COLUMN
研修コラム
2025年9月18日に警察庁から発表された「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、把握されたランサムウェア被害報告は116件。半期としては令和4年(2022年度)下半期と並ぶ過去最多です。
ニュースでも企業に対するサイバー攻撃とその被害が相次いで報じられていますが、これらはどの企業にとっても決して他人事ではありません。攻撃対象は大企業だけではなくあらゆる規模・業種に広がっており、すべての企業が身近なリスクとして捉える必要があるのです。
ランサムウェアとは?
ランサムウェアとは、パソコンやスマートフォンをウイルスに感染させてファイルやシステム等を暗号化し、使えない状態になったそれらを元に戻すことと引き換えに金銭などを要求する不正プログラムのことです。企業が持つ業務システムや顧客情報、オンラインサービス等がランサムウェアに感染すれば、業務停止や情報漏えいといった金銭的損失にとどまらない被害を及ぼします。
手口も進化しています。特にウイルスに感染させてデータを窃取した上で「対価を支払わなければ公開する」と脅す「二重恐喝」が増えており、実際にランサムウェアによって流出したとみられる情報がインターネット上で確認されました。
RaaS(Ransomware as a Service)の拡大も脅威です。RaaSとは開発者がランサムウェアを攻撃者に提供し、見返りとして報酬の一部を受け取る仕組みのことで、ランサムウェアの「サービス化」により、攻撃者は技術的な専門知識を持たずとも犯行が可能になりました。攻撃者の裾野の広がりから、対策が比較的手薄と言われる中小企業にも被害が広がっています。
被害の約3分の2が中小企業
ランサムウェアの被害報告を企業規模別に見ると中小企業は77件で約3分の2を占める規模へ増加、件数も増加傾向にあります。業種別に見ると製造業が最も多く52件(44.8%)、その後は卸売・小売業16件(13.8%)、建設業12件(10.3%)と続きます。
被害規模も甚大です。ランサムウェア被害にあった企業・団体等へのアンケート調査では、復旧等に1週間以上要したのは53.2%と半数を超えました。また59.0%が調査費用の総額が1,000万円以上であったと回答しており、事業や経営に与えるダメージは小さくないことがうかがえます。
これらの状況を重く鑑み、警察では攻撃者や犯行手口の実態解明、被害の未然防止・拡大防止対策を推進しており、国内外の関係機関と連携して捜査や情報発信を行っています。また政府も、政府広報オンラインでランサムウェアに関する記事や動画を公開し対策を呼び掛けています。
日本の対策の実状
しかし、残念ながら日本のサイバーセキュリティ対策は進んでいるとは言い難い状況にあります。
警察庁はサイバー攻撃に対する体制構築として業務継続計画(BCP)の整備を推進していますが、実際にランサムウェア被害にあった企業・団体のうち、BCPを整備済みだったのはたった6%でした。
BCPとは、企業が緊急事態に直面した場合に損害を最小限にとどめつつ事業の継続および早期復旧を行うために、事前に緊急時における行動や方法、手段などを取り決めておく計画のことです。この「緊急事態」のパターンのひとつとしてサイバー攻撃を想定し、準備しておくことが重要です。準備のないままに被害に遭えば対応に手間取り、事態がさらに悪化することが懸念されます。
また実際のランサムウェア被害では、VPNやファイアウォールといったネットワーク機器の脆弱性を足掛かりに起こった事例が指摘されています。同アンケート調査で感染経路として最も多かったのはVPN機器、次点がリモートデスクトップでした。
具体的な原因としては、安易なID・パスワードが設定されていたこと、不必要なアカウントが放置されるなど管理が不十分であったこと、ソフトを更新せず使い続けていたことなどが挙げられています。
サイバーセキュリティの意識を社内外で高める
これらからわかるのは、サイバー攻撃は決して特別な状況下ではなく「日常業務のスキマ」を狙っていることです。私たちが普段から使っているPCやスマートフォンのちょっとした操作から起こりうるからこそ、現状を把握し技術面での対策を行うと同時に、それを使う社員一人ひとりのサイバーセキュリティへの意識を高めることが大切です。
ITは個人や業種によって知識の差が出やすい分野でもあります。だからこそ、企業はサイバーセキュリティの学習が企業の防衛体制の構築につながることを意識し、計画的に人材育成プランに組み込んでいくことが求められています。
また、サイバー攻撃は自社以外から、業務システムや取引先などを経由して波及的に被害を受けることがあります。逆もまたしかりで、自社のランサムウェア感染が他社の情報漏えいにつながってしまった、ということも起こります。「自社には関係ない、狙われない」と思いこまず、関連企業や取引先も含めた全体で取り組む必要があるでしょう。
まとめ
当然ながら、サイバー攻撃はランサムウェアに限りません。近年でも不正アクセスやDDoS攻撃(複数のコンピュータなどから特定のサーバーに対して過剰なアクセスやデータを送付し正常な動作を停止させること)により、複数の公共機関や金融機関などでアクセス障害、情報漏えいが起こりました。こういった主要なインフラへの攻撃は、社会、ひいては私たちの暮らしにも影響を及ぼします。
サイバー攻撃がいつでもどこでも起こりうることを認識し、各人がセキュリティ施策を学び、普段から意識して備えること。この姿勢が事業継続を支えると理解し、今から企業全体で取り組んでいきましょう。
警察庁「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf
政府広報オンライン「中小企業で被害多数 ランサムウェア」https://www.gov-online.go.jp/useful/202506/video-298784.html
政府広報オンライン「ランサムウェア、あなたの会社も標的に?被害を防ぐためにやるべきこと」https://www.gov-online.go.jp/useful/article/202210/2.html
