ランサムウエアとは、「身代金(Ransom)」と「ソフトウェア(Software)」を組み合わせた造語で、攻撃者が標的のデータやシステムを暗号化し、復旧と引き換えに金銭を要求する悪質なマルウェアです。2025年における日本国内のランサムウエア被害件数は226件に達し、警察庁の統計で過去2番目の多さを記録しました。被害の6割以上が中小企業に集中し、復旧費用が1,000万円を超えるケースが半数以上を占めるなど、企業経営を根底から揺るがす深刻な脅威となっています。
この記事では、2026年3月12日に警察庁が公表した最新の統計データをもとに、2025年のランサムウエア被害の全体像を詳しく解説します。被害件数や感染経路の内訳、復旧にかかった費用と期間、大企業の具体的な被害事例、そして企業が今すぐ取り組むべき対策まで、包括的にお伝えします。
ランサムウエアとは?身代金要求型マルウェアの仕組みと特徴
ランサムウエアとは、企業や組織のネットワークに侵入してデータを暗号化し、その復旧と引き換えに高額な身代金を要求するマルウェアの一種です。初期のランサムウエアは不特定多数を狙う自己増殖型のウイルスでしたが、近年は「RaaS(Ransomware as a Service)」と呼ばれる組織的なビジネスモデルへと変貌を遂げました。
RaaSとは、ランサムウエアの開発者、ネットワークへの侵入を請け負う「イニシャル・アクセス・ブローカー」、被害者との交渉役など、それぞれの専門家が分業する仕組みです。この高度な分業体制により、攻撃の精度と規模は飛躍的に向上しました。標的型攻撃と同等かそれ以上の洗練度を持つ攻撃が、組織的に実行されるようになっています。
2025年現在、ランサムウエアによる被害は一企業のIT部門が対処すべき技術的トラブルにとどまりません。企業の存続基盤を破壊し、国家の安全保障や国民生活のインフラをも揺るがす重大な経営リスク・社会リスクとして広く認識されるようになりました。
2025年のランサムウエア被害件数は226件|警察庁統計の詳細分析
2025年の日本国内におけるランサムウエア被害件数は合計226件でした。この数字は、2026年3月12日に警察庁が公表した「令和7年におけるサイバー空間をめぐる脅威の情勢等について」で明らかになったものです。前年と比較して4件の増加となり、通年統計の取得が始まった2021年以降で過去2番目に多い件数を記録しました。
上半期だけを見ても、全国の認知件数は116件に上りました。東京都内に限ると36件が報告されており、これは令和4年下半期に記録された過去最高水準に迫る数字です。半期ベースでは過去2番目の多さとなり、年間を通じて攻撃が途切れなく続いていたことが確認されています。
この高止まり傾向は、企業の防御策が攻撃手法の進化に追いついていないことを如実に示しています。攻撃側と防御側の間に存在する非対称性が、年々拡大している現実が統計から読み取れます。
企業規模・業種別に見るランサムウエア被害の傾向
ランサムウエア被害は、特定の企業規模や業種に偏って発生しています。被害の内訳を把握することで、自社が直面するリスクをより正確に見積もることができます。
| 区分 | 件数 | 割合 |
|---|---|---|
| 中小企業 | 143件 | 約63.3% |
| 大企業 | 64件 | 約28.3% |
| 団体など | 19件 | 約8.4% |
全体の6割以上が中小企業に集中していることが最大の特徴です。この背景にはサプライチェーン攻撃という戦略が存在します。攻撃者は堅牢な防御を敷く大企業を直接狙うのではなく、セキュリティ予算や専門人材が不足している取引先の中小企業を最初の踏み台として選びます。そこからラテラルムーブメント(水平展開)を行い、最終的に大企業の機密データや基幹システムへと到達するのです。
業種別では、製造業が全体の約4割を占めて突出していました。次いで卸売・小売業、サービス業、情報通信業と続いています。製造業が集中的に狙われる理由は、DX(デジタルトランスフォーメーション)やスマートファクトリー化に伴い、工場のOT(制御技術)システムとITシステムのネットワーク統合が急速に進んだことにあります。これにより外部からの攻撃接点(アタックサーフェス)が増加しました。製造業ではシステム停止が工場ラインの停止に直結し、莫大な機会損失を生むため、攻撃者にとって「身代金の支払いに応じやすい業種」と認識されています。
