こんにちは。ネルフ・エンタープライズ、技術担当の「H」です。
ランサムウェア事件の日本のニュース、最近ほんとに増えていて不安になりますよね。被害事例が次々に出てくるし、攻撃傾向も二重脅迫が当たり前になってきて、しかも侵入経路がVPNやRDPといった「社内の入口」から来るケースが多いのがやっかいです。
この記事では、警察庁統計で見える被害件数の流れ、業界別の特徴、LockBitのような攻撃グループの動き、そして対策の優先順位(バックアップと復旧、MFA、ゼロトラスト、サプライチェーン、報告義務)まで、あなたが状況整理できるように一気にまとめます。
- 日本で増える被害件数と傾向のつかみ方
- 被害事例から見る業界別の弱点
- VPNやRDP、二重脅迫など手口の全体像
- 対策の優先順位と報告義務のポイント
ランサムウェア事件の日本で何が起きた
まずは現状把握です。事件が増えている理由は「たまたま運が悪い」ではなく、侵入経路の偏り、脅迫手口の進化、そしてサプライチェーンでの波及が重なっているからです。ここを押さえると、対策の打ち手がぶれにくくなります。ここでのゴールは、あなたの頭の中に「攻撃の流れ」と「自社で起きたらどこが止まるか」を具体的に描ける状態にすることです。
被害件数と警察庁統計
私が国内案件を見ていて実感するのは、ランサムウェアが「一部の大企業の話」では完全になくなったことです。公表ベースでも、国内の法人・団体を狙った被害報告は高水準が続いていて、2024年〜2025年にかけて半期ごとに100件を超える流れが定着しています。2025年上半期は116件と、半期として過去最多レベルという数字も出ています。
この「半期で100件超え」という水準って、現場目線だとかなり重いです。なぜなら、1件あたりの復旧が数日〜数週間、場合によっては数か月に及ぶこともあるからです。つまり件数が増えるほど、支援会社・フォレンジック・弁護士・保険会社など、周辺の対応リソースも取り合いになります。被害企業側は「復旧そのもの」だけじゃなくて、調査・説明・再発防止の計画作りまで同時進行になるので、内部の負担が跳ね上がるんですよね。ここ、気になりますよね。
統計を見るときのコツ
ただし、この種の数字はあくまで一般的な目安です。公表されないケース、調査中で分類が変わるケース、届出の有無で統計に乗らないケースもあります。統計を読むときは「件数」だけでなく、同じ資料の中にある感染経路、規模別内訳、業種別内訳も一緒に見るのがコツです。件数の上下より、どういう入口が狙われ、どの層が多くやられているかのほうが、対策優先度に直結します。
一次情報の参照(発リンクは1本のみ)
数字の根拠は、必ず一次情報を見てください。統計の原典としては警察庁の資料が基本になります。たとえば2025年上半期の116件という記載は、警察庁が公表している資料で確認できます(出典:警察庁「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」)。
現場感としての補足
件数の増加以上に厄介なのは「復旧にかかる時間」と「情報公開対応の負担」です。暗号化だけでなく、情報窃取や横展開がセットになっていると、復旧が終わっても調査と説明が終わりません。さらに、再発防止のための設計変更(ネットワーク分割やID管理の改修)まで一気に必要になるので、IT部門だけで抱えるのは難しいケースが多いです。
統計を自社の判断に落とすチェック
- 入口:VPNやRDPなど外部公開している経路が洗い出せているか
- 守る対象:暗号化されると止まる業務・システムが特定できているか
- 復旧:復旧の目標時間(RTO/RPOの考え方)が社内で共有されているか
- 連絡:初動で誰に何を報告するかが決まっているか
被害事例と業界別特徴
日本の被害事例は、物流(港湾・通販物流)、製造(部品サプライヤー含む)、医療(病院の電子カルテ)、教育(大学のネットワーク遮断)、メディア・娯楽(配信サービス停止)など、かなり幅広いです。特に目立つのは、「止まると社会・事業への影響が大きいところ」ほど狙われやすい点です。攻撃者はビジネスです。止めたときに痛い組織ほど、交渉のテーブルに引きずり出しやすい、という冷たい理屈が働きます。
物流・製造は「波及」が武器にされる
