SQAT® Security 玉手箱 | SQAT®.jp

2026年1月28日2026年3月2日

サプライチェーン攻撃とは ―委託先・外注先リスクから情報漏えいを防ぐ全体像―

近年、企業の情報漏えい事故の原因として増えているのが、委託先や取引先、外部サービスを経由したサプライチェーン攻撃です。自社のシステムが直接攻撃されていなくても、外部との連携を足がかりに被害が発生するケースは珍しくありません。本記事では、サプライチェーン攻撃とは何かという基本的な考え方から、なぜ企業規模を問わずリスクが高まっているのか、全体像を整理します。まず全体を理解することで、断片的な対策に終わらない判断の土台をつくります。

サプライチェーン攻撃がどのように起きているのか、攻撃の特徴や背景を知りたい方は、次の記事もあわせてご覧ください。
なぜ取引先経由で情報漏えいが起きるのか ―国内で増えるサプライチェーン攻撃の実態―

情報漏えいは「自社の外」から起きる時代へ

近年、企業の情報漏えい事故を調査すると、必ずしも自社システムが直接攻撃されているわけではないケースが増えています。原因として多く挙げられるのが、委託先や外注先、外部サービスを経由した不正アクセスです。こうした攻撃はサプライチェーン攻撃と呼ばれ、いまや企業規模や業種を問わず直面する可能性のある現実的なリスクになっています。クラウドサービスやSaaSの利用、業務委託の拡大によって、企業のセキュリティ境界は大きく広がりました。その結果、自社だけを守っていれば安全、という考え方は通用しなくなっています。

サプライチェーン攻撃とは何か

サプライチェーン攻撃とは、標的企業そのものではなく、その周囲に存在する取引先や委託先、連携サービスを足がかりに侵入する攻撃手法です。攻撃者は、比較的対策が弱い外部事業者を狙い、正規の権限や接続経路を利用して本来の標的へと近づきます。この攻撃の特徴は、正規の仕組みが悪用される点にあります。そのため、不正侵入として検知されにくく、被害が表面化したときにはすでに多くの情報が流出しているケースも少なくありません。

なぜサプライチェーンリスクの管理は難しいのか

サプライチェーンリスクの管理が難しい最大の理由は、管理対象が自社のコントロール外にある点です。委託先や外注先ごとにセキュリティ対策の成熟度は異なり、すべてを同じ基準で把握することは簡単ではありません。また、契約内容や運用ルールが曖昧なまま業務が進んでいることも多く、インシデントが起きて初めて問題に気づくケースもあります。こうした背景から、「何をどこまで確認すべきか分からない」という声が現場で多く聞かれます。

委託先・外注先のセキュリティはどこまで確認すべきか

サプライチェーンリスクを考えるうえで重要なのは、すべてを完璧に監査しようとしないことです。まずは、委託先がどの情報にアクセスできるのか、どの業務を担っているのかを整理することが出発点になります。扱う情報の重要度が高いほど、確認すべき範囲も広がります。技術的な対策の有無だけでなく、運用体制やインシデント時の対応ルールが整っているかどうかを見ることが、現実的なセキュリティ確認につながります。

委託先が原因で情報漏えいが起きた場合の初動対応

どれだけ対策を講じていても、サプライチェーン攻撃のリスクを完全にゼロにすることはできません。そのため重要なのは起きない前提ではなく、起きたときにどう対応するかを想定しておくことです。委託先が原因で情報漏えいが疑われる場合でも、企業としての説明責任は免れません。初動対応では、原因の切り分けよりも被害拡大の防止と事実整理を優先し、社内外への対応を並行して進める必要があります。

サプライチェーンリスク対策で本当に重要な視点

サプライチェーン攻撃への対策は、単なるセキュリティ技術の問題ではありません。委託先との関係性、契約内容、社内体制、インシデント対応の準備といった、組織全体のリスク管理の問題です。「自社の中は守ることができている」という安心感が、かえってリスクを見えにくくしてしまうこともあります。だからこそ、自社を取り巻く外部環境も含めて全体を把握し、どこにリスクが集中しているのかを整理する視点が欠かせません。

サプライチェーン攻撃は経営リスクでもあります。経営視点で整理した記事はこちら。
「サプライチェーン攻撃と経営責任 ―委託先が原因でも問われる企業の判断とは ―」

まとめ：まず“全体像”を理解することが最大の対策

サプライチェーン攻撃は、今後も増えていくと考えられます。委託先や外注先を活用する限り、すべての企業が無関係ではいられません。重要なのは、断片的な対策に終始するのではなく、サプライチェーン全体を一つのシステムとして捉えることです。全体像を理解したうえで、確認・対応・改善を積み重ねていくことが、結果的に最も効果的なリスク対策になります。

BBSecでは

サプライチェーンリスクは、属人的な判断や部分的な対応では管理しきれなくなっています。委託先の数が増えるほど、リスクの把握と対応は複雑になります。株式会社ブロードバンドセキュリティ（BBSec）では、サプライチェーン全体を視野に入れたセキュリティリスクの整理や、委託先管理、インシデント対応体制の支援を行っています。「どこにリスクがあるのか分からない」という段階からでも、現状に合わせた整理と改善を進めることが可能です。サプライチェーンを含めた情報管理に不安を感じている場合は、まず全体を俯瞰するところから始めてみてはいかがでしょうか。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。

2026年1月26日

サイバー攻撃リスク評価の進め方：見えない脅威を可視化するプロセスと実践

サイバー攻撃対策は、サービスや製品を導入するだけでは十分とは言い切れません。重要なのは、自社がどのような攻撃リスクにさらされ、どこに弱点があり、被害が出た場合にどれほどの影響があるのかを正しく把握することです。サイバー攻撃リスク評価は、限られた予算や人材で最大の防御効果を得るための出発点となります。本記事では、資産の棚卸しから脅威・脆弱性の分析、優先順位付けまで、実務に使えるリスク評価プロセスを体系的に解説します。

サイバー攻撃リスク評価が重要とされる背景には、実際に企業が被っている被害コストの深刻さがあります。リスク評価の前提として、まずはサイバー攻撃が企業経営にどれほどの損失をもたらしているのかを把握しておくことが重要です。
「サイバー攻撃被害コストの真実―ランサムウェア被害は平均「2億円」？サイバー攻撃のリスク評価で“事業停止損害”を可視化」（https://www.sqat.jp/tamatebako/41157/）

なぜ今、サイバー攻撃リスク評価が必要なのか

サイバー攻撃という言葉を聞いても、多くの経営者やIT担当者は漠然とした脅威を感じながらも、それが具体的に自社経営のどこに、どのようなコストとして跳ね返るのかを十分に自覚できていない現実があります。サイバー攻撃の被害コストが平均で数億円に達する状況下、「とにかく新しいセキュリティ製品を導入すれば安心する」といった対症療法的な取り組みでは、もはや防御しきれない時代へと突入しました。必要なのは「敵を知り、己を知る」戦略的なサイバー攻撃に対するリスク評価、すなわち、自社の弱点と外部の脅威を冷静に見極める経営判断の力です。

サイバー攻撃リスク評価の本質とは

敵を知り、己を知る

IPA「情報セキュリティ白書」をはじめとし、各所で訴えられているのが、「サイバー攻撃に対するリスク評価の重要性」です。ただしその本質は、単なるITシステムのスキャンやツールベースの脆弱性チェックではありません。真のリスク評価とは、経済合理性の観点で、何を守り、何を諦めるのかという意思決定を支える土台なのです。どれほど強力な製品やサービスを導入しても、リスクの本質を社内の誰も把握していなければ、最悪のシナリオを防ぐことはできません。リスクが見えない会社はまるで地図も持たずに夜の海を航海する船と同じです。限られた人材・予算で最大効果を追求するため、全社員が自分ごととしてリスクを理解することが必要不可欠になります。

ステップ1：守るべき資産の棚卸しから始める

リスク評価の第一歩は、組織の守るべきものを徹底的に洗い出すことです。単に個人情報やサーバーと抽象的に捉えるのではなく、顧客の個人情報DB、製造業の設計図ファイル、EC企業のオーダー処理システム、医療機関なら電子カルテや診療録など、具体的な業務上の資産を1つ1つリストアップしていきます。この資産の棚卸し作業には経営部門、現場担当、IT管理者それぞれの視点が欠かせません。しばしば現場を訪れてヒアリングすることで、「社内の共有フォルダに重要な決裁書が保管されていた」「知らないうちに外部のクラウドサービスを使っていた」といった予想外のリスクが浮かび上がることも多いのです。

さらに、一つ一つの資産が「漏洩した場合」「改ざんされた場合」「利用不可になった場合」それぞれでどんな損失が出るかを具体的に算定します。例えば、「受注管理のExcelファイルが消えたら、次月の売上がいくら減るか」「サプライヤーリストが流出したら、競合にどんな損失があるか」など、リアルな金額で被害コストを試算することで、リスク評価の精度は飛躍的に高まります。こうした積み上げが正確なサイバー攻撃リスク評価の基礎となるのです。

ステップ2：脅威と脆弱性のリアルな分析

守るべき資産が可視化されたら、同時に「どのような攻撃（脅威）によって、それが被害を受けるのか」「自社のどこに抜け穴（脆弱性）があるのか」という分析を行います。ランサムウェアや標的型攻撃、内部不正やサプライチェーン攻撃など、攻撃手口は年々進化を続けており、特に2025年には生成AIを活用したフィッシングメールの飛躍的高度化や、関連会社を経由したサイバー攻撃が国内外で激増しています*1。この脅威分析は、単なるIT部門の仕事ではありません。現場従業員のうかつなファイル操作、ベンダーから納品されたIoT機器の未対策状態、管理者のミス設定まで、多層的な視点が必要となります。例えば「ファイアウォールは万全だが、受付担当者がメールで来たExcel添付を毎回開いてしまう」、こうした人為的な脆弱性こそが深刻なリスクとなりえるのです。

さらに、最新の脅威情報をウォッチし、自社の資産一つ一つに「どの攻撃手口がどれだけ現実的なのか」「実際に被害が起きたらどんな損失が発生するか」をひとつずつ当てはめていきます。IPAやJPCERT、経済産業省のガイドライン等で公開されている被害事例も積極的に参照し、決して机上の空論にならないようにすることが重要です。