実際の被害は業種を問わず広がっています。2025年5月前後の公表事例だけでも、製造業の株式会社トーモク、医療関係の株式会社三笑堂、卸・小売業の株式会社ホスピタルサービス、教育機関の学校法人宮城学院、建設・不動産業の但南建設株式会社など、日本の社会基盤を支える多様な組織がランサムウエアの被害を受けました。デジタル環境に依存する限り、どの業種であっても脅威から逃れることはできないという現実を示しています。
ランサムウエアの主な感染経路はVPNとリモートデスクトップ
ランサムウエアの感染経路として最も多かったのは、VPN(仮想専用線)とリモートデスクトップ(RDP)です。2025年上半期の統計では、この2つの経路だけで全体の約84%を占めました。
コロナ禍以降、多くの企業がリモートワークを迅速に導入するためにVPN機器やRDPを設置しました。しかし、それらのネットワーク機器に対する継続的な脆弱性管理が著しく不足しています。定期的なパッチ適用やファームウェアの更新、多要素認証(MFA)の導入といった基本的なセキュリティ対策が実施されていないケースが後を絶ちません。
攻撃者は、インターネット上に公開されているVPN製品やファイアウォール製品に対して常時スキャンを行っています。すでに公開されている既知の脆弱性を悪用し、パッチが未適用の機器を自動的に発見して侵入するのです。つまり、被害の大半は高度なゼロデイ攻撃によるものではなく、基本的なIT資産管理やパッチマネジメントの不備に起因しています。企業のITガバナンスの欠如が、攻撃者に付け入る隙を与えているのが実情です。
ランサムウエア被害の復旧費用と期間の実態
ランサムウエア被害の深刻さは、データの暗号化という一時的な障害にとどまりません。企業の財務状況や社会的信用に対して、長期的かつ致命的な打撃を与えます。警察庁が2025年の被害組織に対して実施したアンケート調査(有効回答89件)の結果は、その過酷な実態を明らかにしました。
復旧費用は過半数が1,000万円超
システムの調査および復旧に要した費用について、回答企業の52%(46件)が「1,000万円以上」と報告しました。この割合は過去5年間の平均である45%を明確に上回っています。攻撃の高度化に伴い、外部専門機関に依頼するデジタルフォレンジック調査費用やシステムの再構築費用、弁護士への相談費用といったインシデント対応の単価が急激に上昇していることが背景にあります。
さらに注目すべきは、5件の事例で復旧費用が「1億円以上」に達していたことです。これは直接的なIT対応費用のみの金額であり、事業停止による売上機会の喪失、取引先への損害賠償、株価の下落といった間接的損失を含めれば、実際の被害総額はさらに膨れ上がります。
復旧期間は4割の企業が1カ月以上
復旧期間についても深刻な結果が示されました。全体の4割の企業が、復旧までに「1カ月以上」を要したと回答しています。基幹システムや受発注システムが1カ月以上にわたって機能不全に陥ることは、サプライチェーン全体への供給責任を果たせなくなることと同義です。復旧に時間がかかるほど費用が高額化する傾向も、明確な相関関係として確認されています。
BCP策定済みの企業はわずか18%
こうした深刻な事業阻害リスクが知られているにもかかわらず、サイバー攻撃を想定したBCP(事業継続計画)を事前に策定していた組織はわずか18%にとどまっていました。前年の16%からは微増したものの、大多数の企業がサイバーインシデントに対する回復計画を持っていません。自然災害に対するBCPを策定している企業は多いものの、ランサムウエアでは物理的インフラが無傷でもデータへのアクセス権限が奪われるため、サイバー空間特有の対策が別途必要となります。このBCPの欠如が初動対応の混乱を招き、復旧の長期化と被害の拡大を引き起こす根本原因となっています。
進化するランサムウエアの攻撃手法|三重恐喝とAI悪用の実態
2025年から2026年にかけて、ランサムウエアの攻撃手法は防御側の対策を無力化するために劇的に進化しました。「バックアップがあれば安全」という認識は、もはや通用しなくなっています。
二重恐喝から三重・四重恐喝への進化
