リモートワークでVPNを使い始めてから、ある日ふと気になり出したことがありました。「アサヒビールへのランサムウェア攻撃って、もしかしてVPN経由じゃないの?」という疑念。調べていくうちにその通りだと確認できた日、背筋がひんやりしました。
「どうせ大企業が狙われるんでしょ」と思いたいところですが、今や中小企業・地方の製造業・医療機関、在宅ワーカーにまで被害が及ぶケースが増えています。この記事では、VPNとランサムウェアの関係、そして今日からできる対策を整理しています。
※この記事は2025年11月に公開し、2026年3月に情報を更新しました。
🌿 好きなことが、仕事になった日――VPNとの出会い
ある新聞社のWebライターに採用されたことで、VPNを初めて使うことになりました。入稿するには社内ネットワークへのVPN接続が必須。「安全に繋がるためのツール」として使い始めたわけです。
himetei最初、デスクトップからVPNの接続ができず、すったもんだありました。
しかもそのとき使っていたタイプは「L2TP/IPsec」。後から知ったのですが、このプロトコルは現在では脆弱性が指摘されており、IPAも利用に注意を呼びかけています。まさか「安全のため」に使っていたVPNが、攻撃の入口になりうるとは…。
寿限無 寿限無 五劫のすりきれ 海砂利水魚の水行末 雲来末…。
コロナ禍で一気に広がった在宅勤務とVPN
新型コロナウイルスの流行で、多くの企業がリモートワークへ急シフト。自宅から会社のシステムにアクセスするには、通信の暗号化が必要です。そこで一気に普及したのがVPNでした。
「VPNを使えば、カフェのWi-Fiでも会社の中にいるような感覚でアクセスできる」というわけです。リモートワークに欠かせないインフラとして定着しました。
ただ、このVPNがセキュリティの「鍵」にも「弱点」にもなるという二面性を持っていることが、後から調べてわかってきます。
ランサムウェアって、何がそんなに怖いの?
2025年11月、アサヒビールがランサムウェアの被害を受け、業務への影響が続きました。KADOKAWAの被害報道も記憶に新しいところ。でも「ランサムウェアって結局どういうもの?」と聞かれると、意外と説明しづらい。
一言でいえば、「パソコンやサーバーのデータを勝手に暗号化して、『戻してほしければ金を払え』と要求する悪質なウイルス」です。業務が止まるだけでなく、顧客情報や社内資料の流出リスクも伴います。
| 怖いポイント | 内容 |
|---|---|
| 🔒 データが開けなくなる | 請求書・顧客管理データ・営業資料など業務に必要なあらゆるファイルが暗号化され、開けなくなります。 |
| 💸 身代金を要求される | 復元には攻撃者への支払いを求められます。払っても確実に戻る保証はありません。 |
| 📤 情報が外部に流出する | 近年は「二重恐喝」型も増加。データを暗号化するだけでなく、盗み出した情報を公開すると脅すケースも。 |
「うちには関係ない」が一番危ない理由
特に最近急増しているのが「サプライチェーン攻撃」です。
取引先企業や関連会社 → ランサムウェア感染
↓
同じネットワークにVPNやリモートアクセスで繋がっていた自社・下請けにも感染が拡大
サプライチェーンとは? ▼をクリック
商品や部品が製造から消費者の手元に届くまでの、製造・輸送・管理などの一連の流れを「サプライチェーン」と呼びます。サイバー攻撃の文脈では、この流れに関わる企業のどこかが感染すると、繋がっている別の企業にも被害が波及することを「サプライチェーン攻撃」といいます。
身近な例を挙げると、無印良品のネットストアが一時停止した背景には、委託先であるアスクルのシステム障害がありました。自社に直接の問題がなくても、取引先のトラブルで影響を受ける――これがサプライチェーンリスクの実態です。
「うちは小さいから大丈夫」ではなく、「繋がっている取引先が感染したら?」という視点で考えることが重要です。被害のリアルを知りたい方はこちら
自分のPCが感染するのはどんなとき? 侵入パターンを整理する
💻 ランサムウェアの主な侵入パターン
- メールの添付ファイル(偽の請求書・取材資料・Zipファイルなど)
- OneDrive・Google Driveリンクを装った偽リンク
- 感染したままのPCでVPN接続 → 社内サーバまで感染が拡大
- WordPressなど公開サーバの脆弱性を突いた侵害
- パスワードの使い回しや、権限過剰なアカウントを悪用
⚠️ 特に危険になりやすいケース
- VPNで会社のネットワークに直接接続している
- Windows Defenderだけでランサムウェア防護の設定が弱いまま使っている
- セキュリティソフトが古いまま、またはそもそも入っていない
- 取引先から受け取ったWord / PDF / ZIPファイルを確認せずに開く
逆に、被害を防げるケースとは?