たとえば物流は、システムが止まると現場が物理的に止まります。コンテナ搬出入、出荷指示、倉庫のピッキング、配送ラベル、返品処理。これが止まると、取引先や消費者にまで影響が広がって、復旧の優先度が一気に上がります。製造も同じで、生産計画や在庫、工場の制御系やMES/ERPが絡むと、再起動して終わりになりません。復旧後の整合性確認や、失われたログ・履歴の再構築まで必要で、時間を食います。
医療・教育は「止められない業務」が多い
医療は、電子カルテや会計が止まると紙運用に切り替えるしかないですが、紙運用には限界があります。診療記録の整合性、薬剤情報、検査、予約、紹介状、会計。どこかが欠けると事故につながりかねないので、復旧は慎重になります。教育も、アカウント管理の複雑さが重くて、ネットワーク遮断の影響が授業・研究・事務に直撃します。しかもセキュリティ人材が潤沢とは限らないので、外部支援が必要になりやすいです。
業界別に起きやすい痛点
- 製造:横展開で工場まで巻き込むと復旧が長期化しやすい
- 医療:止められない業務が多く、紙運用の限界が早い
- 物流:SPOFが露呈すると取引先・顧客へ波及しやすい
- 教育:アカウント管理の複雑さと人材不足がボトルネック
共通する「やられ方」
業界が違っても、被害の共通点はあります。入口はVPN/RDP/メールなど、どこかの認証や脆弱性から入られる。次に内部で権限昇格して横移動。最後に暗号化(+情報窃取)。この流れです。だから私は、事例を読むときは「社名」よりも、侵入経路・横移動の手口・バックアップ破壊の有無を見ます。ここが分かると、自社の穴に当てはめて改善しやすいんですよ。
豆知識
「公表された事例」は氷山の一角になりがちです。取引先との関係、風評、調査中など理由はいろいろで、表に出ないケースもあります。だからこそ、平時の備えは“周りがどうか”より“自社の現実”に合わせるのが大事です。
攻撃傾向は二重脅迫
最近の主流は標的型で、侵入してから内部情報を抜き、最後に暗号化して脅す流れです。ここで効いてくるのが二重脅迫で、「復号鍵が欲しいなら払え」だけじゃなく、「払わないなら盗んだ情報を公開する」と揺さぶります。これ、心理的にも経営的にも効くんですよね。止まっている間に売上は落ちるし、情報公開リスクがあると取引先・顧客対応も必要になる。被害者側のリソースを削りに来ます。
二重脅迫の「本当の怖さ」
二重脅迫の怖さは、バックアップがあって復旧できても、情報公開リスクが残る点です。つまり、復旧だけの勝負じゃなく、漏えいの可能性評価と対外説明がセットになります。現場としては、ここで法務・広報・経営判断が一気に必要になります。さらに厄介なのが、情報公開の“匂わせ”を使って交渉を有利にすること。サンプルとして一部ファイルを提示してきたり、顧客リストっぽいものをちらつかせてきたりします。
交渉の前にやるべき初動
もし二重脅迫が疑われるなら、まずやることは「交渉」より「状況の確定」です。ネットワーク遮断、影響範囲の切り分け、ログ保全、バックアップの安全確認。ここを押さえないまま焦って動くと、証拠が消えたり、復旧計画が崩れたりします。私の感覚だと、初動の48時間で“回復できる組織”と“長期化する組織”が分かれがちです。
身代金の支払いは「払えば終わる」ではないです。復号が不完全だったり、再度の要求が出たり、漏えいが止まらない可能性もあります。さらに、送金先の属性によっては法務リスクも絡みます。最終的な判断は、顧問弁護士や専門家に相談して決めるのが安全です。
読者のあなたが今できる現実的な備え
二重脅迫に強くなるには、技術だけじゃなく「意思決定の型」を作っておくのが効きます。誰が指揮を取るのか、支払い方針はどうするのか、対外発表は誰が判断するのか。これを平時に決めておくだけで、被害時の混乱が減ります。現場としては、“決める人が決められる状態”を作るのがいちばんの防御だったりします。
侵入経路はVPNやRDP
国内では、侵入経路としてVPN機器やRDP(リモートデスクトップ)周りが繰り返し悪用されます。テレワークの普及で外部公開が増えた一方、パッチ適用の遅れ、MFA未導入、弱いパスワード、不要な公開設定などが重なると、攻撃者にとっては入口が見えやすいんですよね。あなたの会社でも「昔からあるVPN」「一部部署だけ使うRDP」「取引先のために例外で開けてるポート」みたいなもの、心当たりあるかもです。
よくある“やられパターン”