ステップ3：リスク値の算定と現実的な対策の選定

資産の価値、脅威シナリオ、脆弱性の分析がそろったら、それらを掛け合わせて「リスク値」を定量的または定性的に算定します。年に1回は「このシステムが被害を受ける確率」「被害にあった場合の復旧・損失コスト」を具体的に予測し、たとえば年間予想被害額（Annualized Loss Expectancy, ALE）といった尺度で数値化してみます。数値化が難しければ、「この資産は被害が出た場合、顧客離脱や損害賠償リスクが最も高い」といった三段階の定性的評価でも構いません。

こうした評価から、「このサーバーは古いが利用者が少ないので対応を先送りする」「この顧客データベースは被害時の損害コストが極めて高いため、早急に多要素認証や暗号化を施す」など、リスクごとに優先順位を定めて取り組むことが可能になります。リスクゼロは現実的に不可能ですが、限られたリソースを最大限有効活用し、許容できない損害だけは絶対に回避する。保険・外部委託など、リスクを下げきれない部分のコスト転嫁も積極的な選択肢となります。

なお、ここで言うリスクとは抽象的な危険性ではなく、実際に発生しうる被害コストや業務停止損害を含んだ現実的な損失を指します。
「サイバー攻撃被害コストの真実―ランサムウェア被害は平均「2億円」？サイバー攻撃のリスク評価で“事業停止損害”を可視化」

リスク評価を“一度きり”で終わらせないために

サイバー攻撃リスク評価は、決して一度やったら終わりではありません。IT環境は日々進化し、新しい脆弱性や攻撃手口が次々に出現します。たった1年で状況が一変するデジタル社会において、リスク評価を定期的な健康診断や棚卸しのようにサイクルに組み込むことの重要性はますます高まっています。たとえばセキュリティインシデントが起こった直後には再評価を実施し、現場の運用ルールやセキュリティ教育もアップデートする、その繰り返しが強靭な組織基盤を作り上げていきます。

この継続プロセスの副次的な効用として、現場担当者も経営層も含めた当事者意識の醸成という大きな成果も見逃せません。全員が自分たちの業務にどんなサイバー攻撃被害コストが潜んでいるかを肌感覚で理解し、日常業務の中でこのデータの扱い方は安全かと常に問い続ける風土が生まれます。これが最終的には、組織としてのサイバー攻撃耐性・セキュリティ文化の創出へとつながっていくのです。

まとめ―サイバー攻撃リスク評価が企業を強くする

「守るべきものの棚卸し」「脅威と脆弱性のリアルな洗い出し」「定量・定性評価による対応策の優先順位付け」、このサイクルの徹底こそが、サイバー攻撃リスク評価の真髄です。安易な製品導入による対策の自己満足から脱却し、本質的な経営判断としてのリスク評価を習慣化すること。―これこそが、2026年を生き抜く企業の競争力を底上げする最短の道となります。サイバー攻撃リスク評価を“実装”すれば、サイバー攻撃の被害コストに怯える毎日から、主体的に未来を選び取る経営へと転換できることでしょう。

サイバー攻撃リスク評価は、評価して終わりではありません。算出したリスクをどう解釈し、どこに投資し、どのリスクを許容するのかという経営判断に落とし込むことで、初めて意味を持ちます。次の記事では、リスク評価をセキュリティ投資や経営戦略にどのように活かすべきかを解説します。
「サイバー攻撃リスク評価を投資判断に活かす：コストから経営戦略へ転換する方法」

【参考情報】

独立行政法人情報処理推進機構（IPA）「情報セキュリティ白書2023」（https://www.ipa.go.jp/publish/wp-security/t6hhco00000014r1-att/2023_Chap1.pdf）
SentinelOne「サイバーセキュリティリスク評価：ステップバイステップの手順」（https://www.sentinelone.com/ja/cybersecurity-101/cybersecurity/cyber-security-risk-assessment/）
金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」（令和6年10月4日）（https://www.fsa.go.jp/common/law/cybersecurity_guideline.pdf）

サイバーインシデント緊急対応

セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

限定キャンペーン実施中！

今なら新規お申込みで 初回診断料金 10％OFF！
短期間での診断が可能な「SQAT® with Swift Delivery」で、あなたの企業をサイバー脅威から守りませんか？

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2026年1月8日2026年3月10日

脆弱性対応の優先順位と判断基準―限られたリソースでリスクを下げる考え方

Security NEWS TOPに戻る
バックナンバー TOPに戻る

脆弱性情報は日々公開されており、セキュリティ担当者は常に、何を優先して対応すべきかという判断を求められます。しかし、すべての脆弱性に即座に対応することは、現実的にもリソース的にも困難です。重要なのは、脆弱性の数に振り回されるのではなく、どこを優先すべきかを合理的に判断することです。本記事では、企業が脆弱性対応の優先順位を決めるための考え方と、実務で使える判断基準を整理します。

なぜ脆弱性対応の「優先順位」が重要なのか

ソフトウェアやシステムの脆弱性は、日々新しく公開されています。すべての脆弱性に即座に対応できれば理想的ですが、現実には人員・時間・業務影響の制約があり、全件即対応は困難です。このとき重要になるのが、どれから対応するか、という優先順位の判断です。優先順位を誤ると、次のような事態が起こりがちです。

実際に攻撃されやすい脆弱性を後回しにしてしまう
影響の小さいものに工数を取られ、本当に危険な対応が遅れる
パッチ適用による業務影響ばかりが増える

脆弱性対応は数をこなす作業ではありません。限られたリソースでリスクを下げるための“判断”が重要なのです。

なぜ脆弱性対応の判断はここまで難しいのか

脆弱性対応の判断が難しい理由は、単に技術的な問題だけではありません。多くの企業では、脆弱性情報の量が増え続ける一方で、対応に使える時間や人員は限られています。さらに、セキュリティ担当者は「万が一事故が起きたら責任を問われる」という心理的プレッシャーを受けやすく、結果として“安全側に倒しすぎる判断”をしてしまうことも少なくありません。その結果、本来は様子見でよい脆弱性に工数を割き、本当に危険なものへの対応が後回しになるケースもみられます。

脆弱性対応でよくある判断ミス

実務の現場では、次のような判断ミスがよく見られます。

CVEが公開された＝すぐ全環境に適用する
CVSSスコアが高い＝最優先と決めつける
影響範囲を確認せずにパッチを適用して障害を起こす
「忙しいから後で対応」が常態化する

これらは一見、真面目な対応にみえますが、実際にはリスク低減につながっていないケースも少なくありません。大切なのは、ルールどおり動くことではなく、自社にとって本当に危険なものは何かを見極めることです。

脆弱性対応で実際に起きがちな判断ミスの例

実際の現場では、次のような判断ミスがよく見られます。例えば、「CVSSスコアが高い」という理由だけで、業務時間中に十分な検証を行わずパッチを適用し、結果として業務システムが停止してしまうケースです。この場合、セキュリティ事故は防げたとしても、別の重大な業務影響を引き起こしてしまいます。一方で、「内部システムだから安全」と判断し、外部から到達可能な経路を見落としたまま脆弱性を放置し、後から攻撃を受けるケースもあります。これらに共通するのは、脆弱性そのものではなく「判断プロセス」に問題がある点です。

脆弱性対応の優先順位を決める基本的な考え方

技術的深刻度だけでは判断できない

脆弱性情報をみると、まず目に入るのがCVSS(Common Vulnerability Scoring System)ベーススコアです。しかし、CVSSはあくまで技術的な深刻度を数値化した指標であり、そのまま自社のリスクを表すものではありません。同じCVSSスコアでも、「インターネットから誰でもアクセスできるシステム」や「内部ネットワークでしか使われていないシステム」では、実際のリスクは大きく異なります。CVSSは判断材料の一つであり、絶対的な基準ではない、という前提を押さえることが重要です。

優先順位は「攻撃されやすさ × 影響度」で考える

優先順位を決める際は、次の2点を掛け合わせて考えることが重要です。

攻撃されやすさ

外部公開されているか
認証が必要か
実際に攻撃コード（Poc（Proof of Concept）：概念実証）が出回っているか

影響度

業務停止の影響はどれくらいか
顧客や取引先への影響はあるか
情報漏洩につながる可能性はあるか

この視点を持つことで、実際に危険な脆弱性がみえてきます。

企業が確認すべき4つの判断基準（チェックリスト）

実務では、次の4点をチェックリストとして活用すると対応の優先順位はかなり整理されるでしょう。

インターネットから到達可能か
外部公開されている場合、攻撃リスクは一気に高まります
実際に利用されている機能か
使われていない機能の脆弱性は、リスクが低い場合があります
既に攻撃事例・PoCが存在するか
実証コードや攻撃事例が出ているものは、優先度が高まります
代替策（回避策・設定変更）があるか
一時的に無効化・制限できる場合、緊急度を下げられることがあります

これらを整理することで、「今すぐ対応すべきか」「計画的に対応すべきか」を判断できます。

CVSSスコアはどう使うべきか

CVSSスコアは脆弱性対応の参考になりますが、スコアだけで優先順位を決めるべきではありません。ベーススコアは共通指標であり、個々の環境を考慮していないためです。重要なのは、自社環境に合わせてリスクを評価することです。CVSSは「判断材料の一つ」として使い、実際の利用状況と組み合わせて評価する必要があります。

CVSSを具体的にどのように読み取り、優先順位判断に活かすべきかについては、以下の記事で詳しく解説しています。
「CVSSスコアの正しい使い方―脆弱性対応の判断にどう活かすべきか」

緊急対応が必要なケース／様子見でよいケース

緊急パッチ対応が必要なケース

外部公開されており、認証なしで悪用可能
すでに攻撃が観測されている
ンサムウェアなど深刻な被害につながる可能性が高い

様子見が許容されるケース

内部システム限定で利用されている
使用されていない機能に関する脆弱性
一時的な回避策でリスクを抑えられる

特に悩みやすいのが、緊急パッチをどこまで適用すべきか、という点です。業務影響とのバランスをどう考えるかについては、以下の記事で詳しく整理しています。
「緊急パッチはどこまで適用すべきか―業務影響を抑える判断基準」

