「ランサムウェアってなんの意味?」
「最近よく聞くけど実際どんな脅威なの?」
「うちの会社も狙われる可能性があるの?」
このような疑問を持つ方は多いのではないでしょうか?
ランサムウェアとは、企業のデータを暗号化して使用不能にし、元に戻すことと引き換えに身代金を要求する悪質なプログラムです。
実は警察庁の発表によると、2024年の国内被害件数は222件と高水準で推移しており、その64%が中小企業という深刻な状況にあります。
本記事では、ランサムウェアの基本的な仕組みから最新の攻撃手法、実際の被害事例まで分かりやすく解説します。
理解することで、自社のセキュリティリスクを正しく把握でき、今後のビジネス継続に向けた適切な対策を検討できるでしょう。
分かりやすく解説しているので、ぜひお読みください。
目次
ランサムウェアとは?基本的な仕組み解説
ランサムウェアは身代金を意味する「Ransom(ランサム)」と「Software(ソフトウェア)」を組み合わせた造語です。
企業のパソコンやサーバーに侵入し、重要なデータを暗号化して使用不能にした後、元に戻すことと引き換えに金銭を要求する悪質なプログラムです。
以下では、ランサムウェアの基本的な特徴について詳しく解説しているので、ぜひ読んでみましょう。
ランサムウェアの定義と語源
ランサムウェアは、マルウェア(悪意のあるソフトウェア)の一種として分類されます。
実は1989年にフロッピーディスクを郵送する手口で初めて確認されて以来、30年以上の歴史を持つ古典的な攻撃手法です。
しかし近年では、インターネットの普及と暗号化技術の発達により、攻撃の規模と被害額が格段に拡大しています。
攻撃者は通常、仮想通貨での身代金支払いを要求するため、足跡を追跡されにくく、犯罪の立証が困難な特徴があります。
政府広報オンラインによると、身代金を支払っても復旧される保証はなく、継続的に恐喝される危険性も指摘されています。
引用元:政府広報オンライン
従来のマルウェアとの違い
従来のマルウェアは情報窃取や破壊活動が主な目的でしたが、ランサムウェアは明確に金銭獲得を目的としています。
一般的なコンピュータウイルスが単純にシステムを破壊するのに対し、ランサムウェアはデータを「人質」に取る戦略的な攻撃です。
例えば、スパイウェアが静かに情報を盗み出すのに対し、ランサムウェアは感染を被害者に明確に知らせ、恐怖心を煽って支払いを促します。
また、従来のウイルス対策ソフトでは検出が困難な場合が多く、警察庁の統計では被害組織の95%以上がウイルス対策ソフトを導入していたにも関わらず、70%以上で攻撃を検出できていませんでした。
このため、次世代型アンチウイルス(NGAV)やEDR(EndpointDetectionandResponse)といった高度なセキュリティ対策が必要とされています。
暗号化型とロック型の基本的な特徴
ランサムウェアには大きく分けて「暗号化型」と「ロック型」の2種類が存在します。
暗号化型ランサムウェアは、パソコン内のファイルを強固な暗号で変換し、専用の復号キーなしには元に戻せない状態にします。
現在主流となっているのがこの暗号化型で、文書ファイル、画像、データベースなど、あらゆる種類のファイルが対象となります。
一方、ロック型ランサムウェアは、パソコンの画面をロックして操作不能にする比較的単純な手法です。
ただし近年の攻撃では、ネットワーク経由で社内サーバーや外付けハードディスク、クラウドストレージまで暗号化する高度な手法が確認されています。
IBMの調査によると、ランサムウェアによるデータ侵害の平均コストは568万米ドル(約8億円)に達しており、身代金以外の復旧費用も含めると企業への打撃は甚大です。
引用元:IBM
これまでのサイバー攻撃との違い
近年のランサムウェア攻撃は、従来の単純な暗号化攻撃から大きく進化しています。
二重恐喝や三重恐喝といった新しい手法により、バックアップがあっても完全には防げない深刻な脅威となっています。
以下では、最新のランサムウェア攻撃手法について詳しく解説しているので、ぜひ読んでみましょう。
二重恐喝とノーウェアランサムの新しい手法