- 自分のPCから会社の共有フォルダを開いていない
- Windows Defenderのランサムウェア防護機能をONにしている
- 作業データをOneDriveやGoogle Driveにも定期バックアップしている
- 業務用PCと普段用PCを分けている(これが個人的には最強だと思っています)
まあ…自分でやれることは、こんなところでしょうか。完璧ではないけれど、何もしないよりずっとマシ。
被害に遭ってからでは遅いのが、サイバー攻撃の怖いところ。今日からすぐできることも多いので、一つずつでも意識しておきましょう。
Windows Defenderだけで本当に守れる? 設定の確認ポイント
私は有償のセキュリティソフトではなく、Windowsに標準搭載されているDefenderを設定して使っています。
有償ソフトを入れてもWindows Defenderは動いているの? ▼をクリック
有料のウイルス対策ソフトを入れると、Windows Defender(現・Microsoft Defender)のリアルタイム保護は自動で無効またはパッシブモードに切り替わります。複数のセキュリティソフトが同時にファイルをチェックすると競合が起きたり、PCが重くなったりするのを防ぐためです。
基本的に、リアルタイム保護がアクティブに動くのは1台に1つだけが推奨されています。有料ソフトをアンインストールすれば、Defenderは自動でアクティブモードに戻ります。現在の状態は「Windowsセキュリティ」→「ウイルスと脅威の防止」からいつでも確認できます。
💻 Windows Defenderだけを使うときの基本設定チェック
Defenderのみで守る場合、まず以下の設定を確認してください。特にランサムウェア防護は、デフォルトではOFFのことがあるので要注意です。
【Windows Defender 基本設定チェックリスト】 ▼をクリック
1. リアルタイム保護をONにする
「スタート」→「設定」→「Windowsセキュリティ」→「ウイルスと脅威の防止」→「設定の管理」→「リアルタイム保護」をオンに。
2. クラウド提供の保護をONにする
Microsoftのクラウドで最新の脅威情報を参照し、より素早く対応できます。同じ画面の「クラウド提供の保護」をオンに。
3. ランサムウェア防護(フォルダーアクセスの制御)をONにする
「ウイルスと脅威の防止」→「ランサムウェア防止の管理」→「フォルダーアクセスの制御」をオンに。デスクトップや書類フォルダを守る重要な設定です。
4. サンプルの自動送信をONにする(任意)
疑わしいファイルをMicrosoftに自動送信し、Defenderの性能向上に協力します。
💡 ポイント:定期的に「ウイルスと脅威の防止」画面で最新の状態かを確認する習慣をつけましょう。
セキュリティソフトを入れていないけど大丈夫?
近年のDefenderは性能が大幅に向上しており、個人のネットサーフィンやメール利用ならある程度カバーできます。ただ、リモートワーク環境や大切なデータを扱う場合は、追加のセキュリティソフトを検討する価値があります。
フリーランスには会社のIT部門がいません。だからこそ、自分のPCを守ることが、そのまま仕事を守ることに繋がると考えています。
ポチップ
「VPNを使えば安全」は大きな誤解
VPNはあくまで通信を暗号化する「入口」の役割。内部での感染やランサムウェアの侵入を防ぐことはできません。むしろVPN経由で感染が社内に広がるケースもあるのが現実です。
| よくある誤解 | 実際は… |
|---|---|
| VPNを使っていれば安全 | 通信の暗号化はできても、端末への攻撃や感染は防げません |
| 自分の会社には関係ない | 委託先・取引先経由で被害が波及するサプライチェーン攻撃が増加中 |
| Windows Defenderが入っているから安心 | ランサムウェア防護の設定を別途ONにする必要があります |
| セキュリティソフトを入れればOK | 定期的なバックアップとセットで初めて有効な対策になります |
中小企業・フリーランスも「対岸の火事」ではない理由
「うちは小さいし、大企業じゃないから大丈夫」。そう感じるのは自然な反応です。でも実際のところ、攻撃者はターゲットの規模を選びません。
狙われやすいのは「身代金が取れそうな会社」だけでなく、セキュリティが手薄で侵入しやすい会社。大企業への攻撃の踏み台として、中小企業が利用されるケースも増えています。
- 社員は普段どおり業務をしていた
- VPNで「安全に」接続していたはず
- 侵入者はVPN経由で、誰も気づかないまま社内ファイルにアクセスしていた
警察庁の報告でも、Emotet(メール経由で感染するトロイの木馬型マルウェア)やRyuk(感染端末のファイルを暗号化して身代金を要求するランサムウェア)に感染した取引先から、日常的にデータをやり取りしていた企業の社内ネットワークへ被害が波及した例が報告されています。
結果、重要データが暗号化されて業務が一時停止。身代金の要求に加え、復旧作業だけでも相当の時間とコストがかかります。
「自社だけが狙われるかどうか」より、「取引先経由で波及してくる可能性」を意識することが大切です。