脆弱性対応の判断を属人化させないために

脆弱性対応の判断は、特定の担当者の経験や勘に依存しがちです。しかしこの状態が続くと、担当者の不在時に判断が止まったり、対応方針がぶれたりする原因になります。判断を属人化させないためには、今回紹介したような判断基準を文書化し、関係者間で共有することが重要です。また、定期的に判断結果を振り返り、なぜこの対応を選んだのかを言語化することも判断精度の向上につながります。セキュリティはツールだけでなく、判断プロセスそのものを整備することが重要です。

脆弱性対応を継続的に回すための運用ポイント

脆弱性対応は一度きりではなく、継続的な運用が重要です。情報収集、資産管理、定期的な棚卸しを仕組み化し、属人化を防ぐことで、判断の精度とスピードが向上します。

自社判断が難しい場合の考え方

次のようなケースでは、判断が難しくなりがちです。

システム構成が複雑
業務影響の見積もりができない
攻撃リスクと業務影響のバランスに迷う

このような場合、第三者の視点で整理することが有効です。定期的なセキュリティ診断の実施や評価を受けることは、自社のリスクをすべて解消するため、ではなく、判断材料を増やすためのものと考えるとよいでしょう。

まとめ―脆弱性対応で迷ったときの判断フロー

脆弱性対応では、すべてを今すぐ直す必要はありません。重要なのは、「どれが自社にとって本当に危険か」を見極めることです。

技術情報だけで判断しない
攻撃されやすさと影響度を確認する
判断に迷ったらチェックリストに立ち返る

この考え方を持つことで、脆弱性対応はより現実的で効果的なものになります。

「CVSSスコアの正しい使い方―脆弱性対応の判断にどう活かすべきか」へ続く

【関連記事】

「脆弱性診断は受けたけれど～脆弱性管理入門」CVSSとSSVC
「脆弱性評価の新しい指標、LEV」

サイバーインシデント緊急対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2026年1月8日2026年1月26日

サイバー攻撃被害コストの真実―ランサムウェア被害は平均2億円？サイバー攻撃のリスク評価で“事業停止損害”を可視化

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバー攻撃による被害は、もはや一部の大企業だけの問題ではありません。ランサムウェア被害を中心に、日本企業が被るサイバー攻撃の被害コストは平均で2億円規模に達しています。復旧費用や身代金だけでなく、業務停止による機会損失、信用低下、取引停止など、被害は連鎖的に拡大します。本記事では、最新データと事例をもとに、企業経営に直結するサイバー攻撃の被害コストの実態を整理し、なぜ今リスク評価が欠かせないのかを解説します。

サイバー攻撃は「ITトラブル」ではなく財務リスク

現在私たちを取り巻くビジネス環境において、「サイバー攻撃」という言葉の響きは劇的に変化しました。かつて、それはIT部門のサーバールームの中だけで処理される技術的なトラブルであり、ファイアウォールやウイルス対策ソフトを導入していれば済む「対岸の火事」でした。しかし、デジタルトランスフォーメーション（DX）が企業の隅々まで浸透した今、その認識は致命的な時代錯誤と言わざるを得ません。サイバー攻撃は、もはやシステムのエラーではなく、明日の決算書を赤字に転落させ、積み上げてきたブランドを一瞬で崩壊させる、極めて現実的な「財務リスク」へと変貌を遂げたのです。

多くの経営者が「セキュリティ対策はコストだ」と嘆きます。確かに、何も起きなければ利益を生まない投資に見えるかもしれません。しかし、ひとたびセキュリティインシデントが発生した際に企業が支払うことになるコストの総額は、事前対策費の数十倍、場合によっては数百倍に膨れ上がるのが現実です。本記事では、感情的な脅威論ではなく、最新の統計データと実際の事例に基づいた数字を用いて、企業が直面しているリスクの正体を解き明かしていきます。なぜ、セキュリティベンダーやコンサルタントが口を酸っぱくしてサイバー攻撃対策とリスク評価の重要性を説くのか。その答えは、これから提示する衝撃的な金額の中にあります。

ランサムウェア被害額の現実：平均2億2千万円

まず、私たちが直視しなければならないのは、具体的な金銭的被害の規模です。セキュリティベンダー大手のトレンドマイクロ社が2024年末に公表した調査データ*2によると、過去3年間において日本国内の組織が経験したサイバー攻撃による累積被害額は、平均で約1億7千万円に達しています。これだけでも中小企業の年間利益を吹き飛ばすには十分な金額ですが、さらに深刻なのは、データを暗号化し身代金を要求するランサムウェアによる被害に限定した場合です。この場合、被害総額の平均は約2億2千万円にまで跳ね上がります。

この2億円という数字を聞いて、多くの経営者は耳を疑うかもしれません。「たかがウイルスの除去に、なぜビルが建つほどの金がかかるのか」と。しかし、ここには大きな誤解があります。サイバー攻撃における被害とコストの構造は、氷山のようなものです。海面にみえている身代金の支払いやシステムの初期復旧費用は、全体の一部に過ぎません。水面下には、より巨大で複雑なコストが潜んでいます。

例えば、攻撃の侵入経路や被害範囲を特定するためのデジタルフォレンジック調査費用です。高度な専門知識を持つスペシャリストを数週間拘束するこの調査だけで、多額の請求書が届くことはめずらしくありません。さらに、個人情報が漏洩した場合の対応コストも莫大です。顧客への詫び状の発送、専用コールセンターの設置、見舞金の支払い、そして法的責任を問われた際の弁護士費用や損害賠償金―これらが積み重なった結果が、2億円という冷酷な数字なのです。

2億円という金額は、多くの中堅・中小企業にとって、単なる特別損失として処理できる範囲を遥かに超えており、場合によっては事業継続そのものを断念せざるを得ない致命傷となり得ます。「うちは盗まれて困るような重要データはないから大丈夫だ」と語る経営者にも、警鐘を鳴らさなければなりません。近年の攻撃者が狙っているのは、情報の機密性（データの価値）だけではありません。彼らのビジネスモデルは、業務の可用性（システムが動いていること）を人質に取ることにシフトしています。あなたの会社のデータに市場価値がなくても、そのデータが使えなくなることで業務が止まり、あなたが困るなら、そこには「身代金を払う動機」が生まれます。つまり、事業活動を行っているすべての組織が、例外なく標的とされているのです。

こうした被害は、運任せで発生するものではありません。多くの場合、事前のリスク評価によって発生確率や影響度を見積もり、優先的に対策すべきポイントを絞り込むことが可能です。
「サイバー攻撃リスク評価の進め方：見えない脅威を可視化するプロセスと実践」

最大の盲点は業務停止損害（機会損失）

被害コストを算出する際、我々はつい、財布から出ていく現金（キャッシュアウト）だけに目を奪われがちです。しかし、真に恐ろしいのは機会損失という形で見えないコストが積み上がっていく業務停止損害です。

前述したトレンドマイクロ社による2024年の調査データによれば、ランサムウェア攻撃を受けた際の平均的な業務停止期間は、約10.2日にも及ぶことが明らかになっています。10日間、会社の機能が完全に停止する状況を具体的に想像してみましょう。まず、受発注システムが画面にロック画面を表示したまま動かなくなります。倉庫の在庫データにはアクセスできず、どの商品をどこへ出荷すべきかわからなくなります。メールサーバーもダウンし、取引先との連絡手段は個人の携帯電話だけになります。製造ラインの制御システムが感染していれば、工場の稼働音は止まり、静寂が支配することになるでしょう。この10日間の空白が生み出すサイバー攻撃の被害とコストは計り知れません。本来得られるはずだった売上高が消滅するだけではありません。納期遅延によって取引先からの信頼を失い、契約解除や損害賠償請求を受けるリスクも発生します。

さらに、腐敗しやすい商品を扱う食品業界や、ジャストインタイムで部品を供給する製造業界においては、たった数日の停止がサプライチェーン全体を麻痺させ、億単位のペナルティに発展することさえあります。実際に、九州地方の地域密着型スーパーマーケットチェーンでは、システム障害により全店舗が数日間にわたって臨時休業に追い込まれる事態が発生しました。新鮮な食材を求める地域住民の期待を裏切り、廃棄処分となる商品の山を築いてしまったこの事例は、サイバー攻撃が単なるデジタル空間の出来事ではなく、物理的な生活インフラを破壊する脅威であることを如実に物語っています。

また、復旧後も影響は長く尾を引きます。「あの会社はセキュリティが甘い」という評判は、SNS時代においては瞬く間に拡散し、デジタルタトゥーとして残り続けます。新規顧客の獲得コストは高騰し、既存顧客の離脱を食い止めるためのマーケティング費用も嵩みます。上場企業であれば、インシデント公表直後の株価下落による時価総額の毀損も、広義の被害コストに含まれるでしょう。このように、業務停止が引き起こす連鎖的な損害は、表面的な復旧費用の数倍、時には数十倍に膨れ上がるのです。

「中小企業は関係ない」という神話の崩壊とサプライチェーンリスク

「サイバー攻撃は大企業が狙われるもので、我々のような中小企業は関係ない。」―2025年において、この認識は完全に誤った神話であり、極めて危険なバイアスであると断言できます。警察庁が公表する「サイバー空間をめぐる脅威の情勢等」によれば、ランサムウェア被害の報告件数のうち、実に約6割が中小企業で占められているのが実情です。なぜ、資金力のある大企業ではなく、中小企業が狙われるのでしょうか。そこには、攻撃者側の明確な戦略的合理性が存在します。

第一の理由は、サプライチェーン攻撃の踏み台としての利用です。セキュリティ予算が潤沢で、強固な防御壁を築いている大企業を正面から突破するのは、攻撃者にとっても骨の折れる作業です。そこで彼らは、大企業の取引先でありながら、セキュリティ対策が比較的脆弱な中小企業に狙いを定めます。まず中小企業のネットワークに侵入し、そこから正規の取引メールを装ってマルウェアを送りつけたり、VPN（仮想専用線）接続を通じて大企業の本丸へ横移動したりするのです。もしあなたの会社が踏み台にされ、取引先の大企業に被害を与えてしまった場合、その損害賠償請求額は自社の存続を揺るがす規模になるでしょう。そして何より、長年築き上げてきたビジネスパートナーとしての信用は地に落ち、取引停止という最悪の結末を招きかねません。