初期のランサムウエアはデータの暗号化のみを行っていました。その後、暗号化前にデータを外部へ窃取し、身代金を支払わなければダークウェブ上のリークサイトで公開すると脅す「二重恐喝」が主流となりました。現在はさらに進化し、窃取した顧客情報をもとに被害企業の顧客や取引先へ直接脅迫の連絡を行う「三重恐喝」が横行しています。
三重恐喝では、顧客に対して「あなたの個人情報が流出する危険がある」と脅迫メールが送信されます。取引先に対しても企業秘密の暴露を盾にした圧力がかけられます。被害企業は内部システムの麻痺に加え、外部からの信用失墜リスクにも同時に直面させられ、社会的な逃げ場を完全に塞がれる状態に追い込まれるのです。
2025年以降はさらに、DDoS攻撃を組み合わせた「四重恐喝」も顕著な傾向として確認されています。被害企業のウェブサイトやカスタマーポータルに大量の不正トラフィックを送り込み、復旧作業のための通信や顧客への広報活動そのものを妨害・麻痺させる手口です。復旧の努力がDDoSによって打ち砕かれることで、経営陣に対する精神的な追い込みが限界を超えるよう計算されています。
AI技術を悪用した攻撃の自動化と高度化
ランサムウエアのエコシステムをさらに凶悪なものにしているのが、大規模言語モデル(LLM)などのAI技術の悪用です。攻撃グループはAIをサイバー攻撃の全段階に組み込み、恐喝の効率と精度を飛躍的に向上させています。
まず、AIによる多言語フィッシングが深刻な問題となっています。かつて海外の犯罪グループが送る日本語のフィッシングメールには機械翻訳特有の不自然さがありましたが、AIの活用により日本のビジネス習慣や敬語表現を完璧に模倣した自然な日本語の脅迫メールが大量に生成されるようになりました。
次に、AI合成音声によるボイスボットを使った自動架電が登場しています。窃取した電話番号リストに対し、AIが生成した人間の声で自動的に脅迫電話をかけ続けるシステムが構築されました。人間の労力を介さずに、被害企業のステークホルダーへ一斉に圧力をかけることが可能となっています。
さらに、脆弱性の高速検知と自律型攻撃へのAI転用も進んでいます。新たな脆弱性が公開された直後にAIがターゲット企業のネットワークを瞬時にスキャンし、人間がパッチ適用を計画している間に侵入を完了させてしまうのです。防御側が人間のプロセスに依存する限り、AIのスピードには対抗できないという現実が突きつけられています。
IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威」2026年組織編でも、こうした動向は明確に反映されました。「ランサム攻撃による被害」が1位、「サプライチェーンや委託先を狙った攻撃」が2位、「AIの利用をめぐるサイバーリスク」が3位に初登場し、「システムの脆弱性を悪用した攻撃」が4位という結果です。これらの脅威が単独ではなく高度に連動して襲いかかることが、2025年以降のサイバー空間の実態です。
2025年に発生した大規模ランサムウエア被害事例の詳細
統計データの背後にある被害の深刻さを理解するため、2025年に発生した2つの大規模事例を詳しく見ていきます。
アサヒグループホールディングスの被害|物流機能が約2カ月停止
アサヒグループホールディングスでランサムウエア被害が発覚したのは、2025年9月29日午前7時ごろのことでした。システム障害が突如発生し、社内ファイルの暗号化が確認されました。同社は被害拡大防止のため、同日午前11時ごろにネットワーク遮断とデータセンター隔離の措置を実施しました。
フォレンジック調査により、障害発覚の約10日前には攻撃者がネットワーク機器を経由して内部に侵入していたことが判明しました。攻撃者はパスワードの脆弱性を突いて管理者権限を奪取し、深夜帯や休日を中心に社内の複数サーバーに対する偵察と水平展開を繰り返していたとされています。暗号化を実行する前の長期間にわたる潜伏と情報窃取こそが、現代のランサムウエアの特徴です。
この攻撃により、グループ全体の受注・出荷システムが完全に停止しました。手作業による対応を余儀なくされ、商品供給に深刻な支障が生じました。システムが再開されたのは、アサヒグループ食品で12月2日、アサヒビールおよびアサヒ飲料で12月3日と、発生から約2カ月以上が経過した後のことです。物流業務が完全に通常化したのは、2026年2月に入ってからでした。
