IPA「情報セキュリティ10大脅威2026」で4年連続1位——ランサムウェアは依然として最大の脅威
IPA(情報処理推進機構)が毎年発表する「情報セキュリティ10大脅威」(組織編)において、ランサムウェアによる被害は2023年から4年連続で第1位を維持しています。サイバー攻撃の世界は常に変化しますが、ランサムウェアが長期にわたってトップに居座り続けている事実は、その被害規模と対策の困難さを如実に示しています。
Verizon「2025 Data Breach Investigations Report(DBIR)」によれば、確認されたデータ侵害のうちランサムウェアが関与するケースは依然として全体の4分の1を超えており、被害の中央値は1インシデントあたり46,000ドルに達しています(身代金のみ、業務停止コスト・復旧費用は別途)。日本においても警察庁の発表では、2024年のランサムウェア被害件数は依然として高水準を維持しており、製造業・医療機関・物流企業など業種を問わない被害が続いています。
ランサムウェアへの備えを強化するためには、まず「どこから侵入されるのか」を正確に理解することが出発点です。
侵入経路TOP5——具体的な手口と実態
第1位:VPN機器・ネットワーク機器の脆弱性悪用
警察庁「令和6年(2024年)のサイバー空間をめぐる脅威の情勢等について」によれば、ランサムウェアの侵入手口として最も多く報告されているのが、VPN機器やファイアウォール等のネットワーク境界機器の脆弱性を悪用した侵入です。
コロナ禍以降のリモートワーク拡大に伴い、SSL-VPN機器を多くの企業が導入しました。しかし、これらの機器には定期的にCVE(共通脆弱性識別子)が報告されており、パッチ適用が遅れた機器が攻撃者のスキャニングツールに発見・悪用されるケースが後を絶ちません。Ivanti Connect Secure、Fortinet FortiGate、Citrix NetScalerなど、グローバルで広く使われる機器の重大脆弱性が報告されるたびに、国内外で大規模な悪用キャンペーンが発生しています。
この経路の特徴は、攻撃者が認証を必要とせずに侵入できる点です。フィッシングのように「人を騙す」プロセスがなく、完全自動化された攻撃ツールで無数の企業をスキャンし、パッチ未適用の機器を見つけ次第侵入します。
第2位:フィッシングメール・スピアフィッシング
標的を絞ったスピアフィッシングメールによるマルウェア配布・資格情報窃取は、依然として主要な侵入経路です。Verizon DBIRによれば、人的要素が絡む侵害の68%においてフィッシングが関与しているとされています。
特に近年増加しているのが、AIを活用した高品質なフィッシングメールです。従来の機械翻訳特有の不自然な日本語とは異なり、自然な文章・実在する担当者名・本物そっくりのレイアウトで作成されたメールが急増しており、社員が見破ることが年々難しくなっています。
添付ファイル型(マルウェア埋め込みのOfficeファイル・ZIP)だけでなく、URLクリック型(偽のMicrosoft 365ログインページ等)、そして最近ではQRコードをメール本文に埋め込む「クイッシング」も増加しています。
第3位:RDP(リモートデスクトッププロトコル)の不正利用
RDPはWindowsサーバーへのリモートアクセスに広く使われるプロトコルですが、インターネットに直接公開されたRDPポート(デフォルトTCP 3389)は攻撃者のブルートフォース攻撃(総当たり攻撃)やクレデンシャルスタッフィング攻撃の格好の標的です。
ダークウェブでは「RDPアクセス販売」という市場が存在し、攻撃者が企業ネットワークへのRDPアクセス権を数万円程度で売買しています。買い手のランサムウェアグループはこのアクセス権を使ってネットワーク内に侵入し、横展開・権限昇格を行いながらランサムウェアを展開します。
第4位:サプライチェーン攻撃(ソフトウェアサプライチェーン・取引先経由)
2020年のSolarWinds事件以降、世界的に注目されているのがサプライチェーン経由の侵入です。直接の標的企業のセキュリティが強固であっても、その企業が使用しているソフトウェアの開発元や、業務委託先・システム管理委託先など「信頼された関係者」のセキュリティが脆弱な場合、そこを踏み台にして侵入されます。
2024年には、Managed Service Provider(MSP)や ITベンダーを経由したランサムウェア攻撃が国内でも発生しており、一つのMSPが侵害されることで複数のクライアント企業が同時に被害を受けるという深刻なケースも起きています。
