ノーウェアランサムとは？従来型との違いと対策方法を警察庁データを基に解説

2025.09.12 更新　(2023.11.16　公開)

あなたの会社は、データが盗まれていることに気づけますか？

いま、「ノーウェアランサム」という新しいサイバー攻撃が企業を脅かしています。この攻撃の最も恐ろしい点は、システムが正常に動作し続けるため、被害に気づきにくいことです。

警察庁の最新統計（令和6年9月発表）では、国内でもノーウェアランサム被害が確認されており、令和5年に30件、令和6年上半期だけで14件の報告があります。

「うちの会社は大丈夫」と思っていませんか？

実は、ノーウェアランサムは従来攻撃対象とされなかった重要インフラや中小企業まで標的にしています。システムを停止させないため、人道的な配慮から攻撃を控えていた犯罪グループも、この手法なら躊躇なく実行できるからです。

本記事では、以下の重要なポイントを解説します。

ノーウェアランサムの具体的な攻撃手順
なぜ検知が困難なのか？その技術的理由
被害企業が身代金を支払ってしまう心理
効果的な防御策と検知システム
インシデント発生時の正しい初動対応

ノーウェアランサムとは？基本的な仕組みを解説

従来のランサムウェア攻撃は何重にも脅迫を行うよう進化してきました。

従来のランサムウェア

ノーウェアランサムの前に従来のランサムウェアの簡単な説明をします。
従来のランサムウェアは標的のコンピューターやシステムに不正にアクセスし、データを暗号化して使用できなくする悪意のあるソフトウェアです。攻撃者は、データの復号化と引き換えに身代金（ランサム）を要求します。
近年の攻撃では、単なるデータの暗号化にとどまらない「2重の脅迫（ダブルエクストーション）」が一般的になっています。攻撃者は以下の2段階で脅迫を行います：

・データの暗号化による使用不能化と、その解除のための身代金要求
・盗み出した機密データをインターネット上に公開すると脅して、追加の金銭を要求

この2重の脅迫により、データのバックアップがある組織でも、機密情報の流出を防ぐために身代金を支払わざるを得ない状況に追い込まれることがあります。
ちなみに、最大4重までの脅迫があります。

（１重脅迫）システムを暗号化し、業務を停止させランサム（身代金）を要求。
（２重脅迫）データの暗号化と同時に窃取。公開されたくなければ身代金を支払うよう要求。
（３重脅迫）攻撃対象のパートナーや顧客に、情報が洩れていることををリークし、身代金を支払うことを攻撃対象企業に提案させる。
（４重脅迫）DDoS攻撃でさらに追い打ちをかける。

ノーウェアランサム

ノーウェアランサムは、「2重の脅迫（ダブルエクストーション）」の部分を切り出した攻撃です。
データを暗号化せずに盗み出し、それを公開しないように身代金を要求する「2重脅迫」を起点とするサイバー攻撃のことです。

警察庁が発表した「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等」によると、ノーウェアランサムによる被害が国内で令和5年に30件、令和6年上半期のみで14件報告されています。国内ではまだ数は少ないですが、海外では既に多くの被害が多発しています。米国テキサス州の某病院では、2022年７月にノーウェアランサムの攻撃を受けて、患者の氏名や住所、健康保険番号や病歴などのデータ約360GB分が盗まれ、金銭の支払いを脅迫される被害に遭いました。

ノーウェアランサムの4つの特徴と脅威レベル

ノーウェアランサムは、データの暗号化を行わないことによって、従来のランサムウェアとは異なる4つの特徴を持っています。

被害の検知が困難

従来型ランサムウェアとの大きな違いは、ファイル暗号化を行わない点です。従来型では暗号化により即座に攻撃を認識できましたが、ノーウェアランサムではシステムの動作に影響が出ないため検知が極めて困難です。正規のファイルアクセスと区別がつきにくく、システムパフォーマンスへの影響も最小限に抑えられています。さらに、マルウェアの痕跡が残りにくい設計で、一般的なアンチウイルスソフトでの検出も困難です。データ窃取はバックグラウンドで静かに行われ、正規の通信に偽装してデータを送信します。段階的な情報収集により負荷を分散させ、アクセスログの改竄や削除で痕跡を隠蔽します。この結果、情報流出の範囲特定が困難になり、攻撃者が十分な準備時間を確保できる一方で、組織の対応は後手に回りがちです。

攻撃のスピードが速い

暗号化プロセスが不要であることから、攻撃から脅迫までのサイクルが大幅に短縮されています。従来型と比較して、防御側の対応時間が著しく制限されることになります。データ窃取に特化することで攻撃の効率性が向上し、短時間での大量データ抽出が可能となっています。組織が対策を講じる前に攻撃が完了してしまうため、被害の防止が極めて困難です。情報の窃取と脅迫のプロセスが最適化されており、攻撃者は迅速に要求を突きつけることができます。

支払に応じやすい

従来のランサムウェア攻撃では、データの暗号化によってシステムが停止し、業務が中断してしまいます。そのため、被害を公表する必要がありました。一方、ノーウェアランサムはシステムが停止しないため、業務は継続できます。被害公表による株価下落や顧客離れなどの二次被害を恐れて、被害を公表せずに要求に応じて、穏便に解決することもできます。その結果、支払いに応じる可能性が高まってしまう恐れがあります。事業継続への影響が少ないことが、かえって被害の深刻化を招く要因となっています。

