ランサム被害が止まらない理由と見えない侵入者への企業防衛実務

侵入型ランサム11年連続1位の背景

ランサムウェア被害は、もはや「パソコンが暗号化された」という単純な話ではありません。いま企業を揺るがしているのは、攻撃者が気づかれないまま社内ネットワークへ入り込み、認証情報を奪い、重要データを持ち出し、最後に暗号化や暴露脅迫で経営を追い込む「侵入型」の攻撃です。IPAは2026年1月公表の「情報セキュリティ10大脅威 2026」で、組織向け脅威の1位に「ランサム攻撃による被害」を挙げました。しかも11年連続です。なぜ被害は止まらないのか。この記事では、見えにくい侵入の実態、企業被害が深刻化する構造、経営として優先すべき防衛策を整理します。

「見えない侵入者」は何をしているのか

ランサムウェアは侵入後の最終局面になった

JPCERT/CCは2025年末公開のFAQで、企業や組織の内部ネットワークに攻撃者が侵入した後、情報窃取や暗号化を行うタイプを「侵入型ランサムウェア攻撃」と整理しています。重要なのは、暗号化が攻撃の出発点ではなく、最終局面だという点です。攻撃者は最初に外部公開サーバー、VPN、メール、認証基盤、委託先接続などの弱点から足場をつくり、その後に権限昇格や横展開を進めます。現場が被害に気づくころには、すでに内部構造をかなり把握されていることが珍しくありません。

この「見えない侵入」を裏づけるのが、各国の調査結果です。CISAとFBIは2025年3月のMedusaランサムウェアに関する共同勧告で、同グループが300超の重要インフラ組織に被害を与え、侵入手口としてフィッシングと未修正の脆弱性悪用を挙げました。Verizonの2025年版DBIRでも、脆弱性悪用は主要な初期侵入経路であり、ランサムウェアは世界全体の44%の侵害事案で確認されています。つまり、いまのランサム攻撃は「マルウェア感染」というより、「侵入オペレーション」に近いのです。

なぜ侵入に気づきにくいのか

見えにくさの理由は、攻撃者が正規ツールや通常通信に紛れるからです。CISAの#StopRansomware Guideは、RMMなどの遠隔管理ツールの悪用、認証情報の不正利用、PowerShellの悪用、ネットワーク分割不足を典型的な問題として挙げています。正規の管理ツールを使われると、監視側は「管理者の通常作業」と「攻撃者の不正操作」を見分けにくくなります。

IBMの2026年版X-Force Threat Intelligence Indexも、公開アプリケーションの悪用を起点とする攻撃が前年比44%増えたと指摘しました。しかも、サプライチェーンや第三者経由の侵害は2020年からほぼ4倍に増えています。これは、防御対象が自社の端末やサーバーだけでは足りないことを意味します。取引先接続、クラウド設定、委託先アカウント、外部公開資産まで含めて初めて、侵入口の全体像が見えてきます。

企業被害が深刻化する構造

被害の本質は「暗号化」より事業停止と情報暴露

ランサム被害が経営課題になった理由は、暗号化だけでなく、情報漏えいと事業停止が同時に起きるからです。IPAは以前から「二重の脅迫」を警告しており、近年は暗号化前に窃取したデータの公開をちらつかせる手口が主流になっています。最近では暗号化を伴わず、暴露脅迫だけで金銭を迫るケースも増えました。業務継続、法的対応、顧客説明、広報対応、委託元との関係修復が一気に重なるため、被害はIT部門だけでは閉じません。

日本国内でもこの傾向は鮮明です。警察庁が2026年3月に公表した2025年の脅威情勢を受けた報道では、ランサム被害は226件と前年から増え、6割を中小企業が占めました。被害は件数だけの問題ではありません。復旧の長期化や高額化も進んでいます。Sophosの2025年調査では、ランサム被害企業の平均復旧コストは150万ドル、身代金支払いの中央値は100万ドルでした。支払っても元通りになる保証はなく、むしろ漏えい済みデータの公開や再攻撃の火種を残すことがあります。

中小企業や委託先が狙われやすい理由

「大企業だけの話だ」と考えるのは危険です。VerizonのDBIRは、ランサムウェアが特に中小規模組織で高い比率を占めると指摘しています。理由は明快で、攻撃者から見ると防御の薄い組織の方が侵入しやすく、しかも取引網を通じて上位企業へ圧力をかけやすいからです。警察庁の集計でも中小企業比率が高く、被害の裾野は確実に広がっています。

もう一つの盲点が「人手不足」と「可視化不足」です。Sophosの2025年調査では、被害企業の63%が人材やスキル不足を要因として挙げました。資産台帳が古い、外部公開サーバーの棚卸しが甘い、退職者アカウントが残る、委託先接続の権限が広すぎる、といった地味なほころびが侵入口になります。攻撃者は必ずしも高度なゼロデイだけを使うわけではなく、見落とされた設定不備と放置された脆弱性を丁寧に探してきます。

バックアップ依存を超えるAI時代の防衛設計

対策で最も多い誤解は、「バックアップがあれば十分」という考え方です。オフラインバックアップは不可欠ですが、それだけでは侵入を防げません。CISAのガイドが示す通り、資産の棚卸し、外部公開機器とVPNの迅速なパッチ適用、フィッシング耐性のあるMFA、ネットワーク分割、RMMの監査、インシデント対応手順の訓練まで揃って初めて被害を抑えられます。バックアップは復旧策であり、予防策の代わりではありません。

今後はAIの普及で、攻撃側の偵察、マルウェア改良、標的選定がさらに効率化する可能性があります。IBMは2026年、AI利用で基本的なセキュリティの穴がより高速に突かれる局面に入ったと警告しました。だからこそ企業は、個別製品の導入数ではなく、「自社の外から何が見えているか」「侵入後の横展開をどこで止めるか」という設計思想で守りを組み直す必要があります。ランサム対策は、IT投資の一項目ではなく、事業継続計画そのものになっています。

侵入口可視化とMFAで重心移す企業防衛

ランサム被害が止まらないのは、攻撃が暗号化中心から侵入中心へ変わったからです。脆弱性悪用、認証情報の窃取、委託先経由の侵入、情報窃取と暴露脅迫が組み合わさり、被害は業務停止と信用低下へ直結します。企業が優先すべきは、侵入口の可視化、MFAとパッチ運用、ネットワーク分割、オフラインバックアップ、そして初動訓練です。見えない侵入者に対抗するには、感染後の復旧力だけでなく、侵入前と侵入直後を抑える設計へ重心を移すことが欠かせません。

参考資料:

• 情報セキュリティ10大脅威 2026
• サイバー空間をめぐる脅威の情勢等｜警察庁Webサイト
• ランサム被害増加、226件＝フィッシング件数も過去最多に―2025年サイバー情勢・警察庁
• #StopRansomware: Medusa Ransomware | CISA
• #StopRansomware Guide | CISA
• Verizon’s 2025 Data Breach Investigations Report: Alarming surge in cyberattacks through third-parties
• IBM 2026 X-Force Threat Index: AI-Driven Attacks are Escalating as Basic Security Gaps Leave Enterprises Exposed
• The State of Ransomware 2025 | Sophos
• 侵入型ランサムウェア攻撃を受けたら読むFAQ | JPCERT-CC
• JSAC2026 -Day 2- - JPCERT-CC Eyes