ノーウェアランサムウェアとは？従来型との違い・対策を解説

あなたの会社は、データが盗まれていることに気づけていますか？

いま、「ノーウェアランサムウェア」という攻撃手法が企業を脅かしています。この手法の最大の特徴は、システムが正常に動き続けるため、被害に気づきにくい点です。

警察庁の最新統計（令和6年9月発表）によると、国内でもノーウェアランサムウェア被害が確認されており、令和5年に30件、令和6年上半期だけで14件の報告があります。

「うちの会社は大丈夫」と思っていませんか？

実は、ノーウェアランサムウェアは従来の攻撃では対象外とされていた重要インフラや中小企業まで標的にしています。システムを停止させないため、人道的な理由から攻撃をためらっていた犯罪グループも、この手法であれば実行しやすいからです。

本記事では、以下のポイントを解説します。

• ノーウェアランサムウェアの具体的な攻撃手順
• なぜ検知が困難なのか？その技術的な理由
• 被害企業が身代金を支払ってしまう心理
• 効果的な防御策と検知のポイント
• インシデント発生時の正しい初動対応

ノーウェアランサムウェアとは？基本的な仕組みを解説

従来のランサムウェア攻撃は、年を追うごとに多重脅迫型へと進化してきました。

従来のランサムウェア

従来のランサムウェアは、標的のコンピューターやシステムに不正アクセスし、データを暗号化して使用不能にする悪意のあるソフトウェアです。攻撃者はデータの復号と引き換えに身代金（ランサム）を要求します。

近年は単純な暗号化にとどまらない「多重脅迫」が一般化しています。最大4段階の脅迫が確認されています。

• （１重脅迫）システムを暗号化して業務を停止させ、身代金を要求。
• （２重脅迫）データを暗号化すると同時に窃取。公開されたくなければ追加の支払いを要求。
• （３重脅迫）攻撃対象のパートナーや顧客にデータ流出をリークし、支払いを間接的に迫る。
• （４重脅迫）DDoS攻撃でさらに追い打ちをかける。

バックアップがあっても、機密情報の流出を防ぐために身代金を支払わざるを得ない状況に追い込まれるケースが増えています。

ノーウェアランサムウェア

ノーウェアランサムウェアは、上記の「２重脅迫」部分だけを切り出した攻撃です。データを暗号化せずに盗み出し、「公開されたくなければ金を払え」と迫る手法です。海外では Encryptionless Ransomware（暗号化なしランサムウェア）とも呼ばれています。

警察庁「令和７年におけるサイバー空間をめぐる脅威の情勢等について」によると、国内での被害は令和5年に30件、令和6年に22件、令和7年には17件報告されています。国内の件数はまだ多くありませんが、海外では深刻な被害が続いています。米国テキサス州のある病院では、2022年7月に患者の氏名・住所・健康保険番号・病歴など約360GBのデータが窃取され、金銭の支払いを迫られました。

ノーウェアランサムウェアの4つの特徴と脅威レベル

ノーウェアランサムウェアは、データを暗号化しないことで従来型とは異なる4つの特徴を持ちます。

被害の検知が困難

従来型はファイル暗号化によって即座に攻撃を認識できましたが、ノーウェアランサムウェアはシステムの動作に影響が出ないため検知が難しいです。正規のファイルアクセスと区別がつきにくく、マルウェアの痕跡も残りにくい設計です。データ窃取はバックグラウンドで静かに進み、アクセスログの改ざん・削除で痕跡を消します。情報流出の範囲特定が困難になり、組織の対応が後手に回りやすい点が深刻です。

攻撃のスピードが速い

暗号化プロセスが不要なため、攻撃から脅迫までのサイクルが大幅に短縮されます。防御側が対策を講じる前に攻撃が完了してしまうため、被害防止が難しい状況です。

支払いに応じやすい

従来型はシステム停止により業務が中断し、被害公表が避けられませんでした。一方、ノーウェアランサムウェアはシステムが止まらないため業務を続けながら秘密裏に解決できます。株価下落や顧客離れなど二次被害を恐れて、被害を公表せずに要求へ応じてしまうケースが増えています。