現在のランサムウェア攻撃で最も多いのが「二重恐喝(ダブルエクストーション)」と呼ばれる手法です。
警察庁の統計によると、2024年上半期の被害事例の約83%がこの二重恐喝型であることが確認されています。
この手法では、データを暗号化するだけでなく、事前に機密情報を窃取し「身代金を支払わなければデータを公開する」と脅迫します。
例えば、顧客情報、財務データ、従業員の個人情報、企業の内部文書などが流出の対象となり、企業の社会的信用に深刻な影響を与えます。
さらに最近では、ノーウェアランサムという新しい攻撃も確認されており、データを暗号化せずに窃取だけを行い、公開を脅迫する手法も登場しています。
引用元:警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」
標的型攻撃への変化
従来のランサムウェアは不特定多数にメールを送信する「ばらまき型」が主流でしたが、現在は特定企業を狙う「標的型攻撃」に変化しています。
攻撃者は事前に対象企業のネットワーク構成やセキュリティ対策を調査し、最も効果的な侵入方法を計画的に実行します。
実際に、VPN機器やリモートデスクトップの脆弱性を狙った攻撃が全体の86%を占めており、メール経由の攻撃はわずか1%に減少しています。
この変化により、従来のメール対策だけでは不十分となり、ネットワーク全体のセキュリティ強化が必要となっています。
特に製造業では、ランサムウェアによる業務影響を受けた割合が33.3%と高く、業種別の対策が重要な課題となっています。
RaaSの普及による攻撃の低コスト化
RaaS(RansomwareasaService)と呼ばれるサービス型ランサムウェアの普及により、技術的知識のない犯罪者でも攻撃を実行できるようになりました。
この仕組みでは、ランサムウェア開発者が攻撃ツールをパッケージ化して販売し、利用者は身代金の一部を開発者に分配します。
まさにクラウドサービスのような形態で犯罪ツールが提供されており、攻撃の敷居が大幅に下がっています。
生成AIの悪用も確認されており、2024年5月には非公式版のChatGPTを使ってランサムウェアを作成した事例で逮捕者も出ています。
警察庁は、このようなRaaSの普及が2024年の中小企業被害37%増加の主要因と分析しており、特に対策が手薄な中小企業が狙われやすい状況となっています。
引用元:日経xTECH「警察庁が2024年のサイバー犯罪統計を発表、中小企業のランサム被害件数は37%増」
ランサムウェアが注目される理由
ランサムウェアは現在、組織向け情報セキュリティ脅威として5年連続で第1位にランクされています。
警察庁の最新統計では、被害件数の高止まりと復旧の長期化・高額化が深刻な問題となっています。
以下では、なぜランサムウェアがこれほど注目されているのか詳しく解説しているので、ぜひ読んでみましょう。
2024年の被害件数222件という現実
警察庁の発表によると、2024年のランサムウェア被害報告件数は222件と、2023年に続き高水準で推移しています。
これは警察庁に報告があった件数のみであり、実際の被害件数はさらに多いと推測されています。
注目すべきは被害の長期化・高額化で、調査・復旧に1ヶ月以上かかった企業は44%から49%に増加しています。
また、1000万円以上の復旧費用がかかった企業は37%から50%に増加し、1億円以上の復旧費用を要した企業も確認されています。
このデータは、ランサムウェア攻撃が単なるIT問題ではなく、企業の事業継続に直結する経営リスクであることを示しています。
引用元:日経xTECH「警察庁が2024年のサイバー犯罪統計を発表、中小企業のランサム被害件数は37%増」
中小企業が64%を占める被害構造
ランサムウェア被害の特徴として、中小企業が全体の64%を占めるという深刻な状況があります。
従来は大企業が主なターゲットでしたが、セキュリティ対策が比較的手薄な中小企業に攻撃対象がシフトしています。
中小企業の被害件数は2023年から37%増加しており、一方で大企業の被害は減少傾向にあることが統計で明らかになっています。