侵入はだいたい次のどれかです。脆弱性が放置されたVPN装置、推測しやすいパスワードのRDP、あるいはメールで奪われたID/パスワードの使い回し。侵入後は、正規ツール(PowerShellなど)を使って痕跡を薄くしながら横展開されがちです。ゼロデイや検知回避も絡むので、「ウイルス対策ソフトを入れてるから安心」で止まらないのが現実です。
入口対策は“面で守る”が基本
VPNやRDPは、ひとつの製品を変えれば終わり、じゃないです。私はいつも「入口は面で守る」と言っています。具体的には、MFA、地理的制限、アクセス元IP制限、不要公開の停止、アカウントの棚卸し、特権IDの分離、ログ監視。この組み合わせです。1個だけやっても抜かれるときは抜かれますが、複数の壁を重ねると、攻撃者はコスパが悪くなって別の標的へ移る可能性が上がります。
- MFA:VPN・リモート管理・メール・クラウド管理者に入っているか
- 公開範囲:必要なものだけ公開し、例外設定が棚卸しされているか
- 更新:装置・OS・ミドルウェアのパッチ適用が運用化されているか
- 監視:失敗ログインの急増や深夜帯の管理操作を検知できるか
理解を深めたい人向け(内部リンク)
このあたりの攻撃の流れは、当社ブログでも噛み砕いています。必要ならあわせて読んでおくと理解が早いです。
攻撃グループはLockBit
日本でも関与が指摘されがちな代表格がLockBitです。RaaS(Ransomware-as-a-Service)型で、開発側と実行側(アフィリエイト)が分業できるため、攻撃の規模と速度が上がりやすい構造になっています。日本語の脅迫文が用意される例も増えていて、「日本の被害者を想定した運用」を感じます。
グループ名を追いすぎないほうがいい理由
一方で、攻撃グループは入れ替わりも激しいので、特定の名前だけ追いかけてもキリがないです。私は現場で、攻撃者名よりも「侵入〜横展開〜暗号化」のオペレーションを重視します。なぜなら、グループ名が変わっても、使う道具や動きが似ることが多いからです。たとえば侵入後にAD(Active Directory)を押さえて権限を取る、バックアップを探して消す、ファイルサーバを暗号化する、そして二重脅迫。ここは共通しがちです。
LockBitでよく聞く“現場の困りごと”
LockBitに限らずですが、被害者が困るのは次の3つです。1つ目は「暗号化範囲が広い」こと。2つ目は「復旧に必要な情報が欠ける」こと(設定やドキュメントも巻き込まれる)。3つ目は「漏えいの可能性評価」が長引くこと。特に3つ目は、調査のためにログが必要なのに、そのログ基盤自体が影響を受けていることもあります。だからこそ、平時にログの退避や権限分離をしておくのが大事です。
私がよく勧める視点
「グループ名」より「共通パターン」に備えるのが効きます。入口を固める、横展開を止める、バックアップを守る、初動手順を決める。ここが固まっていれば、相手が誰でも被害を小さくできます。
ランサムウェア事件の日本で必要な対策
次は具体策です。ポイントは「全部やる」ではなく、被害を最小化する順に積み上げること。特に日本の組織は、VPNや委託先など入口が複数になりやすいので、優先順位を間違えると投資しても効果が出にくいです。ここでは、私が現場で「これがないと詰む」と感じる順に、実務として落とし込める形で話します。
対策はバックアップと復旧
まず最優先はバックアップです。ここが弱いと、暗号化された瞬間に選択肢が極端に減ります。理想は、定期バックアップに加えてオフライン保管(ネットワークから切り離す)や、バックアップ先の権限分離まで含めて守ることです。特に最近は、攻撃者が「バックアップを先に消す」「スナップショットを潰す」動きを取ることが多いので、バックアップは“取る”だけじゃなく“守る”必要があります。
復旧は技術より運用が詰まりやすい
加えて重要なのが「復旧訓練」です。バックアップがあっても、戻す手順が曖昧だと復旧が遅れます。復旧に時間がかかるほど、業務停止損失や信用低下が膨らみます。さらに言うと、復旧の詰まりポイントは技術より運用にあります。たとえば「誰が復旧作業の優先順位を決めるのか」「業務側がどこから再開したいのか」「復旧後の動作確認の責任者は誰か」みたいな話です。ここが決まっていないと、復旧作業が“作業”で止まってしまうんですよね。
バックアップの現実的チェック
- 重要データの世代管理(何世代残すか)が決まっている
- オフラインまたは別系統の保管先がある
- バックアップ先の削除権限が厳しく分離されている