【関連記事】サプライチェーン攻撃の詳細と対策については「サプライチェーン攻撃の対策方法」もあわせてご覧ください。
第5位:公開Webアプリケーションの脆弱性悪用
外部公開しているWebアプリケーション(CMS・ERPの管理画面・カスタム開発システム等)の脆弱性(SQLインジェクション・RCE等)を悪用した侵入も依然として多く報告されています。特にWordPressプラグインやOSS(オープンソースソフトウェア)の既知脆弱性は、概念実証(PoC)コードが公開されると数日以内に大規模な悪用が始まります。
「侵入されたら何が起きるか」——攻撃シナリオを理解する
ランサムウェア攻撃は、侵入成功の瞬間にデータが暗号化されるわけではありません。多くのケースで、侵入から実際の被害発生まで数週間〜数ヶ月のラグがあります。この間に攻撃者は以下のステップを踏んでいます。
フェーズ1:初期侵入(Initial Access)
前述のVPN脆弱性・フィッシング等により足がかりとなるマシンへのアクセスを確立します。
フェーズ2:永続化(Persistence)
バックドアを仕掛け、再起動や検知後も再侵入できるよう足場を固めます。正規のリモート管理ツール(AnyDesk・TeamViewer等)を悪用するケースが増加しています(Living-off-the-Land攻撃)。
フェーズ3:横展開・権限昇格(Lateral Movement / Privilege Escalation)
侵入した端末から内部ネットワークを探索し、Active Directoryの管理者権限奪取を目指します。Mimikatzなどのツールで認証情報をダンプし、ドメインコントローラーへの侵入を狙います。
フェーズ4:データ窃取(Exfiltration)
機密ファイル・個人情報・バックアップデータを外部サーバーに送出します。これが後述の「ダブルエクストーション(二重脅迫)」の伏線となります。
フェーズ5:ランサムウェア展開・暗号化(Impact)
ドメインコントローラーを制圧した後、グループポリシーなどを悪用してネットワーク全体に一斉にランサムウェアを展開・実行します。この段階になると業務システム・ファイルサーバー・バックアップが一瞬で暗号化されます。
ダブルエクストーション(二重脅迫)の実態
従来のランサムウェアは「ファイルを暗号化して復号のために身代金を要求する」というモデルでした。しかし2019年頃から普及したダブルエクストーション(二重脅迫)は、これに加えて「窃取したデータを暴露サイトで公開する」という脅しを組み合わせます。
バックアップから復元できたとしても、「顧客情報・技術情報を公開するぞ」という脅迫には対応できません。これにより、身代金を支払わなかった企業の機密情報・顧客個人情報が実際にダークウェブの「暴露サイト(Leak Site)」に掲載される事例が国内外で発生しています。
さらに近年はトリプルエクストーションとして、被害企業の顧客・取引先に直接連絡を取り、被害企業に圧力をかける手口も報告されています。身代金を支払っても復号キーが提供されないケースや、復号後も再び身代金を要求されるケースも存在します。
2025年国内インシデント事例
実際の被害規模を理解するために、近年の国内事例を概観します(いずれも公開情報に基づく)。
製造・物流業界:製造業の大手グループ会社がランサムウェア被害を受け、工場の生産ラインや受発注システムが長期停止。生産・出荷への影響が複数週にわたり継続したケースが報告されています。
医療機関:地域の中核病院がランサムウェアに感染し、電子カルテシステムが停止。紙運用での診療継続を余儀なくされ、手術延期・救急対応制限など患者への直接的な影響が生じました。完全復旧まで数ヶ月を要したケースもあります。
小売・サービス業:大手チェーンのシステム基盤がランサムウェアに感染し、店舗運営システムの停止・個人情報漏洩の懸念が生じた事例が複数報告されています。
これらの事例に共通するのは、「侵入から気づくまでに時間がかかった」「バックアップも暗号化されていた」「全社規模での影響が出た」という点です。
企業が今すぐやるべき5つの対策
対策1:脆弱性管理・パッチマネジメントの強化
最優先で取り組むべきはパッチ管理です。特に外部公開している機器(VPN・ファイアウォール・リモートアクセス機器)については、CVEが発表されてから72時間以内にパッチ適用可否を判断できる体制を整備してください。