攻撃対象が広い

システム停止を伴わないことで、重要インフラへの攻撃障壁が下がっています。病院・空港・電力などの重要施設は、業務停止を伴う攻撃に対して人道的な配慮を期待できた面がありましたが、ノーウェアランサムウェアではその歯止めが機能しません。中小企業も例外ではなく、手薄な防御が狙われやすい状況です。

ノーウェアランサムウェアが増えている背景

情報窃取型の恐喝攻撃はノーウェアランサムウェア以前から存在していました。なぜ改めて注目されているのでしょうか。

ランサムウェア対策の浸透

IPAの「情報セキュリティ10大脅威」でランサムウェア攻撃が10年連続でランクインするほど認知が高まり、バックアップ対策が普及してきました。暗号化による脅迫の効果が薄れてきたことで、攻撃者がデータ窃取型にシフトしたと考えられます。ただし、バックアップが暗号化されたり、準備不足でリカバリーできないケースも現実には残っています。

身代金支払いに伴うブランド毀損リスク

「犯罪者に屈した」というイメージが形成されることへの懸念から、日本は世界的に見ても身代金の支払い率が低い傾向にあります。攻撃者の視点では、業務停止を伴う攻撃は事件が広く報道されて支払いを困難にする要因になるため、システムを止めずにデータだけを盗む手法を選ぶようになったと考えられます。

インシデント対応で注意すべきこと

ランサムウェアのコンティンジェンシープランの起点を「暗号化による業務停止」にしていませんか。ノーウェアランサムウェアでは業務停止が起きません。身代金を要求するランサムノート（痕跡ファイルや電子メール）をいたずらと思って見過ごさないよう注意が必要です。

また、データ窃取型の攻撃では、初期対応として被害範囲の特定が最優先です。通常のランサムウェアと異なりデータが暗号化されていないため、被害範囲の把握は一層困難になります。普段から通信ログ・アクセスログ・プロセスログを詳細に取得しておき、インシデント発生時に迅速に分析できる体制が求められます。不審な外向き通信やデータ転送の痕跡、権限昇格やラテラルムーブメントの形跡を重点的に確認してください。

ノーウェアランサムウェア対策の実践的手法

ノーウェアランサムウェアの感染経路は従来のランサムウェアとほぼ変わりません。VPNなどのネットワーク機器の脆弱性管理を徹底することや、不審メールへの警戒が基本です。ウイルス対策・データのバックアップと暗号化・アクセス権限の管理といった基本対策も引き続き重要です。

加えて、海外で指摘されている「LotL（Living off the Land）」攻撃への備えとして、EDR（Endpoint Detection and Response） の導入が有効です。EDRは従来のアンチウイルスでは検出できない、正規ツールを悪用した異常な振る舞いをリアルタイムで捉え、迅速な対応につなげます。バックアップだけでは防ぎにくいデータ窃取の兆候をいち早く検知するうえで、EDRは現代のセキュリティ対策において欠かせない手段の一つとなっています。

ALSOKが推奨するノーウェアランサムウェア対策ソリューション

ノーウェアランサムウェアへの有効な対策として、ALSOKでは「ALSOK UTM運用サービス」をお勧めしています。UTMはアンチウイルス・ファイアウォール・アンチスパムなど複数のセキュリティ機能を一つに集約しており、UTM1台で多層的な対策を実現できます。ALSOKが厳選したUTM機器の提供に加え、脆弱性対応・設定作業・稼働監視までALSOKが代行するため、運用負担を大幅に軽減しながらノーウェアランサムウェア対策を始めることができます。

エンドポイントの振る舞い検知を強化したい場合は、ALSOK EDRサービスもあわせてご検討ください。LotL攻撃のような正規ツールを悪用した不審な動作をリアルタイムで検出・記録し、インシデント発生時の迅速な原因特定と対応を支援します。

まとめ