- 年に一度でも復旧手順のリハーサルをしている
“使えるバックアップ”にするためのコツ
私がよく見るのは「バックアップはあるけど、いざ戻したらアプリが動かない」パターンです。OSは戻るけどDBが整合しない、ライセンスや鍵が戻らない、DNSや証明書で詰まる。こういうのを防ぐには、復旧対象をシステム単位で定義して、依存関係も含めてリハーサルするのが一番です。小さくてもいいので、年1回でも“本番想定”をやる。これだけで成功率が跳ね上がります。
注意
バックアップの設計や保管方法は、業種・契約・個人情報の取り扱いで最適解が変わります。正確な要件は公式情報や契約条件を確認し、最終的な判断は専門家にご相談ください。
MFAとゼロトラスト運用
入口対策の主役はMFAです。VPNや管理画面、メール、クラウド管理者など、「乗っ取られたら終わる」ポイントにまず入れます。次に、権限最小化とセグメント分割で横展開を止める。これをまとめて語るときに便利なのがゼロトラストです。ゼロトラストって言葉だけが先行しがちですが、要は「社内だから安全」を捨てて、都度検証する運用に寄せることです。
MFAは“重要ポイントから段階導入”が現実的
MFAを全社一斉に入れるのが理想だけど、現実には業務影響が出たり、古いシステムが対応してなかったりします。だから私は、影響が大きい順に入れます。具体的には、クラウド管理者、メール、VPN、リモート管理、そして業務システム。ここを押さえるだけで、攻撃者が“最初の足場”を作りにくくなります。
ゼロトラストは「運用の型」
ゼロトラストは「導入したら完了」ではなく、運用の型です。端末の健全性チェック、アクセスの継続検証、ログの集約とアラート、特権IDの分離など、やることは地味。でも地味なほど効きます。特にログは重要で、被害時の調査の生命線になります。ログがないと、どこまで入られたか分からないし、どこまで漏えいしたかも判断しづらい。だから、普段から「取る」「守る」「見られる形にする」が大事です。
MFAを「全社一斉」で進めようとして止まるケースが多いです。私は、まずはVPN・管理者・メールから入れて、次に重要業務へ広げる進め方をよく取ります。段階導入のほうが結果的に早いですよ。
小さく始めるための具体例
「ゼロトラストをやれ」と言われても、何から?ってなりますよね。私がよくやるスタート地点は、(1)特権IDの分離、(2)端末の管理(OS更新とEDRの導入)、(3)外部アクセスの条件付け(MFA+端末条件+場所制限)、(4)重要サーバのセグメント分割、です。これだけで横展開の難易度が上がるので、暗号化まで到達しにくくなります。
ゼロトラストの設計は、ネットワーク構成や業務要件に強く依存します。断定的に「これが正解」と言い切れるものではないので、最終的な設計・投資判断は専門家にご相談ください。
法制度と報告義務対応
ランサムウェアは技術だけじゃなく、法務・対外対応が勝負になります。個人情報の漏えい、または漏えいの可能性がある場合、個人情報保護法に基づく報告や本人通知が必要になるケースがあります。業種によっては監督官庁への報告も絡みます。ここは「知らなかった」で済まない場面が出るので、平時に“最低限の型”だけでも用意しておくのが安全です。
まず決めるのは「事実確認の流れ」
被害直後って情報が散らばります。現場は復旧したい、経営は判断したい、広報は問い合わせが怖い。だから私はいつも、最初に「事実確認の流れ」を固定します。具体的には、(1)影響範囲の一次切り分け、(2)ログ保全、(3)漏えい可能性の評価、(4)必要な報告・連絡先の洗い出し、(5)対外説明のドラフト準備。この順です。これがあるだけで、現場の混乱が減ります。
報告や通知は“期限が絡む”から事前準備が効く
報告義務は、期限や提出方法が絡むので後回しにすると詰みやすいです。私は、平時に「誰が法務判断を取りまとめるか」「個人情報の管理台帳があるか」「関係者への通知文テンプレがあるか」を整えることを勧めています。テンプレがあるだけで、スピードが段違いになります。
- いつ、どのシステムで、どんな異常が起きたか(時系列)
- 停止した業務と影響範囲(顧客影響の有無)
- 個人情報・機密情報が含まれる可能性
- 初動対応(遮断、隔離、保全、復旧)の実施内容
被害時に最低限そろえる情報
ここは断定で語りすぎると危険なので、私はいつもこう伝えています。「早めに事実を切り分けて、必要な窓口に相談する」。判断が遅れると、後からの修正コストが跳ね上がります。