実践的なチェックリスト:
- [ ] 外部公開資産(IPアドレス・ドメイン)のインベントリが整備されているか
- [ ] VPN・ファイアウォール機器のEOL(サポート終了)状況を把握しているか
- [ ] 定期的な脆弱性スキャンを実施しているか(外部・内部両方)
- [ ] パッチ適用の責任者・承認フロー・SLAが定められているか
対策2:多要素認証(MFA)の全社展開
認証情報が漏洩しても侵入を防ぐ最重要の対策がMFA(多要素認証)です。VPN、リモートデスクトップ、クラウドサービス(Microsoft 365・Google Workspace等)、特権アカウントへのアクセスすべてにMFAを適用してください。
注意点として、SMS認証はSIMスワッピング攻撃に脆弱であるため、認証アプリ(Microsoft Authenticator・Google Authenticator等)またはFIDO2対応ハードウェアキーの使用を推奨します。また、MFAの「疲弊攻撃(MFA Fatigue)」——大量の認証要求を送りつけてユーザーが誤って承認するのを待つ手口——にも注意が必要です。
対策3:EDR(エンドポイント検知・対応)の導入と運用
従来のウイルス対策ソフト(アンチウイルス)はシグネチャベースの検知であり、ゼロデイ攻撃やLiving-off-the-Land型の攻撃には対応が困難です。EDR(Endpoint Detection and Response)は端末上の挙動を継続的に監視し、既知・未知の脅威を検知・封じ込める機能を持ちます。
EDRを導入しただけでは不十分で、アラートへの迅速な対応体制(内製SOCまたは外部MDR/SOCサービス)とセットで機能します。EDRの導入率が高まっている一方、「導入したが誰もアラートを見ていない」という状況に陥っている企業が少なくありません。
対策4:バックアップの3-2-1-1ルール実践
ランサムウェアは本番環境と同じネットワークに接続されたバックアップも暗号化します。バックアップを確実に保護するための「3-2-1-1ルール」を実践してください。
- 3:データのコピーを3つ持つ
- 2:異なる2種類のメディア(例:ディスクとテープ)に保存する
- 1:1つはオフサイト(別拠点)に保管する
- 1:1つはオフライン(ネットワーク非接続)またはイミュータブル(変更不可)ストレージに保管する
加えて、定期的な復元テストを実施することが不可欠です。バックアップは「取っている」だけでなく「復元できる」ことを定期的に確認してください。
対策5:社員へのセキュリティ教育と標的型メール訓練
技術的な対策を施しても、人的要因による侵入を100%防ぐことはできません。社員がフィッシングを見抜けるよう、定期的な標的型メール訓練と教育プログラムの実施が重要です。
効果的な訓練のポイント:
- 実際の攻撃手口を模倣した高品質なフィッシングメールを使用する
- 訓練後に「なぜこのメールが危険だったか」を学ぶ教育コンテンツと組み合わせる
- 訓練結果を部署・役職別に分析し、リスクの高いグループに重点教育を実施する
- 「報告しやすい文化」を醸成し、不審メールを積極的に報告してもらう
【関連記事】社内のセキュリティ監視体制については「SOC外部委託vs内製:コスト・体制・リスクを徹底比較」もあわせてご覧ください。
ペネトレーションテスト・脆弱性診断・SOCとの関係
前述の5つの対策は「守りを固める」施策ですが、それが本当に機能しているかを定期的に検証する必要があります。
脆弱性診断・ペネトレーションテストは、攻撃者視点で自社の穴を見つけ出す積極的な検証です。VPN機器・公開Webアプリ・社内ネットワークに対して定期的に実施することで、パッチ漏れ・設定ミス・想定外の侵入経路を事前に把握できます。
SOC(Security Operations Center)は、EDRやSIEMのアラートをリアルタイムで監視・分析し、インシデント発生時に迅速対応する運用体制です。前述のフェーズ1〜4(初期侵入から横展開)の段階で検知・封じ込めができれば、フェーズ5(全社暗号化)への発展を防ぐことができます。
ダークウェブ監視は、自社の認証情報が流出してRDP・VPN侵入に悪用される前に検知する「外部インテリジェンス」として機能します。
【関連記事】自社情報のダークウェブ流出を早期発見する方法については「ダークウェブ監視サービスの選び方と費用相場【2026年版】」もあわせてご覧ください。
FAQ
Q1. 身代金は支払ったほうがいいですか?