業績への打撃も甚大でした。2025年10月から12月の累計売上は前年同期比で、アサヒビールが8割台前半、アサヒ飲料が7割程度、アサヒグループ食品が9割程度にとどまりました。取り扱い品目数も大幅に制限され、アサヒビールで107品目(売上構成比83%)、アサヒ飲料で350品目(同95%)、アサヒグループ食品で944品目(同98%)にまで絞り込まれています。
情報漏洩も大規模に及びました。2026年2月18日時点の調査で、取引先の役員・従業員および個人事業主の情報(氏名、電話番号など)が約11万396件、自社従業員(退職者含む)の個人情報が5,117件漏洩したことが確認されました。さらに、お客様相談室への問い合わせ者情報が約152.5万件、慶弔対応の関係先情報が約11.4万件、従業員およびその家族の情報が約27.5万件にわたって漏洩のおそれがあるとも発表されています。
再発防止策として、同社は侵入経路となったリモートアクセスVPN装置の全面廃止を断行しました。ゼロトラストモデルに対応したPCへの完全移行、ネットワークの論理的分離、EDR(エンドポイント検知・対処)の設定強化も実施しています。組織面でも独立した情報セキュリティ組織と専任担当役員を設置し、情報セキュリティ委員会の新設と取締役会による監視・監督機能の強化を進めました。
アスクルの被害|EDR無効化とバックアップ破壊の衝撃
アスクル株式会社でランサムウエア被害が発覚したのは2025年10月19日でした。この事例は、攻撃者がいかに巧妙に企業の多層防御をかいくぐるかを示す重要なケースです。
攻撃者は事前に窃取した正規の認証情報を使い、正規ユーザーを装って社内ネットワークに侵入したと推定されています。長期間の偵察活動を通じて複数サーバーの認証情報を収集した後、各端末に導入されていたEDR等のセキュリティソフトを意図的に無効化しました。使用されたランサムウエアの中には、当時のEDRでは検知が困難な高度にカスタマイズされた亜種も含まれていたことが判明しています。
さらに致命的だったのは、暗号化の実行と同時にバックアップファイルを削除したことです。これにより復旧手段が根絶やしにされ、復旧作業に膨大な時間を要する直接の原因となりました。物流システムの中枢が停止したことで、自動倉庫設備やピッキングシステムを制御するシステムが完全に機能しなくなり、物流センターの出荷業務が全面停止しました。
ECサイト(「LOHACO」「ソロエルアリーナ」「ASKUL」)自体には侵害の痕跡はなかったものの、バックエンドの物流網が崩壊したため商品を動かすことが不可能となりました。受注・出荷の完全停止、既存注文のキャンセル対応、返品・回収サービスやカタログ申し込みの停止など、顧客への影響は広範囲に及んでいます。
二次被害として、外部クラウドサービス上のお問い合わせ管理システムのアカウントが窃取され、顧客や取引先の一部情報が攻撃者によって流出する事態も発生しました。
再発防止に向けて、アスクルは米国標準技術研究所(NIST)のサイバーセキュリティ基準に基づく強化策を実施しています。全リモートアクセスにおける多要素認証の必須化、SOC(Security Operation Center)による24時間365日の監視体制の構築、オフラインバックアップの強化を含むBCPの見直しなどが進められました。2026年5月期中にセキュリティガバナンス体制を全社的に再構築する計画も発表されています。
両社の事例は、「VPN機器の脆弱性」と「窃取された認証情報の悪用とEDR回避」という異なる侵入手法でありながら、サプライチェーンの中心にある物流インフラの完全停止と大規模な情報漏洩という共通の結果を招いたことが特徴的です。
警察庁による復号ツール開発と国際捜査の成果
攻撃者の暗躍に対し、法執行機関の反撃も着実に進展しました。2025年の大きな成果は、警察庁が暗号化されたデータの回復支援と犯罪インフラの解体という両面で実績を上げたことです。
警察庁の関東管区警察局サイバー特別捜査部は、ランサムウエアグループ「Phobos(フォボス)」および関連グループ「8Base(エイトベース)」に対する復号ツールを独自に開発しました。PhobosとBBaseは世界各国で2,000件以上の被害をもたらしてきた凶悪なランサムウエアファミリーであり、RaaSモデルを駆使して活動しています。