第二の理由は、攻撃の自動化と無差別化です。攻撃者はAIを駆使したツールを用いて、インターネット上の脆弱なサーバーを24時間365日、休むことなくスキャンし続けています。そこに大企業か中小企業か、という選別はありません。カギの開いているドアがあれば、誰の家であろうと入ってくる空き巣と同じです。セキュリティパッチ（修正プログラム）の適用が遅れているVPN機器や、パスワード設定が甘いリモートデスクトップ機能などは、格好の餌食となります。

“数打ちゃ当たる”戦法で無差別にばら撒かれたウイルスに感染し、暗号化されたデータを人質に取られてしまう。―中小企業における平均被害額も数千万円規模に達することがありますが、資金的体力の乏しい企業にとって、このサイバー攻撃の被害とコストのインパクトは大企業以上に甚大です。さらに、中小企業では「ひとり情シス」や「兼任担当者」が一般的で、セキュリティの専門家が不在であるケースが大半です。日々の業務に追われ、サイバー攻撃リスク評価を行う余裕もないまま放置されたシステムは、攻撃者にとって宝の山に見えていることでしょう。攻撃者は、あなたが「自分は狙われない」と思っているその隙を、虎視眈々と狙っているのです。

数値化しづらい“人的コスト”が復旧を遅らせる

金銭的なコストや信用の失墜に加え、もう一つ忘れてはならないのが、現場で対応にあたる従業員の疲弊という「人的コスト」です。インシデントが発生した瞬間から、IT担当者や経営幹部は不眠不休の対応を強いられます。原因究明、システム復旧、関係各所への連絡、殺到する問い合わせ対応。極度のプレッシャーの中で行われる意思決定の連続は、担当者のメンタルヘルスを確実に蝕んでいきます。

さらに、事態が収束した後も現場には深い爪痕が残ります。「自分のせいで会社に損害を与えてしまった」という自責の念から、優秀なエンジニアが退職してしまうケースも後を絶ちません。また、再発防止策として導入される厳格すぎるセキュリティルールが、日々の業務効率を低下させ、従業員のモチベーションを下げる要因となることもあります。このように、サイバー攻撃は組織の「人」という資産をも毀損し、長期的な成長力を奪っていくのです。これもまた、決算書には表れない重大なサイバー攻撃の被害とコストの一部と言えるでしょう。

サイバー攻撃リスク評価で何を可視化するのか

ここまで述べてきたように、サイバー攻撃による被害は、もはや運が悪かったで済ませられる事故ではなく、現代のビジネスを行う上で避けては通れない発生しうる経営コストとして、あらかじめ計算に含めておくべき確定的なリスクです。平均2億2千万円という衝撃的な被害額は、適切なセキュリティ投資を怠った場合に市場から請求される高すぎる授業料と言い換えることもできるでしょう。

では、この破滅的なコストを回避し、持続可能な経営を行うためにはどうすればよいのでしょうか。その唯一の解は、漠然とした不安を具体的なアクションに変えることにあります。すなわち、自社のどこに弱点があり、どのような脅威に晒されているのかを客観的に可視化するリスク評価の実施です。「敵を知り、己を知る」。孫子の兵法にも通じるこのアプローチこそが、限られた予算で最大の防御効果を生み出すための出発点となります。

サイバー攻撃による被害コストは決して偶発的なものではなく、事前に把握・管理できるリスクでもあります。では、こうした被害を未然に防ぐために、企業はどこから手を付けるべきなのでしょうか。次の記事では、サイバー攻撃リスク評価の考え方と具体的な進め方について、実務視点で詳しく解説します。
「サイバー攻撃リスク評価の進め方：見えない脅威を可視化するプロセスと実践」

【参考情報】

Hornetsecurity,プレスリリース（2025.11.20）「マルウェア攻撃が前年比131％増加 Hornetsecurityの2025年版年次調査で明らかに」（https://www.hornetsecurity.com/ja/blog/cybersecurity-report-2026-press-release/）

サイバーインシデント緊急対応

限定キャンペーン実施中！

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年12月22日2025年12月22日

DoS攻撃のリスクと対策：アクセス急増の原因と見分け方、サービス停止を防ぐ初動対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

Webサイトやオンラインサービスでアクセスが急増した場合、その原因が通常の利用増加なのか、DoS攻撃などによる異常な負荷なのかを早期に見極めることが重要です。判断を誤ると、サービス停止や業務影響につながるおそれがあります。

本記事では、アクセス急増時に確認すべきポイントを整理し、DoS攻撃による停止リスクが高まる状況の見分け方や、企業が優先して実施すべきDoS攻撃対策の考え方を解説します。用語解説にとどまらず、脆弱性管理や初動対応など実務で役立つ判断軸を中心にまとめています。

アクセス急増が起きたときに最初に考えるべきこと

アクセス数や通信量が増えること自体は、必ずしも問題ではありません。キャンペーンやメディア露出など、正当な理由でトラフィックが増加するケースも多くあります。

一方で、原因を確認しないまま放置すると、サーバやネットワークに過剰な負荷がかかり、応答遅延やエラーの多発、最悪の場合はサービス停止に発展します。重要なのは「増えている」という事実そのものではなく、なぜ増えているのかを切り分けることです。

最初の15分で確認すべき初動対応のポイント

アクセス急増を検知した直後は、次の観点を優先的に確認します。

いつから増え始め、どの程度の時間継続しているか
影響が出ているのはどこか（ネットワーク、ロードバランサ、アプリケーション、DBなど）
帯域・リクエスト数・エラー率のどれが増えているか
直近で行ったリリースや設定変更の有無

この初動判断が、DoS攻撃か通常のアクセス増加かを見極める第一歩になります。

サービス停止につながる代表的な原因

アクセス急増や負荷増大の原因には、いくつかのパターンがあります。

一時的な正規アクセス集中

特定の時間帯やイベントをきっかけに利用が集中するケースです。多くの場合、時間の経過とともに自然に収束します。

設定不備・設計上の問題

アクセス制限やリソース管理が適切でないと、通常利用でも過剰な負荷がかかり、サービス停止を招くことがあります。

悪意ある大量リクエスト（DoS攻撃・DDoS攻撃）

意図的に大量の通信や処理を発生させ、サービスを利用不能にするケースです。一般にDoS攻撃やDDoS攻撃と呼ばれるものは、この原因の一つとして位置づけられます。

重要なのは、最初から攻撃と決めつけず、原因を整理して順序立てて切り分けることです。

DoS攻撃とは何か・DDos攻撃との違い

「DoS（Denial of Service）攻撃」とは、サーバやネットワークに過剰な負荷をかけることで、サービスを正常に利用できなくする攻撃手法です。単一の攻撃元から行われる場合もあれば、複数の端末を利用して分散的に行われるケースもあります。複数の分散した（Distributed）拠点から同時に行われるものは、「DDoS（Distributed Denial of Service）攻撃」と呼ばれます。

DDos攻撃について、SQAT.jpでは以下の記事でも解説しています。こちらもあわせてぜひご覧ください。
「記録破りのDDoS攻撃！サイバー脅威の拡大と企業が取るべき対策とは？」
「【徹底解説】日本航空のDDoS攻撃被害の実態と復旧プロセス」

企業のWebサービスは外部公開されている性質上、DoS攻撃の影響を受けやすく、特に処理能力に余裕がない構成や設定不備がある環境では、比較的少ない負荷でもサービス停止に至ることがあります。DoS攻撃は「特別な脅威」ではなく、サービス停止リスクの一因として日常的に考慮すべきものです。

DoS攻撃 / DDoS攻撃の特徴

攻撃難易度の低さ

DoS攻撃/DDoS攻撃の特徴のひとつが攻撃の難易度の低さです。

多くの場合、コンピュータプログラムを書いてマルウェアを開発するような技術力は不要で、APTのような組織・資金・技術力もいりません。

インターネット上には、多数のDoS攻撃ツールが存在します。また、ストレステスト等の正規ツールを悪用してDoS攻撃を行う場合もあります。そればかりか、クレジットカードさえあればすぐに利用できる「DDoS攻撃を請け負う違法サービス」すら存在しています。

DoS攻撃/DDoS攻撃によるサービス停止は機会損失を生み、ブランド毀損は通常のサイバー攻撃より大きい場合もあります。また、直接攻撃対象とならなくても、攻撃の踏み台にされることで間接的な加害者となる危険性もあります。

社会・政治的動機

DoS攻撃、特にDDoS攻撃の特徴を示すキーワードが「社会・政治」です。

2010年、米大手決済サービスが、国際的な内部告発サイトが運営のために支援者から寄付を集める際に利用していた口座を、規約にしたがって凍結したことに対し、ハッカー集団がDDoS攻撃を実施、米大手決済サービスのサービスが一部停止する事態に陥りました。

このように、実施のハードルが低いDoS攻撃/DDoS攻撃は、人々が自身のさまざまな意思を表明するために、あたかもデモ行進のように実施されることがあります。かつては、DDoS攻撃をデモ活動同様の市民の権利として認めるべきであるという議論がまじめに行われていたこともありました。しかし、実際には「気に食わない」だけでもDDoS攻撃は行われ得るのです。社会課題の解決、ナショナリズム、倫理などを標榜していたとしても、端から見るとヘイトや嫌がらせと変わらないことがあります。

このような背景があるため、単に技術的な負荷として片付けられない場合もある点に留意が必要です。

ブランド毀損など、DoS攻撃/DDoS攻撃を受けた場合の被害が大きい

政治的、社会的、あるいは倫理的文脈から批判が集中した企業やサービスなどに対して、一度DoS攻撃/DDoS攻撃がはじまると、その趣旨に共感した人々が次々と参加し、ときに雪だるま式に拡大することがあるのもこの攻撃の特徴です。

また、DoS攻撃/DDoS攻撃は、攻撃が起こっていることが外部からもわかるという点で、外部に公表するまでは事故の発生がわからない情報漏えいのようなタイプのサイバー攻撃とは異なります。「広く一般に知られる」ことが容易に起こりうるため、ブランドへの負のインパクトが発生する可能性も大きいといえます。

