しする」ことが出発点です。

会社で使っているドメインは何か。公開サーバーはどれか。VPN機器は最新の状態か。リモートデスクトップは外部に公開されていないか。管理画面に多要素認証は入っているか。使っていないアカウントや古いシステムが残っていないか。

こうした基本的な確認だけでも、リスクを下げるきっかけになります。

重要なのは、「導入したから安全」ではなく、「今も安全な状態で管理されているか」を見続けることです。

ランサムウエア攻撃は、会社の小さな見落としを入口にすることがあります。その見落としを減らすために、攻撃者の目線で自社を見直すことが求められています。

まとめ

今回の記事が示しているのは、ランサムウエア対策の重点が変わってきているということです。

怪しいメールへの注意だけでなく、VPN機器やリモートデスクトップなど、インターネット側から見える入口の管理が重要になっています。

外から見える資産を把握し、不要なものは閉じる。必要なものは最新の状態に保ち、強い認証を設定する。深刻な脆弱性には優先的に対応する。

ASMは、そのための考え方です。

ランサムウエアは、突然会社の中で発生するのではありません。多くの場合、どこかに入口があります。その入口を見つけ、減らし、管理することが、これからの現実的な防御策になります。

守るべきものが増えた今、企業に必要なのは「社内から見た管理」だけではありません。攻撃者からどう見えているのかを知ること。その視点が、ランサムウエア対策の第一歩になりそうです。