コラム:ランサムウェアによる被害拡大、現状と課題
-150x150.jpg){kind=avatar}
ランサムウェアは単なる「ファイル暗号化」から「データ窃取+公開の脅迫」へと進化し、RaaSにより攻撃者が増加している。
-e1762382348647.jpg)
近年、日本国内でランサムウェアによる被害が頻発し、企業や自治体、医療機関、物流拠点など社会インフラにまで影響が拡大している。攻撃者は単にデータを暗号化して身代金を要求する従来型の手口にとどまらず、データ窃取(ダブルエクストーション)や業務停止を狙った攻撃にシフトしているため、被害の社会的影響が大きくなっている。特に2023年以降は港湾・物流、医療、製造業など重要分野で大規模な影響事案が発生している。
ランサムウェアとは
ランサムウェアはコンピュータやネットワーク上のファイルを暗号化し、復号のための“身代金”を要求するマルウェア(不正プログラム)の一種である。最近では暗号化に加えて機密データを外部に持ち出し、公開をちらつかせることで二重に利益を得ようとする「データ窃取+身代金要求(ダブルエクストーション)」が一般化している。さらに、攻撃をサービスとして提供する「RaaS(Ransomware as a Service)」の普及により、技術的スキルのない攻撃者も参入しやすくなっている。これらの変化により、攻撃の数・質ともに高度化・商業化している。
被害状況(日本国内の傾向)
官民の報告では、ランサムウェアによる被害が高水準で続いている。警察庁や関係機関の報告では、ランサムウェアを利用した被害の件数や、データを窃取した上での要求といった新たな手口の確認が報告されている。被害は中小企業が割合として多く、重要インフラや大企業も標的になっている点が特徴である。医療機関や港湾など、業務停止が直接的に社会サービスに影響を及ぼす分野でのインシデントが注目されている。
被害件数(統計)
公的機関や専門機関の集計によると、警察庁などが把握した2023年のランサムウェア被害件数は197件と高水準で推移したと報告されている。また、暗号化を伴わないがデータ窃取を行う手法による被害も複数件確認されている。最近の報告書や白書でもランサムウェアが引き続き重要な脅威であると指摘されている。
企業規模別の傾向
被害件数ベースでは中小企業が大半を占めている。警察庁の集計や各種報告では、中小企業が狙われやすい理由として、セキュリティ投資の不足、外部委託先を介した供給網(サプライチェーン)経由の侵入、脆弱なリモートアクセス環境などが挙げられている。一方で、大企業や重要インフラが攻撃を受けると被害の社会的波及が大きく、注目されやすい。
業種別の傾向
業種別では医療・福祉、製造・物流、港湾・輸送、官公庁・自治体、教育機関などが被害を受けやすい。特に医療機関は電子カルテ等の停止が患者の診療に直結するため甚大な影響を招く事例が増えている。港湾や物流のシステム停止はサプライチェーン全体に波及するため経済的損失が大きくなる。
手口(侵入経路・攻撃の流れ)
代表的な侵入経路は以下である:
フィッシングメールや悪意ある添付ファイル・リンクによる初期侵入。
公開サーバやリモートデスクトップ(RDP)、VPNの脆弱性を突く侵入。
サードパーティ(委託業者や外部サービス)を経由した側方侵害。
一度ネットワーク内部に入ると、管理用アカウントを窃取し横展開して重要資産を暗号化・持ち出しする。
近年はRaaSを利用した分業化(開発者・侵入者・マネージャーなど)や、データ窃取を行って公開するプレッシャーを与える手法が常態化している。
被害の具体例
以下に、最近の国内事例を中心に具体的な被害例を示す。
名古屋港(2023年7月)
2023年7月、名古屋港の統一ターミナルシステム(NUTS)に対してランサムウェアによる障害が発生し、名古屋港内全てのコンテナターミナルで搬入・搬出作業が一時停止した。影響は少なくとも数日続き、7月6日夕方に全ターミナルの作業が再開された。この事案は港湾という社会的インフラがサイバー攻撃により大規模に停止し、サプライチェーン全体に波及するリスクを示したものとして問題視された。
岡山県精神科医療センター(2024年5月)
岡山県精神科医療センターは2024年5月にサイバー攻撃を受け、電子カルテ等の院内システムが影響を受けた。以後、詳細な調査が行われ、被害の範囲や原因、組織的対応について検証が進められた。医療情報の漏洩や診療停止リスクが懸念され、医療機関における脆弱性と対応課題が改めて浮き彫りになった。公開された調査報告書や分析では、人的要因や外部接続の管理不足などが指摘されている。
アサヒグループホールディングス(2025年10月)