A. 一般的に支払いは推奨されません。理由は3つあります。①支払っても復号キーが提供されない、または使えないケースがある、②支払いが「払う企業」として攻撃者にリスト登録され再攻撃されるリスクがある、③テロリスト指定組織への支払いに該当する場合、法的リスクが生じる可能性がある(米国財務省OFACの制裁リスト等)。まずはサイバー保険の確認と専門のインシデント対応ベンダーへの相談を最優先してください。
Q2. バックアップがあれば身代金を払わなくてすみますか?
A. バックアップがあれば業務復旧は可能ですが、ダブルエクストーションの場合「データを公開する」という脅迫には対応できません。また、バックアップからの完全復旧には数日〜数週間を要することも多く、その間の業務停止損失は無視できません。バックアップはあくまで「最後の砦」であり、侵入を防ぐ・早期検知する対策との組み合わせが重要です。
Q3. 中小企業は大企業と比べてリスクは低いですか?
A. むしろ中小企業は相対的にリスクが高い場合があります。大企業に比べてセキュリティ対策が手薄なため標的にされやすく、また大企業サプライチェーンの入口として意図的に狙われるケースも増えています。身代金の金額は企業規模に合わせて調整されるため、「中小企業だから身代金は少額だ」とも言えません。
Q4. ランサムウェア感染が疑われた場合、最初にすべき行動は何ですか?
A. まず感染が疑われる端末・サーバーをネットワークから切り離す(LANケーブルを抜く、Wi-FiをOFFにする)ことが最優先です。その後、IT部門・経営幹部への報告、インシデント対応専門ベンダーへの連絡を行ってください。感染した端末を再起動したり、自己対応で復元を試みたりすると、フォレンジック証拠が失われる場合があります。
Q5. セキュリティ対策にどれくらいの予算をかければいいですか?
A. 一般的な目安として、ITシステム関連予算全体の15〜20%をセキュリティに充てることが推奨されています(Gartner)。ただし業種・規模・取り扱うデータの機密性によって大きく異なります。まず脆弱性診断でリスクを可視化し、優先順位をつけた投資計画を立てることをお勧めします。
Q6. ランサムウェアに感染した場合、報告義務はありますか?
A. 個人情報保護法に基づき、個人情報が漏洩した場合は個人情報保護委員会への報告(速報:3〜5日以内、確報:30日以内)および本人通知が義務化されています(2022年4月施行)。また、上場企業は有価証券報告書や適時開示でのサイバーインシデント開示も求められます。業種によっては金融庁・経済産業省等への報告義務もあります。
まとめ
ランサムウェアは4年連続でIPA 10大脅威の首位に立ち続けており、その手口は「VPN脆弱性→侵入→横展開→データ窃取→全社暗号化」というプロフェッショナルなサプライチェーンで実行されるようになっています。
侵入経路TOP5(VPN脆弱性・フィッシング・RDP・サプライチェーン・Webアプリ脆弱性)への対応として、企業が今すぐ着手すべき5つの対策は以下のとおりです。
- パッチ管理の強化(特にVPN・境界機器)
- MFAの全社展開
- EDRの導入と適切な運用体制
- 3-2-1-1バックアップとリストアテスト
- 社員教育と標的型メール訓練
これらに加えて、脆弱性診断・ペネトレーションテストで定期的に対策の実効性を検証し、SOCによる継続的な監視体制を整備することが、ランサムウェア被害を最小化するための総合的なアプローチです。
AEVUSでは、ペネトレーションテスト・SOCサービス・標的型メール訓練など、ランサムウェア対策に必要なサービスをワンストップで提供しています。まずはリスクアセスメントからご相談ください。