この復号ツールの開発には米国FBI(連邦捜査局)の協力が得られ、日本警察、欧州刑事警察機構(EUROPOL)、FBIの三機関でその有効性と安全性が実証されました。2025年6月に警察庁サイバー警察局を通じてEUROPOLへ正式に提供され、各国の捜査機関を通じて被害組織がデータ回復の恩恵を受けられる国際的な枠組みが構築されています。日本国内でも、最寄りの警察署やサイバー事案相談窓口を通じて無償で活用することが可能です。
捜査面でも具体的な成果が上がりました。国際共同捜査により、サイバー特別捜査部はグループ運用に関与した被疑者3名を特定しています。「Operation Magnus」をはじめとする国際的な掃討作戦によって、サイバー犯罪者が安全に逃げ隠れできる場所は着実に狭まりました。復号ツールによって被害者が身代金を支払わずにデータを復旧できるようになれば、RaaSの資金源を直接絶ち、エコシステムそのものを経済的に崩壊させる効果が期待されます。
ランサムウエア対策として企業が取り組むべき防衛戦略
復号ツールの提供は重要な進展ですが、攻撃者は新たな暗号化手法やマルウェアの亜種を次々と開発しています。企業がランサムウエアに対抗するためには、従来型のセキュリティモデルから脱却し、組織全体のレジリエンス(回復力)を高める必要があります。
侵入の検知と封じ込めの高度化
最優先事項は、データが暗号化される前の段階で攻撃者の不審な挙動を検知し、封じ込めることです。高度なEDR(エンドポイント検知・対処)やXDR(拡張型検知・対処)の導入に加え、SOCによる24時間365日のログ監視体制が不可欠です。
ただし、アスクルの事例が示すように、攻撃者は正規の権限を奪取してEDRを無効化する手法を熟知しています。ツールの導入だけでは十分とは言えません。特権ID管理の厳格化、ネットワークのマイクロセグメンテーション、全リモートアクセスにおける多要素認証の義務化など、ゼロトラストアーキテクチャの概念をシステム全体に適用することが求められます。
攻撃面(アタックサーフェス)の能動的な管理
2025年上半期の被害の84%がVPNとRDPの脆弱性を突かれたという事実は、インターネット上に公開している資産の管理がいかに重要かを物語っています。ASM(Attack Surface Management:攻撃面管理)を導入し、自社やサプライチェーン全体の外部公開資産をリアルタイムで監視する体制が重要です。
AIを利用した脆弱性スキャナが常時稼働している現在、年数回の手動診断では対抗できません。脆弱性管理の自動化とパッチ適用の迅速化が必須です。アサヒグループホールディングスのように、管理しきれないレガシーなVPN装置を全面廃止するという経営判断も有効な選択肢となります。
インシデント対応計画とガバナンスの刷新
技術的防御がどれほど強固でも、侵入リスクを完全にゼロにすることはできません。被害を前提としたインシデント対応計画(IRP)の整備が最後の砦です。
現代のIRPには、IT部門によるシステム復旧だけでなく、広報部門による迅速な情報開示、法務部門による監督官庁への報告、経営トップを含めた全社的なクライシスマネジメント体制が盛り込まれていなければなりません。三重恐喝や四重恐喝を想定した対応手順をあらかじめ文書化し、訓練しておくことが重要です。
バックアップ戦略も見直しが必要です。オンラインで接続されたバックアップは攻撃の標的となるため、ネットワークから物理的に切り離したオフラインバックアップや、一度書き込んだら変更・削除ができないイミュータブル(不変)バックアップの導入が事業継続の最低条件です。NISTのサイバーセキュリティフレームワークなどの国際基準に基づく定期的なアセスメントを通じて、セキュリティ基盤とガバナンス体制を継続的に向上させることが経営陣の責務となっています。
ランサムウエアは、もはや一企業のIT部門だけで対処できる問題ではありません。2025年の226件という被害件数と、大企業でさえ数カ月にわたって事業停止に追い込まれた事例は、すべての企業がサイバー攻撃を経営の最重要課題として位置づける必要性を明確に示しています。セキュリティへの投資を「コスト」ではなく「事業継続のための最重要インフラ」と捉え、技術・組織・ガバナンスの三位一体で対策を講じることが、今まさに求められています。
コメント