DoS攻撃/DDoS攻撃の発生に気づくのが難しい

そもそもWebサービスは、その性質上外部に公開されるものです。そのためDoS攻撃やDDoS攻撃を完全に防ぐことは容易ではありません。特に多数の機器を踏み台として巻き込むDDoS攻撃の標的となった場合には、気づく間もなくあっという間にサービス拒否状態に陥る可能性が高いでしょう。

DoS攻撃による企業への影響とリスク

DoS攻撃による影響は、単なる一時的な停止にとどまりません。

Webサイトやサービスが利用できなくなることによる機会損失
業務システム停止による業務遅延
顧客満足度の低下や信用・ブランドへの影響

特にBtoBサービスの場合、短時間の停止であっても取引先への影響が大きく、事後対応に多くの工数を要するケースがあります。

関連記事：「DoS攻撃/DDoS攻撃の脅威と対策」

DoS攻撃かどうかを見分けるための確認ポイント

アクセス急増時には、いくつかの観点から状況を確認することで、異常かどうかを判断しやすくなります。

タイミングと継続時間

増加のタイミングと継続時間です。特定の時間帯だけ集中しているのか、長時間にわたって負荷が続いているのかによって、想定される原因は異なります。

アクセス元・リクエスト内容

同じ操作やURLへのリクエストが繰り返されていないか、特定のIP帯や地域に偏っていないかを見ることで、通常利用との違いが見えてきます。

ログ・監視データから見る攻撃兆候

エラー発生状況やレスポンス時間の変化を確認することで、単なるアクセス増加なのか、処理を圧迫する挙動なのかを把握できます。

これらを総合的に確認することで、「様子見でよいケース」か「早急な対応が必要なケース」かを判断できます。

企業が優先して実施すべきDoS攻撃対策

DoS攻撃対策は、すべてを一度に実施する必要はありません。優先順位を付けて、自社環境に合った対策を選択することが重要です。

DoS攻撃/DDoS攻撃にも有効な3つの基本的対策

DoS攻撃、特にDDoS攻撃の対策としては、CDN（Content Delivery Networks）の利用、DDoS攻撃対策専用アプライアンス、WAF（Webアプリケーションファイアウォール）などが威力を発揮します。

そして、これらの対策を適用する際には、同時に、セキュリティ対策の基本ともいえる以下の3点に対応できているかどうかも確認しましょう。

1．必要のないサービス・プロセス・ポートは停止する
2．DoS攻撃/DDoS攻撃の端緒になりうる各種の不備を見つけて直す
3．脆弱性対策が施されたパッチを適用する

いずれもセキュリティ対策の「基本中の基本」といえるものばかりですが、防御可能なタイプのDoS攻撃を回避し、システムがDDoS攻撃の踏み台にされることを防ぐためにきわめて有効です。

DoS攻撃対策でよくある誤解と見落とし

DoS攻撃対策というと、高価な専用製品を導入しなければ防げないと考えられがちですが、それだけで十分とは限りません。「対策しているつもり」になっている状態や、運用面の確認が不十分なケースも多く見られます。日常的な設定確認や運用の見直しが、結果としてリスク低減につながります。

自社だけでの対応が難しい場合の考え方

アクセス急増の原因が複雑で判断が難しい場合や、継続的な運用に不安がある場合は、第三者の視点を取り入れることも有効です。定期的なセキュリティ診断や評価を通じて、自社では気づきにくいリスクを把握することができます。

脆弱性や設定不備を狙ったDoS攻撃は防ぐことができる

DoS攻撃/DDoS攻撃は攻撃の発生に気づくのが難しいという話を前段で述べましたが、一方で、防ぐことができるタイプの攻撃も存在します。

一部のWebサイトでは、「長大な文字列を受け入れてしまう」「ファイルの容量を制限しない」など、DoS攻撃につけ込まれてしまう問題が存在することがあります。また、ネットワーク関連の設定の不備によってDoS攻撃を受ける可能性も存在します。しかし、こうした脆弱性は、修正による回避が可能です。

また、あなたの企業が直接DoS攻撃の攻撃対象とならなくても、上述のような脆弱性を放置しておくとDDoS攻撃の踏み台にされることもあります。その対策としては、各種機器・OS・ソフトウェアの脆弱性管理を適切に行うことや、脆弱性診断等のセキュリティ診断を定期的に実施して未知のリスクを把握し、対処することが重要です。

診断会社あるある「すわ、DoS攻撃？」

ここで余談ではありますが、診断実施に伴う「あるある」エピソードを。

セキュリティ診断を行う際には、必ず、実施の年月日や時間帯を関連する部署に周知しなくてはなりません。

実は、診断実施に伴って事業部門等が「DoS攻撃が発生した！」と勘違いすることが、しばしばあるのです。もちろん、一般にインターネット上に公開しているシステムの場合には業務に差し支えるような検査の仕方をしないというのが大前提ですが、それでも、大量の問合せ等が発生すると何も知らされていない担当部署はサイバー攻撃と勘違いすることがあります。ついでにこの際に抜き打ちで社内のサイバー訓練を・・・と目論みたい気持ちが出たとしても、それを実行に移すのは大変危険です。訓練は訓練させる側にきちんとした検証シナリオがあってこそ効果を発揮します。まずは関係各所との連携を徹底するところから始めましょう。

まとめ

DoS攻撃は、特別なケースではなく、サービス停止リスクの一因として日常的に考慮すべきものです。

アクセス急増時はまず原因を切り分ける
DoS攻撃の影響と兆候を理解する
見分け方を把握し、初動対応を誤らない
優先順位を付けて対策・運用を進める
必要のないサービス・プロセス・ポートの停止、などの基本的対策が有効
脆弱性を突いて行われるDoS攻撃は、脆弱性診断などで発見し対策できる

これまで述べたように、DoS攻撃/DDoS攻撃は、機会損失やブランド毀損など事業継続性を損なうダメージをもたらし得るサイバー攻撃です。DDoS攻撃の踏み台となれば社会的責任が問われることもあるでしょう。経営課題のひとつとして認識し、対処することが大切です。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年12月11日2025年12月11日

【2025年版】ランサムウェアギャング大図鑑：脅威マップと攻撃の特徴第3回：今後のトレンドと企業が取るべき対策

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ランサムウェアギャング大図鑑：第3回今後のトレンドと企業が取るべき対策アイキャッチ画像

急速に変化を続けるランサムウェアの脅威についてシリーズ第3回では、2025年以降に予測される攻撃トレンドと、防御の要となる企業の対策ポイントを解説します。AIを活用した攻撃の自動化、地域・業種特化型の攻撃、そして“多重恐喝”の常態化など、脅威はさらに高度化しています。被害を防ぐために企業がとるべき対策や実践的な技術的対策から組織的な備えまで、最新の防御戦略をわかりやすく紹介します。

はじめに：2025年のランサムウェア攻撃と企業への脅威

これまでの2回にわたり、ランサムウェアの進化と市場の変動、そして主要なランサムウェアギャングの勢力図の変化を見てきました。第1回では、ランサムウェア攻撃がどのように進化してきたかを、技術的な進歩や新たな攻撃手法を中心に解説しました。第2回では、ランサムウェアギャングの台頭とその戦略の変化に焦点を当て、特に「RaaS（Ransomware-as-a-Service）」の普及による攻撃の多様化を説明しました。

そして「ランサムウェアギャング大図鑑」シリーズ最終回の第3回では、これらの現状を踏まえて予測される2025年以降のランサムウェア攻撃のトレンドと、企業が今後取るべき対策をご紹介します。攻撃者の進化と企業の防御策がかみ合わないと、被害は拡大する一方です。したがって、最新の脅威動向をしっかりと把握し、適切な対策を講じることが不可欠です。

今後のランサムウェア攻撃のトレンド

ランサムウェア攻撃は年々進化を続けており、攻撃者の手法はますます高度化しています。以下のトレンドが、2025年以降のランサムウェア攻撃を特徴づけると予測されます。

AIおよび機械学習を悪用した攻撃の高度化

ランサムウェア攻撃者は、攻撃をより手軽に仕掛けるため、AIや機械学習を活用し始めています。今後、生成AIの技術は、以下のような形で攻撃に悪用されると予測されています。

攻撃のターゲティング精度の向上

AIを活用することで、攻撃者はターゲットをより詳細に分析し、最も脆弱な部分を狙った攻撃が可能になります。過去の攻撃パターンやデータを学習させることで、企業にとって最も致命的な脆弱性を見つけ出すことができます。

攻撃プロセスの自動化

攻撃の自動化により、従来よりも高頻度かつ広範囲にわたる攻撃が実施される可能性が高まります。AIを利用することで、攻撃者は迅速に脆弱性を見つけ出し、効率よく攻撃を仕掛けることができるようになります。

フィッシング攻撃の進化

AIを駆使して、よりリアルで説得力のあるフィッシングメールが生成され、従業員が引っかかりやすくなります。

サプライチェーン攻撃の増加

サプライチェーン攻撃は2025年以降、さらに拡大することが予測されています。攻撃者は、特に信頼性の高い企業の取引先やパートナーを標的にし、その脆弱性を悪用して間接的に大手企業のネットワークへアクセスする手法を取ります。サプライチェーンでは多くの企業がネットワークを共有しているため、一度攻撃者の侵入を許してしまうと、その後広範囲に影響が及びます。

ランサムウェア(RaaS)モデルの深刻化

今後、RaaSのサービスプロバイダがさらに多様化し、攻撃者が手軽にランサムウェアを利用できる環境が整っていくでしょう。これにより、より多くの犯罪者がランサムウェア攻撃に参入し、その結果として攻撃が広範囲に及ぶことが予測されます。

ゼロデイ攻撃の増加

ゼロデイ攻撃は、未公開の脆弱性を突いた攻撃です。攻撃者は、パッチが公開される前に脆弱性を悪用し、感染拡大を狙います。これからのランサムウェア攻撃において引き続き重要な手段として使用されるでしょう。

ゼロデイ攻撃についてSQAT.jpでは以下の関連記事を公開中です。こちらもあわせてぜひご覧ください。
「世界で多発するゼロデイ攻撃とは？Apple・Google・Ciscoを襲った脆弱性の実態と対策」
https://www.sqat.jp/tamatebako/39750/