その背景には、RaaS(RansomwareasaService)の普及により、技術力のない攻撃者でも簡単にランサムウェア攻撃を実行できるようになったことがあります。
日本ネットワークセキュリティ協会の調査では、2023年の平均被害金額が2,386万円に達しており、これは経済産業省発表の中小企業平均年間売上の10分の1に相当します。
VPN機器・リモートデスクトップ経由の増加
現在のランサムウェア攻撃で最も多い侵入経路は、VPN機器とリモートデスクトップ経由で全体の86%を占めています。
特にリモートデスクトップ経由の攻撃は、2023年の20%から2024年上半期には36%まで急増しており、警戒が必要な状況です。
この背景には、テレワークの普及によりVPN機器やリモートデスクトップの利用が増加したことがあります。
多くの企業で、VPN機器のファームウェア更新が適切に行われていなかったり、初期設定のパスワード(admin/admin等)が変更されていないケースが確認されています。
岡山県精神科医療センターの事例では、VPN機器の脆弱性対応が後回しにされていた結果、約4万人の患者情報が流出する深刻な被害が発生しました。
引用元:PC-Webzine「リモートデスクトップ経由の侵入に警戒を:2024年ランサムウェア被害の実態と対策」
ランサムウェアで過去に被害を出した組織を紹介
ランサムウェア攻撃は組織化された犯罪グループによって実行されており、それぞれが独自の戦略と手法を持っています。
これらの攻撃グループの特徴を理解することで、どのような脅威に備える必要があるかが明確になります。
以下では、主要な攻撃グループの活動実態について詳しく解説しているので、ぜひ読んでみましょう。
LockBitグループの国際的な摘発と復活
LockBitは2024年に最も活発だったランサムウェアグループとして知られ、世界中で数千件の攻撃を実行しています。
2024年2月にユーロポール主導の国際共同捜査により主要メンバーが摘発され、サーバーが閉鎖されましたが、わずか4日後には新たなサイトを設置して活動を再開しました。
米国司法省は同年5月、LockBitのリーダーがロシア人のドミトリー・コロシェフ(31歳)であることを特定し、起訴を発表しています。
国内企業では、アニエスベーやエンドレスなど複数の企業がLockBitによる攻撃を受けており、その被害は継続しています。
LockBitの特徴は、RaaS(RansomwareasaService)モデルを採用し、他の犯罪者にランサムウェアツールを提供することで攻撃の規模を拡大している点です。
引用元:セキュリティ対策Lab「ランサムウェアの事例【2024年】」
BlackSuitによる大手企業への攻撃
BlackSuitは、大手企業を標的とした高度なランサムウェア攻撃で知られる犯罪グループです。
2024年6月のKADOKAWA攻撃では、ニコニコ動画をはじめとする複数のサービスが長期間停止し、約25万4241人分の個人情報が流出しました。
この攻撃では、フィッシング攻撃により従業員のアカウント情報を盗み、社内ネットワークに侵入する高度な手法が使用されています。
BlackSuitは攻撃後もデータセンターのサーバーを遠隔から再起動して感染拡大を図るなど、執拗な攻撃を継続する特徴があります。
復旧には1ヶ月以上を要し、出版や映像事業にも広範囲な影響が及んだことから、単なるIT部門の問題を超えた経営課題となりました。
8BASEの製造業を狙った攻撃戦略
8BASEは、特に製造業を標的としたランサムウェア攻撃で注目される犯罪グループです。
2024年には、イセトーやニデックインスツルメンツ、太陽工業など、複数の製造業企業への攻撃が8BASEによるものと確認されています。
このグループの特徴は、製造業の生産システムや基幹業務システムを狙い、操業停止による経済的損失を最大化する戦略を取っていることです。
例えば、ニデックインスツルメンツの事例では、約40万人分の個人情報が漏洩の恐れがあり、従業員のマイナンバーも含まれていました。
8BASEは、製造業特有のサプライチェーンへの影響を狙い、取引先企業にも被害を波及させる二次的な攻撃効果を狙っています。