2025年9月末から10月初旬にかけて、アサヒグループホールディングスがサイバー攻撃の影響を公表し、生産ラインの一時停止などが発生した。ランサムウェアグループ「Qilin」(キリン)が犯行を主張し、ダークウェブ上に内部資料の断片を掲載した。アサヒの国内工場は短期間で生産を再開したが、流通や生産への即時的な影響、外部に流出したとされるデータの検証など、企業対応の重みが改めて示された。
原因(脆弱性と構造的要因)
ランサムウェア被害の原因は技術的・人的・組織的な要因が重層的に絡んでいる。代表的要因は以下である:
セキュリティ投資の不均衡:中小企業や医療機関では十分な対策投資が行われていない場合が多い。
人的要因:フィッシングへの対策や職員のセキュリティ教育の不足。
脆弱な公開サービス:古いVPNやRDP、脆弱性の未修正サーバが攻撃経路となる。
供給網(サプライチェーン)経由の侵入:外部委託先が踏み台となる事例が多い。
犯罪組織の商業化:RaaSや犯罪の手口の洗練化により攻撃が拡大している。
対策(組織・技術・制度)
個々の組織が取るべき対策と、国・業界が支援すべき施策には重なりがある。主要な対策は以下である:
予防的対策:定期的な脆弱性診断・パッチ適用、ネットワーク分離、最小権限の適用、EDR(Endpoint Detection and Response)やログ監視の導入、フィルタリングやメールの検疫強化などを組み合わせること。
人的対策:職員向けのフィッシング訓練、インシデント発見時の報告フロー確立、サプライヤーのセキュリティ要件化。
事業継続策(BCP):重要業務の手動運用手順やオフラインバックアップの保持、復旧優先順位の策定。名古屋港の事例からは、港湾業務の代替運用や緊急対応の用意が不可欠である。
法的・制度的対応:インシデント報告の義務化や公的支援(専門家派遣、調査支援)、サイバー保険の普及とその適正利用。
情報共有と連携:JPCERT/CCや業界のISACなどによる脅威情報共有、官民連携による迅速な対応支援。
課題(現状の限界)
対策が進む一方で以下の課題が残る:
中小企業・医療機関での資金・人材不足が依然としてボトルネックである。
RaaSの拡大と国際的な犯罪組織の活動に対して単一企業の対策では限界があるため、国際協力や法執行の強化が必要である。
情報漏えい後の二次被害(顧客信頼の毀損、訴訟、規制対応コストなど)が長期的に企業を圧迫する。アサヒの事例でも公開主張や流出ファイルの存在が企業対応を難しくしている。
緊急時の代替運用や現場での業務継続手順が不十分な組織が多く、実務ベースでの訓練不足が露呈している。名古屋港や医療機関の事例はこの課題を具体化している。
今後の展望
今後の展望は二極化が進む可能性が高い。すなわち、セキュリティ投資や準備が進んだ組織は被害の検知・封じ込め・復旧のスピードを高め、ビジネス影響を限定できる一方、資源に乏しい組織は依然として重大被害を受けやすい。RaaSの商業化は続くと予想されるため、攻撃の手口はさらに多様化・高度化する見込みである。国としては官民連携の強化、標準化と支援の拡充(特に中小企業向けの支援策)、国際的な法執行連携や暗号資産の追跡強化が不可欠である。産業別には、医療・物流・製造など重要分野での標準的なセキュリティ対策と演習の義務化・助成が議論されるだろう。
結論(要点整理)
ランサムウェアは単なる「ファイル暗号化」から「データ窃取+公開の脅迫」へと進化し、RaaSにより攻撃者が増加している。
日本では2023年に高水準の被害件数が報告され、名古屋港(2023年7月)や岡山県精神科医療センター(2024年5月)のように社会インフラや医療に重大な影響を与えた事案が発生している。さらに2025年10月にはアサヒグループへの攻撃があり、大手企業でも影響が生じることが明らかになった。
対策としては技術的防御、人的対策、BCP、制度的支援、情報共有の組合せが必要であり、特に中小事業者向けの支援と訓練が喫緊の課題である。
以上の点を踏まえ、組織は単なる「サイバー対策の強化」だけでなく、業務継続の観点からの準備、外部委託先やサプライチェーンの監督、そして公的機関との連携を強化する必要がある。日本社会全体としては、被害発生時の迅速な情報共有と支援体制の整備、ならびに国際的な犯罪対策の強化を進めることが今後ますます重要になる。
参考リンク(主な出典)
内閣サイバーセキュリティセンター(NISC)報告書等。
JPCERT/CC の資料(制御システム・ランサムウェア動向)。
岡山県精神科医療センターの公式発表および調査報告。
名古屋港のインシデント報告(国土交通省・関係資料)。
アサヒグループへの攻撃報道(Reuters 等)。