企業がとるべきセキュリティ対策

今後、ランサムウェア攻撃はさらに巧妙化し、企業に対する脅威が増大すると予測されます。企業は以下のような対策を講じることにより、リスクを最小限に抑えることができるでしょう。

多層防御策の強化

ランサムウェア攻撃を防ぐためには、単一の防御策では不十分です。多層防御を導入し、複数のセキュリティ対策を重ねることで攻撃のリスクを大幅に低減できます。具体的には以下のセキュリティ対策例が挙げられます。

エンドポイントセキュリティ（EDR）の強化

EDR（Endpoint Detection and Response）を導入し、攻撃を早期に発見できる体制を整えます。これにより、サイバー攻撃の初期兆候をいち早く検出することが重要です。

ゼロトラストモデルの導入

ゼロトラスト（Zero Trust）アーキテクチャの導入により、企業はすべてのアクセスの信頼性を常に検証し、最小限のアクセス権を付与することが求められます。

サプライチェーンリスク管理

企業は自組織のサプライチェーンの脆弱性をしっかりと把握し、取引先やパートナー企業に対するセキュリティ評価を強化する必要があります。

バックアップと復旧体制の整備

ランサムウェア攻撃を受けた場合、迅速な復旧ができる体制を整えておくことが重要です。具体的には以下のような例が挙げられます。

オフラインバックアップの実施
ランサムウェアはオンラインバックアップも暗号化する可能性があるため、オフラインでバックアップを保持することが必要です
復旧計画のテスト
定期的にバックアップと復旧手順をテストし、実際の攻撃時に速やかに復旧できるよう準備します

インシデント対応計画の策定

ランサムウェア攻撃を受けた場合、迅速な対応が求められます。企業はインシデント対応計画を策定し、発生時の対応マニュアルや手順を明確にした上で、組織内での訓練を定期的に行うことが重要です。インシデント対応チームの迅速な対応が企業の存続に直結します。

まとめ：2025年のランサムウェア脅威への最適な防御策

ランサムウェア攻撃はますます巧妙化し、企業にとってその脅威は深刻化しています。しかし、適切な対策を講じることで、企業はリスクを最小化することができます。進化する攻撃トレンドに対応するために、企業は多層防御、ゼロトラスト、サプライチェーンリスク管理、バックアップ体制の強化、インシデント対応の準備を万全に整えることが求められます。今後もランサムウェア攻撃は進化し続けるため、自組織の環境に応じた適切なセキュリティ対策を実施し、組織内のセキュリティ意識を高めていくことが求められるでしょう。

―連載一覧―

第1回：ランサムウェアの進化と2025年の市場構造
第2回：2025年注目のランサムウェアギャング徹底分析

限定キャンペーン実施中！

ウェビナー開催のお知らせ

2025年12月17日（水）13:00～14:00
【好評アンコール配信】
「インシデント対応入門：サイバー攻撃・情報漏洩への緊急対応手順解説」
2026年1月14日（水）13:00～14:00
【好評アンコール配信】
「今さら聞けない！ソースコード診断あれこれ」

最新情報はこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年12月17日（水）13:00～14:00
【好評アンコール配信】「インシデント対応入門：サイバー攻撃・情報漏洩への緊急対応手順解説」

2026年1月14日（水）13:00～14:00
【好評アンコール配信】「今さら聞けない！ソースコード診断あれこれ」

最新情報はこちら

2025年12月5日2025年12月11日

【2025年版】ランサムウェアギャング大図鑑：脅威マップと攻撃の特徴第2回：2025年注目のランサムウェアギャング徹底分析

Security NEWS TOPに戻る
バックナンバー TOPに戻る

世界では100を超えるランサムウェアギャングが活動しており、勢力図は日々変化しています。シリーズ第2回では、LockBitやQilin、Cl0p、Akiraなど、2025年現在も活発に活動している主要なランサムウェアギャングを中心に、その手口・特徴・攻撃傾向を徹底分析します。また、BlackCatやRansomHubなど衰退したグループの動向にも触れ、再編を繰り返すランサムウェア市場の「現在地」を整理し、企業が注視すべき最新の脅威を明らかにします。

2025年の勢力図 ― ランサムウェア市場の再編

2025年現在、ランサムウェアの勢力図は大きく塗り替えられています。かつて世界中で猛威を振るったContiやREvil、そしてRansomHubが姿を消した一方で、LockBit、BlackCat（ALPHV）、Play、Cactus、8Base、Medusa、Akiraなどが急速に台頭し、攻撃の主導権を握っています。特にLockBitは依然として最も活発なグループの一つであり、世界各国の企業・自治体・医療機関を標的に、短期間で多層的な攻撃を展開しています。

また、2024年以降は「RaaS（Ransomware-as-a-Service）」モデルの成熟が進み、開発者と実行者（アフィリエイト）が分業化されることで、攻撃のスピードと規模がかつてないほど拡大しました。いまや、技術力の低い犯罪者でも高度なランサムウェア攻撃を実行できる環境が整いつつあります。一方で、法執行機関による摘発や暗号資産取引の監視強化により、いくつかの有力組織は活動停止になりました。代表例がRansomHubであり、2024年に急速に勢力を拡大したものの、2025年4月にはオンラインインフラがダークウェブ上で停止し、現在は「再編中」または「後継グループへ移行中」とみられています。

現在も活発な主要なランサムウェアギャング（2025年時点）

2025年時点で活動が顕著な代表的グループを一覧で紹介します。

グループ名	主な特徴	最近の動向
Qilin（キリン）	製造業への攻撃を中心に活動、日本でも被害多数	2025年700件超の攻撃を確認。被害最多
LockBit（ロックビット）	三重恐喝モデルの先駆者、RaaS最大手	摘発から数か月後、再登場。その際、「LockBit 5.0」を提供
BlackSuit（ブラックスーツ）	BlackCatの後継とされる。カスタム暗号化ツール、情報漏洩の脅迫	2024年に本格的な活動を開始。以前のBlackCatの戦術を引き継ぎつつ、新たな攻撃手法を採用
Play（プレイ）	シンプルな脅迫文と独自の暗号化方式を使用。正規ツール悪用が特徴	教育・行政・製造業を標的に拡大。再現性の高い攻撃手法で模倣も多い
Cactus（カクタス）	VPN機器の脆弱性を悪用。暗号化前に自身をパスワードで保護	欧州企業を中心に感染が拡大中。RaaS化も進行
Medusa（メデューサ）	攻撃的な恐喝と高額な身代金要求	医療・教育機関を中心に攻撃継続。複数の新アフィリエイトを獲得
Akira（アキラ）	VPN経由での侵入とActive Directory攻撃に長ける	北米・アジア企業への侵入増加。身代金の要求額は比較的低め*2https://www.ic3.gov/CSA/2024/240418.pdf

LockBit・BlackSuitが象徴する「持続型」攻撃モデル

LockBitは2021年以降、継続的なバージョンアップを重ね、現在の「LockBit 5.0」では暗号化速度の向上や複数OS対応を実現しています。また、被害者データを公開する「リークサイト」の運用を巧妙化し、支払い圧力を高める戦略を維持しています。一方で、米司法省などの国際捜査により一時的に活動が停止する局面も見られましたが、数週間で再建されるなど、組織の分散性と復元力が注目されています。同様に、BlackSuitは、2023年に登場したBlackCat（ALPHV）の後継とされ、依然としてRust言語を使用したカスタマイズ暗号化を得意とするグループです。BlackSuitの特徴的な点は、以前のBlackCatが行っていた情報漏洩の脅迫に加えて、さらに新たな攻撃手法を採用している点です。特に、金融機関や医療機関をターゲットにした攻撃が増加しており、その手法の精緻化が進んでいます。2024年には本格的に活動を開始し、これまでのBlackCatの後を継いで攻撃を継続中です。業界を超えて、感染経路や攻撃対象を広げると同時に、その特異な手法で注目を集めています

両者に共通するのは、「迅速な再編」と「収益性の最大化」を重視する点であり、捜査・報復措置を受けても体制を再構築し、ブランドを維持する巧妙な経営的戦略をとっています。

新興勢力：Qilin、Play、Cactus、8Base、Medusaの特徴

Qilinは2025年に最も多くの攻撃を仕掛けたランサムウェアグループの一つで、製造業をターゲットにしたカスタマイズ攻撃が特徴です。2025年に入ってから、短期間で700件以上の攻撃を記録し、特に日本企業を多く標的にしています。特徴的なのは、被害者の業界や規模に合わせた細かな調整を行い、効率的に侵入する手法です。2025年9月には、アサヒグループホールディングスに対する攻撃が大きな注目を浴びました。Qilinは、LockBitやDragonForceと連携して攻撃を行うことがあり、今後のランサムウェア市場において、さらなる影響力を持つと予測されています。

その他に急速に台頭した新興勢力の一つがPlayです。Playは2022年に登場した比較的新しいグループながら、独自の暗号化方式とシンプルな脅迫メッセージで知られています。標的選定の傾向は特定の業界に偏らず、政府機関・教育機関・中堅企業まで幅広い範囲に及びます。また、侵入後の横展開において、既知の脆弱性よりも「正規ツールの悪用」を多用する点が特徴的です

さらに、Cactusと8Baseも注目すべき新興勢力です。CactusはVPNやCitrixなどの正規アクセス経路を悪用して侵入し、通信を暗号化する独自の戦術を採用することで検知を困難にしています。被害は欧州を中心に広がり、暗号化ツールをRaaSとして提供する動きも見られます。8Baseは中小企業を中心に攻撃を展開し、データ窃取を重視する「二重脅迫型」戦略を強化しています。LockBit系列の派生とされ、独自の強い脅迫文や被害者情報の大量公開で知られます。2024年中頃をピークに報告数は減少していますが、依然として活動を続けています。また、Medusaは、支払い期限をカウントダウン表示する公開サイトを運用するなど、恐怖心を煽る戦略を取るグループとしても知られています。教育・医療機関を標的とする傾向が強く、倫理的・社会的インパクトの大きさからも注目されています

