はじめに

ランサムウェアによるサイバー攻撃が、日本の大手企業を次々と襲っています。2025年にはアサヒグループホールディングスやアスクルが相次いで被害に遭い、基幹システムの停止や情報流出といった深刻な事態に発展しました。

多くの被害企業は「犯罪者に金銭を支払うべきではない」という道義的な理由から、身代金交渉を拒否する姿勢を取っています。しかし、セキュリティの専門家からは「交渉自体は行うべきだ」という意見も出ています。本記事では、ランサムウェア攻撃に対する企業の最適な対応について考察します。

相次ぐ大手企業への攻撃

アサヒグループの被害

2025年9月下旬、アサヒグループホールディングスの国内グループ会社で基幹システムを中心に大規模な障害が発生しました。受注・出荷業務など複数の機能が停止し、事業活動に深刻な影響が及びました。

この攻撃については、ロシアを拠点とするランサムウェア集団「Qilin」が犯行声明を出しています。Qilinは近年活動を活発化させている攻撃グループで、世界各地の企業や組織を標的にしています。

アスクルの被害

2025年10月19日、アスクルがランサムウェア攻撃によるシステム障害を公表しました。調査の結果、初期侵入は同年6月5日で、ランサムウェアが実際に起動するまでに4か月以上も潜伏していたことが判明しています。

ECと物流の根幹となる在庫・出荷システム（WMS）が稼働不能となり、ASKUL・ソロエルアリーナ・LOHACOの受注が約72時間にわたって停止しました。無印良品やロフトなど、アスクルの物流を利用する企業にも影響が波及し、サプライチェーン全体に被害が広がりました。

潜伏型攻撃の脅威

両社の事例に共通するのは、攻撃者が長期間にわたってシステム内に潜伏し、十分な準備を行ったうえで攻撃を実行している点です。セキュリティ対策を講じていた企業であっても、数か月間も気づかれずに侵入を許してしまう現実が浮き彫りになりました。

「交渉拒否」は本当に正しいのか

日本企業の身代金支払い率は世界最低

日本企業の身代金支払い率は、調査対象15か国中で最も低い18%にとどまっています。この傾向は3年連続で減少しており、「犯罪組織に金銭を支払うべきではない」という倫理観が強く反映されています。

しかし、身代金を支払わない場合、システム復旧までに約2か月を要するケースもあり、その間の事業損失は甚大なものになります。「払わない」という判断が、必ずしも最善の結果をもたらすとは限りません。

専門家が「交渉すべき」と主張する理由

イスラエルのサイバーセキュリティ企業シグニア社は、「実際に身代金を支払うかどうかに関わらず、交渉自体は行うべきだ」と指摘しています。その理由は主に3つあります。

第一に、時間の確保です。攻撃者との交渉を続けることで、並行してシステムの復旧作業やフォレンジック調査を進める時間を稼ぐことができます。

第二に、エスカレーションの防止です。被害企業が無反応だと、攻撃者は窃取したデータの公開や追加攻撃といった、より過激な行動に出る可能性があります。交渉に応じることで、事態の深刻化を防ぐ効果が期待できます。

第三に、情報収集です。交渉の過程で、攻撃者の意図や窃取されたデータの範囲など、被害状況を把握するための重要な情報を得られる場合があります。

慎重な立場の専門家も

一方で、交渉自体にもリスクがあるとする専門家もいます。弁護士の立場からは、「交渉に応じること自体が支払いに前向きであるというシグナルを送ってしまう」という懸念が示されています。JPCERT/CC（一般社団法人JPCERTコーディネーションセンター）も、原則として交渉は推奨しない立場を取っています。

二重恐喝時代の企業対応

二重恐喝とは何か

現在のランサムウェア攻撃は、単なるデータの暗号化にとどまりません。「二重恐喝」と呼ばれる手法が主流になっており、攻撃者はデータを暗号化する前に機密情報を外部に持ち出し、「身代金を支払わなければ盗んだ情報をインターネット上に公開する」と脅迫します。

この手法により、たとえバックアップからシステムを復旧できたとしても、情報漏洩の脅威が残るという厄介な状況が生まれます。

事前に備えるべき対策

ランサムウェア攻撃に対して企業が取るべき対策は、大きく3つの段階に分けられます。

予防段階では、ネットワークの分離・セグメント化を徹底し、侵入された場合でも被害の拡大を防ぐ設計が重要です。VPN機器やリモートアクセス環境の脆弱性管理も欠かせません。

検知段階では、EDR（Endpoint Detection and Response）などの監視ツールを導入し、長期間の潜伏活動を早期に発見する体制を構築する必要があります。アスクルの事例が示すように、数か月にわたる潜伏を見抜けるかどうかが被害の大小を左右します。

復旧段階では、オフラインで保管されたバックアップの確保が不可欠です。ネットワークに接続された状態のバックアップは、攻撃者によって暗号化されるリスクがあります。定期的なバックアップの検証と復旧訓練も重要な取り組みです。

まとめ

ランサムウェア被害は、もはや他人事ではありません。「交渉しない」という原則論だけでは、事業継続を守りきれない時代に入っています。

企業に求められるのは、交渉の是非を事前にシミュレーションしておくこと、そしてインシデント発生時の対応手順を明確に定めておくことです。身代金を支払うかどうかは最終的な経営判断ですが、交渉のテーブルにつくこと自体は戦術として検討すべきでしょう。何よりも重要なのは、攻撃を受ける前提で防御体制を構築し、定期的に検証し続けることです。

参考資料:

• アスクル株式会社のランサムウェア攻撃被害報告書を読み解く - トレンドマイクロ
• アサヒグループへのランサムウェア攻撃事例を記者会見から考察 - トレンドマイクロ
• ランサムウェアの身代金要求にどう対応する？支払いの是非と専門家が推奨する対処法 - LAC WATCH
• 日本ハッカー協会代表理事が解説、ランサムウエア被害に遭ったらどのように身代金交渉をするべきか - JBpress
• 世界で最もランサムウェア身代金を支払わない国ニッポン - Proofpoint
• アサヒとアスクルで相次いだサイバー攻撃の全体像 - コマースピック