引用元:デジタルデータフォレンジック「【2025年最新】ランサムウェア被害企業の事例一覧と具体的な対応を解説」
ランサムウェアの被害事例
ランサムウェアによる実際の被害事例を知ることで、この脅威がいかに身近で深刻なものかを理解できます。
2024年に発生した国内の主要事例では、業種や企業規模を問わず広範囲な被害が確認されています。
以下では、代表的な被害事例の詳細について解説しているので、ぜひ読んでみましょう。
KADOKAWA・ニコニコ動画への攻撃事例
2024年6月8日、KADOKAWAグループが運営するニコニコ動画をはじめとする複数のサービスが、ランサムウェア攻撃により長期間にわたって利用不能となりました。
この攻撃では、BlackSuitと呼ばれる犯罪グループがフィッシング攻撃により従業員のアカウント情報を入手し、社内ネットワークに侵入しました。
被害は約25万4241人分の個人情報流出という大規模なものとなり、ドワンゴの全従業員、取引先、N高等学校の在校生・卒業生の情報も含まれていました。
注目すべきは攻撃の執拗さで、発覚後も攻撃者がプライベートクラウド内のサーバーを遠隔から再起動し、感染拡大を図る行為が継続されました。
復旧作業は1ヶ月以上を要し、ニコニコ動画の完全復旧は10月までかかるなど、エンターテインメント業界に大きな影響を与えました。
引用元:サイバーセキュリティ総研「【2025年最新】ランサムウェア被害企業・事例一覧」
岡山県精神科医療センターの医療機関被害
2024年5月19日、岡山県精神科医療センターでランサムウェア攻撃が発生し、電子カルテシステムが使用不能となる深刻な事態が発生しました。
この攻撃により、約4万人分の患者情報(氏名、住所、生年月日、病名)が流出の可能性があり、6月7日にはダークウェブ上での情報公開も確認されました。
被害の原因として、VPN機器のセキュリティ更新が適切に行われていなかったことが挙げられています。
実際に、2023年6月に自治体病院組織からVPN脆弱性に関する通知があったにも関わらず、業者との協議が進展せず対応が後回しにされていました。
この事例は、医療機関という社会インフラが狙われることで、患者の診療に直接影響が及ぶランサムウェアの深刻さを示しています。
製造業・中小企業での被害パターン
ランサムウェアによる製造業への攻撃は、生産システムの停止により自動車製造など広範囲な影響を与える特徴があります。
2024年の事例では、自動車部品メーカーが攻撃を受け、1万台以上の車の製造に影響が出たケースが報告されています。
中小企業では、株式会社キューヘンが2024年6月に攻撃を受け、約37万4000件の個人情報が漏洩の恐れがある事態となりました。
興味深いことに、キューヘンは同年1月にもランサムウェア被害を受けており、わずか半年で2度目の攻撃を受けています。
警察庁の統計では、バックアップを取得していた企業が61件中14件しか復元できなかった現実が示されており、「バックアップも暗号化」が67%を占めています。
引用元:blastengine「【2024年最新】ランサムウェア攻撃の事例を解説│国内でも被害多数」
まとめ【ランサムウェア対策の重要性】
ランサムウェアは、現代企業が直面する最も深刻なサイバーセキュリティ脅威の一つです。
2024年の統計データが示すように、被害は増加傾向にあり、特に中小企業が全体の64%を占める深刻な状況となっています。
従来の単純な暗号化攻撃から、二重恐喝やノーウェアランサムといった新しい手法へと進化し、バックアップがあっても完全には防げない脅威となりました。
VPN機器やリモートデスクトップ経由の攻撃が86%を占める現状では、メール対策だけでは不十分であり、ネットワーク全体のセキュリティ強化が必要です。
KADOKAWA、岡山県精神科医療センター、製造業各社の事例からも分かるように、業種や規模を問わずあらゆる組織が標的となる可能性があります。
ランサムウェアによる平均被害金額が2,386万円に達する現状を踏まえ、企業は事前の対策投資と従業員教育の継続的な実施が重要な経営課題となっています。