勢力構造の変化が示す今後の方向性

これらの動向から、2025年以降のランサムウェア市場には次のような変化が予測されます。

短命化するグループと再編の加速

RansomHubのように短期間で急成長し、消滅するケースが増えています。これは法執行機関の摘発強化や、内部リークによる情報流出が影響しているとみられます。

RaaSの分散化と匿名化の進行

大規模組織の崩壊後、開発者が小規模な派生RaaSを乱立させる傾向が見られます。結果として、検知・追跡がより困難になると予測されます。

生成AIや自動化の活用

脅迫文や交渉メッセージの自動生成、被害者選定の最適化など、AI技術の導入が進みつつあります。今後は攻撃プロセス全体の自動化が一層進む可能性があります。

まとめ：常に変動する「勢力の地図」

ランサムウェアの世界では、勢力の興亡が常態化しています。LockBitのような巨大グループでさえ摘発の影響を免れず、次々と新たな派生組織が生まれています。企業としては、「どのグループが脅威か」を追うだけでなく、「どのような攻撃パターンが再利用されているか」を分析することが重要です。攻撃者の名前が変わっても、手口は進化しながら再利用されるため、継続的な脅威インテリジェンスの収集と脆弱性管理が不可欠です。

―第3回へ続く―

【参考情報】

サイバーインシデント緊急対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年12月10日（水）14:00～15:00
「【最短7営業日で報告書納品】短納期で実現するWeb脆弱性診断の新提案-SQAT^® with Swift Delivery紹介セミナー」

2025年12月17日（水）13:00～14:00
【好評アンコール配信】「インシデント対応入門：サイバー攻撃・情報漏洩への緊急対応手順解説」

2026年1月14日（水）13:00～14:00
【好評アンコール配信】「今さら聞けない！ソースコード診断あれこれ」

最新情報はこちら

2025年11月27日2025年11月27日

【2025年版】ランサムウェアギャング大図鑑：脅威マップと攻撃の特徴
第1回：ランサムウェアの進化と2025年の市場構造

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年、ランサムウェアは依然として世界中で深刻な脅威となっています。二重恐喝型から、データ漏洩やDDoSを組み合わせた多重恐喝型へと進化し、被害は企業規模を問わず拡大中です。本シリーズでは、最新のランサムウェア勢力図を全3回で徹底分析します。第1回では、RaaS（Ransomware as a Service）の登場によって急成長したランサムウェア市場の構造と、勢力図がどのように変化してきたのかを詳しく解説します。

ランサムウェア攻撃の現状と被害拡大

2025年、ランサムウェアは依然として世界で最も深刻なサイバー脅威の一つとして位置づけられています。近年は暗号化による業務停止だけでなく、窃取したデータを公開・販売する「二重恐喝」や、DDoS攻撃を加えた「多重恐喝」など、攻撃の多様化が進んでいます。BlackFogの分析によると、2025年初頭のランサムウェア攻撃件数は前年同月比で20〜35％増加しており、増加傾向が続いています*2。特に製造、医療、自治体など、社会インフラに関わる業種への攻撃が目立ちます。日本国内でも被害は増加傾向にあり、企業規模を問わず中堅・中小企業への侵入事例が相次いでいます。攻撃者は直接的な金銭目的だけでなく、他国のサプライチェーンを狙った地政学的背景を持つケースもあり、もはや”無関係な企業は存在しない”状況です。

RaaSモデルがもたらした犯罪の分業化

ランサムウェアがここまで拡大した最大の要因が、「RaaS」と呼ばれるサービス型犯罪モデルの普及です。RaaSは、開発者が作成したランサムウェアを他の攻撃者（アフィリエイト）に貸し出し、得た身代金を分配する仕組みです。技術力を持たない犯罪者でも容易に攻撃を実行できるようになったことで、ランサムウェア攻撃の“裾野”が急拡大しました。

「LockBit」、「Cl0p」、「BlackCat」といった代表的なランサムウェアギャングは、このRaaSモデルを最も普及させたグループです。各アフィリエイトは攻撃対象の選定や侵入手口を独自に開発し、成功報酬を得るビジネス形態を採用しています。まるで企業のような組織構造を持ち、専用のリークサイト運営、広報担当、カスタマーサポートまで存在します。攻撃が商業化・効率化されることで、ランサムウェアはもはや“闇市場の産業”といえる規模に達しています。

勢力図の変化：旧勢力の衰退と新興ギャングの台頭

2024年後半から2025年にかけて、ランサムウェアの勢力図は大きく変化しました。かつて世界を席巻した「Conti」や「Hive」、「Revil」、「BlackCat（ALPHV）」といった主要なランサムウェアギャングは、国際捜査機関の摘発や内部対立により次々と崩壊しました。しかし、その空白を埋めるように新たな勢力が台頭しています。特に注目されるのが、「Qilin（旧Agenda）」や「Lynx」、「Fog」などの新興グループです。これらは高度な暗号化技術と迅速な展開能力を持ち、企業や自治体を標的にデータ漏洩を伴う攻撃を展開しています。Qilinは日本国内の製造業や医療機関を狙う傾向が強く、すでに複数の被害が確認されています。また、LockBitも摘発を受けながらも「LockBit 5.0」として再始動するなど、ブランドの使い捨て・再構築が常態化しています。2025年のランサムウェア市場は、以前から存在するギャングの復活と新興勢力の台頭が交錯する“過渡期”にあると言えます。

ランサムウェア市場を支える犯罪エコシステム

現在のランサムウェア攻撃は、単独の攻撃者だけでは成り立ちません。その背景には「地下経済圏」とも呼ばれる広大な犯罪エコシステムが存在します。ここでは、侵入経路を提供するアクセスブローカー、情報窃取ツールの開発者、暗号通貨を用いたマネーロンダリング業者など、多様な役割が分業的に連携しています。たとえばアクセスブローカーは、企業ネットワークへの侵入権をオークション形式で販売し、ランサムウェアギャングがそれを購入して攻撃を開始します。また、盗み出したデータを販売する「データリークサイト」は、恐喝手段としても活用され、被害企業名を公開して支払いを促します。

さらに近年は、SNSやダークウェブ掲示板上での広報・採用活動も活発化しており、RaaS提供者が「報酬50％保証」「高成功率ツール」といった広告を出すなど、まるでスタートアップ市場のような競争が繰り広げられています。こうした分業と再利用の仕組みにより、ランサムウェア市場は摘発を受けてもすぐに再生する自己修復的な構造を持ち、世界的な脅威として根強く残り続けています。

まとめ：進化する脅威にどう向き合うか

ランサムウェアはもはや“単なるマルウェア”ではなく、「経済的インセンティブを軸に発展する犯罪ビジネスモデル」へと進化しました。RaaSによる分業体制と匿名性の高い暗号資産の普及が、攻撃の拡大を後押ししています。2025年の時点で確認されている主要なランサムウェアギャングの多くは、過去に摘発・崩壊を経験しながらも、ブランドを変えて再登場しており、摘発による根絶は困難です。今後はAIを利用した自動化攻撃、ゼロデイ脆弱性の悪用、地域特化型の標的選定など、さらに巧妙な戦術が主流になると予想されます。企業に求められるのは、「攻撃を防ぐ」だけでなく、「被害を最小化し、迅速に復旧できる体制」を整えることです。第2回では、2025年時点で活動が確認されている主要なランサムウェアギャングの特徴と手口を詳しく分析し、勢力ごとの違いと警戒すべき動向を解説します。

―第2回へ続く―

【参考情報】

サイバーインシデント緊急対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年12月3日（水）14:00～15:00
「【最新事例解説】Qilin攻撃に学ぶ！組織を守る“サイバーレジリエンス強化のポイント”喫緊のランサムウェア被害事例からひも解く ― 被害を最小化するための“備えと対応力”とは？」

2025年12月10日（水）14:00～15:00
「【最短7営業日で報告書納品】短納期で実現するWeb脆弱性診断の新提案-SQAT^® with Swift Delivery紹介セミナー」

最新情報はこちら

2025年11月27日2025年11月27日

サイバーレジリエンスとは何か―ランサムウェア時代の企業が取るべき対策と実践ガイド
第3回：企業のサイバーレジリエンス強化策の実践ガイド

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーレジリエンスとは何か―第3回：企業のサイバーレジリエンス強化策の実践ガイドアイキャッチ画像

攻撃されても事業を継続できる力「サイバーレジリエンス」を解説。シリーズ最終回では、企業が実務で取り組むべきサイバーレジリエンス強化策を整理。実践的な対策を通じて攻撃を受けても事業を継続できる体制づくりのポイントを解説します。

企業に求められるサイバーレジリエンスの実践とは

サイバー攻撃が高度化し、「Qilin」のようなランサムウェア集団による被害が日々報道され続ける現代において、「情報セキュリティ」と「サイバーレジリエンス」の強化は全ての企業が無視できない経営課題となっています。技術・人・組織の三位一体で高めるべき実践策について、国内外の情報を基に解説します。

情報資産の可視化とリスク評価の重要性

まずは、情報資産の洗い出しとリスク評価を徹底することが不可欠です。守るべき顧客情報・機密文書・基幹システムを特定し、サイバー攻撃や内部不正といった脅威、それに対する脆弱性を明確化しましょう。何が狙われやすいのかを組織全体で可視化し、優先順位を定めて防御層を構築することが「情報セキュリティ」の基本です。

多層防御とインシデント対応の統合的アプローチ

次に、多層防御の考え方を導入する必要があります。ゼロトラストモデルの推進を軸に、ネットワーク分離・EDR/XDRの活用・多要素認証（MFA）・適切なパッチ運用・権限管理の最小化・継続的なログ監視…など現代的な技術群は、それぞれ単独で機能するものではなく、総合的なセキュリティ対策のクッションとなります。QilinによるアサヒGHD攻撃のように、日常的なパッチ未適用や不十分なアクセス管理が被害の拡大要因となるため、運用面まで踏み込んだ点検・改善が求められています。

インシデント対応計画の策定

備えとして最も重要視したいのはインシデント対応計画の策定と日常的な訓練です。攻撃を受けた際に何を優先し、誰がどのように動くか、社内外への情報発信のタイミングや判断軸をあらかじめ決めておくことで、初動の混乱や判断遅延を最小限にできます。アサヒGHDの復旧例や国のBCPガイドラインでも、緊急時の透明な情報公開や顧客・関係先への真摯な対応が信頼維持の基盤として重視されています。