アサヒビールのケースでは、VPN機器の既知の脆弱性を悪用され、攻撃者が10日以上にわたって内部を探索していたと発表されました。管理者権限を奪った攻撃者は、誰も気づかない深夜や早朝にサーバーを往来していたというから、怖い話です。
簡単なパスワードの使い回しや、初期設定のままの機器は特に狙われやすい。社員一人ひとりの意識と、基本的な対策の積み重ねが会社全体の安全性を高めます。
“対策しても防げないこともある”――セキュリティ会社の知人が言っていたこと
セキュリティ会社に勤める知人に話を聞く機会がありました。そのとき言われた一言が、ずっと頭に残っています。
「アサヒビールみたいな大企業でも攻撃されるんですよ。正直、どれだけ対策していても、狙われたら防げないこともあります。」
実際、アサヒビールの経営陣の会見でも
アサヒビールサイバーセキュリティー対策の成熟度としては一定レベル以上あり、必要かつ十分な対策を取っていたと認識していたが、今回はこうした認識を超える高度で巧妙な攻撃だった。
と話していました。最新のセキュリティを入れて、社員教育もして、それでも攻撃を受けることがある。「完璧に守るのは、現実的にはかなり難しい」という事実と向き合わざるを得ません。
では、攻撃されてしまったときはどうすればいいのか。そのヒントになる一冊があります。
ランサムウェア被害のリアルを知りたい方へ――読んでおきたい2冊
被害が発生した瞬間、経営者はどんな判断を下すのか。
『サイバー攻撃 その瞬間 社長の決定』は、実際の攻撃事例をもとに、経営者目線での対応と判断の重要性を学べる一冊。セキュリティを「IT部門の話」ではなく「経営の話」として捉え直すきっかけになります。
物流・EC企業「関通」の社長がYouTubeで語っていた言葉が印象的でした。「経営者がセキュリティ対策にどれだけ本気になれるかで、会社の未来は大きく変わる」と。攻撃を受けた場合の被害総額を試算すると、桁が違うほどの金額になることもある。「それを見せたら、本気になりますよ」と。
外注のセキュリティ関係者や弁護士費用、損害賠償の裁判費用まで含めると…”桁が間違っているのでは?”と思うほどの額になることもあるとか。人間ドックのように、会社のセキュリティ状態もプロに定期的に診てもらう時代に来ているのかもしれません。
もう一冊、気になった本を紹介します。
この本が書かれたのは安倍政権時代。当時、自民党サイバーセキュリティ対策本部長として現場を調査していた高市早苗氏が、サイバー攻撃の実態とその防ぎ方をわかりやすく解説しています(※現時点(2026年3月)の総理大臣)。
70ページにわたるマンガや、最新用語のわかりやすい解説も充実しているので、専門知識がなくてもスラスラ読める構成。怖さだけでなく「どう備えるか」という視点もあり、私でも理解できる言葉で書かれていました。
サイバーセキュリティを学ぶ場が、高校にもできた
調べていくうちに、AIの進化に伴ってサイバー攻撃の手口もますます巧妙になっていることを実感しました。政府としても、守る側の人材育成が急務になっているようです。
ホワイトハッカーとは、サイバー攻撃から企業や人を守る”守りのプロ”のこと。年収は一般的に600万〜1,500万円程度が多く、スキルと実績次第でさらに上がるとか。ホワイトハッカーの田中悠斗さんがYouTubeで詳しく話しています。私には縁のない世界ですが、興味深い。
世界のサイバー攻撃、リアルタイムで可視化されている
この画像は、Kaspersky(カスペルスキー)の「サイバー脅威マップ」です。世界中でリアルタイムに発生しているサイバー攻撃・ウイルス検知の動きを可視化したツールで、「世界でどれだけの攻撃が今この瞬間も起きているか」を示しています。
攻撃が活発な地域(ヨーロッパ・中東・ロシア周辺など)では線の密度が高くなっています。VPN・メール・Webアクセス・古いソフトの脆弱性と、どこからでも攻撃が来る可能性があるという現実を示しています。
日本の状況もマップから確認できます。日本の現状を詳しく知りたい方はこちら。
青い太いラインが日本に向かって伸びているのは、Web経由の攻撃(不正サイトやマルウェア配布ページ)が日本の端末に向けて発生したことを示しています。
脅威が「見える」ということは、「備えられる」ということでもあります。日々のアップデートや怪しいリンクを避けるといった基本的な対策を続けること――それが自分と会社を守る一番の近道だと思います。
公式ガイドラインも活用を
対策に迷ったら、一次情報を確認するのが確実です。
まとめ:知ることが、守ることの第一歩
ランサムウェアは「大企業だけの問題」ではありません。VPN経由で感染が広がること、サプライチェーン攻撃で中小企業やフリーランスにも被害が及ぶこと――知っているだけで、とれる対策が変わります。
完璧な防御は難しくても、基本的な設定の見直しとバックアップの習慣化だけで、リスクは大きく下げられます。難しく考えすぎず、今日からできることを一つずつ。
この記事を書いた人
Webサイトの制作・運営を15年以上続けているライター・ブロガー。WebライターとしてVPNを日常的に使う中で、リモートワークのセキュリティ問題に関心を持ちました。セキュリティ会社勤務の知人の話も交えながら、「難しそうだけど知っておくべきこと」を実体験ベースで執筆しました。。→ プロフィールはこちら
関連記事
コメント