正確な要件や期限、提出方法は変更されることもあります。必ず公式サイトをご確認ください。最終的な判断は、顧問弁護士など専門家にご相談ください。
身代金の支払いには、制裁対象との関係や送金リスクなど、国際的な論点が絡む場合があります。支払いを検討する局面こそ、法務と外部専門家の同席が重要です。
サプライチェーン対策と委託先
日本の被害事例で増えているのが、委託先や関連会社を起点に波及するパターンです。自社が固くても、委託先の認証が弱かったり、ファイル共有の権限が広すぎたりすると、そこから踏み台にされます。ここ、気になりますよね。というのも、サプライチェーンって「便利さ」の上に成り立っているので、接続が増えやすいからです。
“委託先任せ”が危険な理由
委託先は悪気がなくても、リソース不足でパッチが遅れたり、MFAが未導入だったり、ログの保全ができていなかったりします。そこを突破されると、あなたの会社への侵入経路として利用されます。さらに怖いのが、委託先のシステム障害がそのまま自社の業務停止につながるケースです。物流や会計、受発注、コールセンター、製造委託など、依存が大きいほど影響も大きくなります。
対策は「契約」と「技術」の両輪
対策は「委託先に丸投げしない」こと。契約でセキュリティ要件を明文化し、最低限の基準(MFA、パッチ管理、ログ保全、インシデント連絡)を揃える。接続範囲と権限を最小化する。これだけで波及の確率が落ちます。加えて、定期的な棚卸し(接続先・アカウント・権限)をやる。これが地味に効きます。
委託先チェックの例(横スクロール)
| 観点 | 最低ライン | 確認方法の例 | 追加でやると強い |
|---|---|---|---|
| 認証 | MFA必須 | 対象システム一覧と設定証跡 | 条件付きアクセス(場所・端末) |
| パッチ | 期限を決めて適用 | 月次レポート・運用手順 | 脆弱性スキャンの共有 |
| 権限 | 最小権限 | アカウント棚卸し結果 | 特権IDの分離・一時権限 |
| 連絡 | 初動連絡のSLA | 連絡フロー・連絡先の更新履歴 | 24/365の緊急窓口 |
| ログ | 一定期間の保全 | 保全方針・保管場所 | 自社SIEMへの転送 |
委託先管理は、契約や責任分界点、個人情報の取り扱いで設計が変わります。無理に一律ルールにせず、重要度に応じて段階を分けるのが現実的です。最終的な取り決めは、法務・セキュリティの専門家と相談して進めてください。
ランサムウェア事件の日本まとめ
ランサムウェア事件の日本は、「いつか来る」じゃなくて「いつでも起きる」フェーズに入っています。だからこそ、怖がらせたいわけじゃなくて、備えの順番を間違えないでほしいんですよね。対策って、完璧を目指すと止まるんです。だから私は、まず“効くところ”から積み上げるのを推します。
私が勧める優先順位(現実解)
私のおすすめの順番はシンプルで、バックアップと復旧、MFA、横展開を止める設計(ゼロトラスト寄り)、初動手順と報告体制、そしてサプライチェーンの最小権限化です。これを積み上げるだけで、被害の「最悪」をかなり避けやすくなります。
「検知できた」より「止められた」を目標に
セキュリティって、検知がゴールになりがちですが、ランサムウェアは検知しても止められないと被害が出ます。だから私は、“横展開させない”と“復旧できる”を重視します。入口で完全に止められなくても、横展開を止められれば暗号化範囲は小さくなる。暗号化されても復旧できれば、事業停止は短くなる。この考え方に変えると、投資の打ち手が整理しやすいです。
いざという時の迷いを減らす
もし実際に疑わしい状況が起きたら、初動で迷いがちです。電源を切る・切らない、ネットワーク遮断、証拠保全など、判断の型を先に持っておくのが大事です。必要なら、当社ブログの整理記事も参考にしてください。
最後に:読者のあなたへ
この記事だけで「何から手を付けるべきか」が整理できたならOKです。完璧を目指さず、まずはMFAとバックアップの“実効性”を上げるところから始めるのが、いちばん現実的で効きます。
最後にもう一度。この記事の内容や数値は一般的な目安で、状況や法令改正、組織の体制で最適解は変わります。正確な情報は公式サイトをご確認ください。最終的な判断は、弁護士やセキュリティの専門家にご相談ください。