バックアップ戦略と復旧体制の確立

バックアップ戦略もサイバーレジリエンスにおいて必須の柱です。オフラインバックアップやイミュータブルバックアップは、ランサムウェアによる暗号化やデータ消去、さらにはバックアップ自体への攻撃を見越した対策となっています。バックアップのリストア手順まで普段から検証を重ね、実際の危機局面で「使えるバックアップ」を運用できる体制づくりが現場の情報セキュリティ課題として浮き彫りになっています。

サプライチェーン攻撃への備え

サプライチェーン攻撃にも注意が必要です。自社だけでなく、取引先や委託先ネットワーク経由で侵入・拡大するケースが増えているため、サイバーセキュリティ要件の明文化や、委託先を含めたインシデント報告ルール整備、サプライヤー監査などもレジリエンス強化の一角をなします。

従業員教育と組織文化の醸成

従業員のセキュリティ教育と、組織文化としての危機意識の醸成も長期的な強さにつながります。フィッシング訓練や定期的なアップデート研修、違反事例の共有など、形式だけでなく“自分ごと”として取り組める日常の習慣化が狙いです。経営層の率先垂範と現場への権限委譲を通じ「脅威に正直で、復元力のある組織こそが選ばれる時代」であることを社内外に示すことが、競争力確保にも直結します。

まとめ：サイバーレジリエンス強化は企業価値創出につながる

このような総合的なサイバーレジリエンス強化策の実践は、単なるコストではなく”持続的な企業価値創出”そのものであり、Qilin事件を始めとした最新インシデントが繰り返し教えている最重要原則です。企業規模や業種を問わず、一人ひとり・一社ごとに最適な情報セキュリティ対策とレジリエンス文化の醸成が社会的責任であること―これこそが、本連載を通じて読者の皆様にお伝えしたいメッセージとなります。

【連載一覧】
第1回：サイバーレジリエンスの重要性：攻撃を前提とした“事業を守る防御”とは
 第2回：Qilinサイバー攻撃に学ぶサイバーレジリエンス

【参考情報】

【関連ウェビナー開催情報】
弊社では12月3日（水）14:00より、「【最新事例解説】Qilin攻撃に学ぶ！組織を守る“サイバーレジリエンス強化のポイント”喫緊のランサムウェア被害事例からひも解く ― 被害を最小化するための“備えと対応力”とは？」と題したウェビナーを開催予定です。最新のランサムウェア被害事例をもとに、攻撃の実態と被害を最小化するための具体的な備えについて解説します。ぜひご参加ください。詳細・お申し込みはこちら。

サイバーインシデント緊急対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年11月26日（水）13:00～14:00
【好評アンコール配信】「クラウド設定ミスが招く情報漏洩リスク -今こそ取り組むべき「クラウドセキュリティ設定診断」の重要性-」

2025年12月10日（水）14:00～15:00
「【最短7営業日で報告書納品】短納期で実現するWeb脆弱性診断の新提案-SQAT^® with Swift Delivery紹介セミナー」

最新情報はこちら

2025年11月20日2025年11月20日

企業がランサムウェアに感染したら？被害事例から学ぶ初動対応と経営者が取るべき対策

Security NEWS TOPに戻る
バックナンバー TOPに戻る

近年、企業を狙ったサイバー攻撃は巧妙化・高度化し、なかでも「ランサムウェア」被害は深刻さを増しています。業務停止や顧客情報の漏えい、取引先・株主からの信頼低下など、企業経営を直撃するリスクが現実のものとなっています。もし企業がランサムウェアに感染したら、対応の遅れは損害の拡大を招きます。経営層こそ、リスクを正しく理解し、事前の備えと発生時の迅速な意思決定を行う必要があります。本記事では、企業向けにランサムウェアの最新動向と、感染した際に最優先で行うべき初動対応、そして再発防止策について解説します。

ランサムウェアとは

ランサムウェアは企業の重要データを暗号化し、復元と引き換えに身代金（Ransom）を支払うよう要求するマルウェアの一種です。

かつては個人を標的とするケースが中心でしたが、近年では高額な金銭を得られる企業が主な攻撃対象となっています。製造、医療、インフラ、小売、自治体など業界を問わず被害が発生しており、サプライチェーン全体に影響を与えるケースも増加しています。

身代金はビットコインなどの仮想通貨で要求されることがほとんどです。ただし、支払ってもデータ等が必ず元に戻るとは限りません。また、暗号化されたファイルのパスワードを解析して、自力で元に戻すことは、ほぼ不可能です。

なぜ企業が狙われるのか

企業が持つデータは攻撃者にとって高い価値を持ちます。特に以下の理由が挙げられます。

業務停止を避けるため、身代金が支払われやすい
顧客・取引先データなど外部へ悪用できる情報を保有している
セキュリティレベルのばらつきがある
クラウド移行、DX加速に伴い防御範囲が拡大している

攻撃者は従業員のメールや脆弱なVPNを突破口として企業ネットワークに侵入し、内部に潜伏しながらバックアップ破壊など周到な準備を行った上で暗号化を実行します。

被害を拡大させる「二重脅迫」が主流

従来はファイルを暗号化して身代金を要求するだけだったランサムウェア攻撃ですが、近年主流となっているのが「二重脅迫（二重恐喝）」型です。これは、暗号化する前にデータを盗み出し、身代金の要求に加え、企業の機密情報をインターネットに公開するぞと、二重に脅迫を行う手法です。

復旧可能なバックアップがあったとしても、情報漏えいリスクから身代金の支払いに追い込まれるケースが後を絶ちません。また、支払い後もデータ公開を止めない犯罪グループも存在します。

企業のランサムウェア被害がもたらす影響

ランサムウェア感染により、企業は多面的な損害を受けます。

影響範囲	内容
業務面	生産ライン停止、受注業務・物流遅延、顧客対応停止
経済面	身代金、復旧費、情報漏えい対応費、機会損失
信頼面	顧客・取引先・株主・社会的信用の失墜
法的責任	個人情報保護法、業界規制等による報告義務

被害の総額は数千万円〜数十億円規模にのぼる例もめずらしくありません。

どこから感染するのか（ランサムウェアの主な感染経路）

多くは企業のセキュリティ対策が不十分な“穴”（＝セキュリティホール）をついて侵入されます。

標的型攻撃メール（添付ファイル・悪意あるリンク）
脆弱性のあるVPN装置・リモート環境
不正なソフトウェア・USBデバイス
サプライチェーンを介した侵入
不正アクセスにより管理権限を奪取

「メールを開いただけ」といった小さな油断から大被害へと発展します。このように、1つのマルウェアに感染することで様々なランサムウェアに感染する可能性があり、攻撃のパターンも複数あるということを認識しておく必要があります。

企業がランサムウェアに感染したら：最初の72時間で何をすべきか

感染発覚後の初動対応が、復旧の成否と被害額を大きく左右します。以下は企業が取るべき基本手順です。

被害範囲の特定と隔離
ネットワークから切り離し、被害が拡大しないよう封じ込めます。
外部専門機関への早期連絡
フォレンジック調査、インシデントレスポンス（CSIRT）と連携し、被害を技術的に分析します。
重要関係者への状況共有
経営層／法務／広報／顧客／取引先／監督官庁など、情報開示を適切に実施します。
バックアップからの復旧検討
データの安全性を確認した上で、段階的に業務を再開します。
法的観点に基づく対応
情報漏えいが発生した場合は報告義務が生じる可能性があります。

“自社だけで判断しない”ことが極めて重要です。

サイバーインシデント緊急対応

身代金を支払えば解決するのか？

結論から言えば、身代金支払いは推奨されません。その主な理由は以下の通りです。

復号ツールを受け取れる保証がない
データ公開を止める保証がない
再び標的にされる可能性が高まる
資金が犯罪組織の活動に利用される
法令や国際規制に抵触するリスク

国際的にも支払いは原則「NG」とされており、法務と専門家の判断を必須とすべき領域です。

企業が導入すべきランサムウェア対策

感染防止と被害最小化は両輪で取り組む必要があります。

予防策（侵入させない）

EDR／XDRの導入
脆弱性管理・パッチ適用
ゼロトラスト型アクセス制御
メール訓練と従業員教育

ランサムウェアの対策として、EDR（Endpoint Detection and Response）やSIEM（Security Information and Event Management）製品を活用して、早期検知とブロックを行う方法がよく知られていますが、最大の感染経路のひとつである「メール」を対象にした訓練を行うことも有効でしょう。

ランサムウェア対策のメール訓練としては、「定型のメールを一斉送信し、部署毎に開封率のレポートを出す」ことに加え、事前に会社の組織図や業務手順等のヒアリングを行ったうえで、よりクリックされやすいカスタマイズした攻撃メールを作成し、添付ファイルや危険なURLをクリックすることで最終的にどんな知財や資産に対してどんな被害が発生するか、具体的なリスク予測までを実施することをおすすめします。

標的型メール訓練

https://www.bbsec.co.jp/service/training_information/mail-practice.html
※外部サイトへリンクします。

被害軽減策（侵入されても止める）

隔離可能なネットワーク構成
攻撃検知・自動遮断システム
権限最小化・多要素認証

復旧策（迅速に回復する）

オフライン・多重バックアップ
復旧手順の事前検証
インシデント対応訓練

経営者が担うべき役割

ランサムウェアはIT部門だけでは対応できません。経営者視点で求められるのは以下です。

セキュリティ投資判断と優先順位付け
リスクを踏まえた継続的な管理体制の構築
社内文化としてのセキュリティ意識向上
インシデント発生時の意思決定と情報開示方針の確立

セキュリティは経営課題であり、企業価値を守るための投資です。

まとめ：感染したら“すぐ動ける企業”へ

企業がランサムウェアに感染したら、時間との戦いが始まります。初動が遅れるほど被害は拡大し、業務停止や情報漏えい、社会的信用喪失といった影響は深刻さを増します。だからこそ、「事前の備え（体制・技術・教育）」「迅速な判断（経営レベル）」「確実な復旧（検証された手順）」が不可欠です。

攻撃はいつ起きてもおかしくありません。“感染したらどうするか”ではなく、“必ず起きる前提で備える”―それが企業のセキュリティ対策の出発点です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る