攻撃対象が広い

システム停止を伴わないという特徴により、重要インフラへの攻撃障壁が大きく低下しています。従来のランサムウェア攻撃では、暗号化による業務の停止が伴うため、人命にかかわる病院や空港、原発などの重要なインフラに対しての攻撃に、人道的に二の足を踏んでいた犯罪グループもありました。ノーウェアランサムでは攻撃対象の業務を停止させることなく攻撃できるため、今までは攻撃の対象とされていなかった重要施設が攻撃対象となる可能性があります。

ノーウェアランサムが急増している3つの背景

情報を窃取して身代金を要求するサイバー攻撃は、ノーウェアランサムの出現前から存在していました。では、なぜ改めてそのような攻撃が利用されるようになったのでしょうか

ランサムウェア対策が少しずつ浸透してきた

2025年の情報処理推進機構(IPA)の「情報セキュリティ10大脅威」におけるランサムウェアでランサムウェア攻撃が10年連続でランキングされていることからもわかるように、ランサムウェア攻撃が世間一般によく知られるようになってきています。このような状況を受け、経営層のサイバーセキュリティへの関心も高まり、対策予算の確保や事業継続計画（BCP）への組み込みなど、組織的な取り組みが進んでいます。
代表的な対策であるバックアップが行われ、暗号化による攻撃の効果が薄れていることがわかります。
ただし、バックアップを行っても、バックアップ自体が暗号化されたり、準備不足で結局バックアップからリカバリーできていない現状があります。

身代金支払いに関する二次被害

「テロ、犯罪者に屈した」というイメージが形成され、ブランド価値が毀損したり、メディアによる否定的な報道により、長期的な企業イメージの低下を招く原因となるため、日本は世界的にみても身代金の支払いが低い国となっています。
攻撃者の視点では、暗号化により業務停止を行うと世間に広く知れ渡り、攻撃対象者が身代金支払いをできなくなる要因を作ってしまうことになるため、通常のランサムウェア対策ではなく、情報窃取だけを行うようになったと考えられます。

インシデント対応に注意が必要

ランサムウェアに関するコンティンジェンシープランの起点を、「暗号化による業務停止」にしていないでしょうか。ノーウェアランサム攻撃では、業務停止を伴いません。身代金を要求する痕跡ファイルや電子メール(ランサムノート)をいたずらと思って見過ごすことのないよう気を付ける必要があります。

また、データ窃取型の攻撃であるため、初期対応として被害範囲の特定が最優先となります。しかし、通常のランサムウェアと異なり、データが暗号化されていないため、被害範囲の特定も困難な対応になることが予想されます。被害範囲の特定を容易にするためには、普段の通信ログ、アクセスログ、プロセスログなどの詳細な取得、インシデント発生時の迅速な分析が必要です。特に不審な外向き通信やデータ転送の痕跡を重点的に調査します。さらに、権限昇格やラテラルムーブメントの形跡も確認が必要です。

ノーウェアランサム対策の実践的手法

ここまで解説してきたように、ノーウェアランサムはランサムウェアに感染させないことを除けば、従来の手口とほぼ変わりません。そのため、感染経路には大きな違いはなく、感染経路であるVPNなどのネットワーク機器の脆弱性管理を徹底することや、怪しいメールに対する警戒心を高めることが基本となります。加えて、ウィルス対策やデータのバックアップ・暗号化、アクセス権限の管理などの基本対策も重要です。

ランサムウェアの侵入経路 — 出典：警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」より

ALSOKが推奨するノーウェアランサム対策ソリューション

ノーウェアランサムに対する、ALSOKおすすめのソリューションとして「ALSOK UTM運用サービス」をご紹介します。UTMは、アンチウィルスやファイアウォール、アンチスパムなどの複数のセキュリティ機能が一つに集約されています。そのためUTM１つで、ノーウェアランサムに有効な対策を複数講じることができます。本サービスでは、ALSOKにより厳選されたUTM機器の提供に加え、機器の脆弱性対応や設定作業、稼働監視などをALSOKがお客様に代わって行います。負担のかかる機器の運用管理の多くをALSOKに任せることができるため、手軽にノーウェアランサム対策を行うことができます。

まとめ

ノーウェアランサムは企業にとって新たな現実的脅威となっています。

データを暗号化せず窃取する手法により、検知困難・攻撃高速化・支払圧力増大・攻撃対象拡大という4つの特徴を持ち、従来型ランサムウェア対策では対応できません。

警察庁発表では、令和6年上半期に国内14件の被害が確認されており、今後主流化する可能性が高い攻撃手法です。効果的な対策には、VPN等の脆弱性管理、従業員教育、UTMによる多層防御が重要です。企業規模に関係なく、すべての組織で包括的なセキュリティ対策の見直しと強化が求められています。

ノーウェアランサム対策をご検討の企業様は、ALSOKの専門チームまでお気軽にご相談ください。

ALSOKのおすすめ情報セキュリティサービス

ネットワーク内の情報資産や顧客情報を、外部脅威から守る
【ALSOK UTM運用サービス】

PC・モバイル端末管理をクラウドで実現。負担となる「導入」から「運用・報告」までサポート。
【ALSOK IT資産管理】

企業を狙う巧妙な改ざん攻撃への対策に必要な早期検知・対応のサービスをご提供
【ALSOK ホームページ改ざん対策】