高止まりするランサムウェア被害
〜被害事例に学ぶ侵入の現実と対策〜

　情報通信工学を専門とする神戸大学大学院 工学研究科 名誉教授・特命教授 森井昌克氏は、サイバーセキュリティ、暗号理論、情報理論、ネットワークセキュリティの研究・教育に長年従事してきた人物だ。森井氏は昨今のサイバー攻被害の傾向について、次のように語る。「アサヒGHDやアスクルなど、大手企業が相次いでランサムウェアの被害に遭ったことで、他の企業も非常に危機感を持っています。しかし、よく言われる『日本企業がサイバー攻撃者に狙われている』という認識は、実は正確ではありません。特にランサムウェアを利用していたサイバー攻撃は、特定の国際的な犯罪グループが行っていることが多くあります」

　例えばアサヒGHDは「Qilin」、アスクルは「RansomHouse」という国際的なサイバー犯罪グループからランサムウェア攻撃を仕掛けられている。いずれもRaaS（Ransomware as a Service）型の犯罪エコシステムを採用しており、業種や地域を問わずグローバルに被害を拡大させている。特定の国や地域、企業を狙っている訳ではなく、いわゆる“総当たり攻撃”を行い、侵入に成功したのが日本企業だったのだといえるだろう。その後、社内システムに潜伏し、有益な情報を持っていたり、身代金を支払ったりできる相手に対してランサムウェアによる暗号化を実行し、身代金の要求を行うというのが、ランサムウェア攻撃によるおおむねの流れだ。

　一方で、「世界的に見ても日本企業のサイバー攻撃被害は多い傾向にある」とも森井氏は指摘する。「日本は世界的に見ても企業数が多く、それが被害件数の多さにつながっています。加えて、世界の企業と比較してしっかりとしたセキュリティ対策が行われておらず、脆弱性を抱えていることも、サイバー攻撃被害の多さにつながっているでしょう。数年前までは日本語という言語の壁があり、サイバー攻撃が仕掛けにくい環境でしたが、昨今はAIによって日本語話者でなくても自然な日本語でフィッシングメールを送れるため、日本語の壁はありません」と森井氏は続ける。

　それでは、その脆弱性とはどのようなポイントにあるのだろうか。昨今被害が増えているランサムウェア攻撃は、特にVPN装置の脆弱性を突いて侵入するケースが多い。警察庁が2026年3月に発表した「令和7年におけるサイバー空間をめぐる脅威の情勢等について」でも、ランサムウェアの侵入経路はVPN機器が6割以上を占める状況だと指摘されている。「コロナ禍を契機にテレワーク環境を整備した際に、VPN機器を導入した企業が多くありました。VPNは社外から社内システムに接続するためにインターネット上に仮想的な通路を作ります。本来このVPNにはIDとパスワードを知らなければ入れないことになっていますが、VPN装置に脆弱性があると、そこを利用されて侵入されてしまいます。VPN機器をはじめとしたネットワークのセキュリティ装置は、常に監視して正常な状態で動いているかを管理する必要がありますが、それができておらずセキュリティホールとなるのです。また、IDやパスワードの管理が不十分だと、そこも侵入経路となります。簡単なIDやパスワードにしない、違うシステムでパスワードを使い回さないといった基本的な管理を徹底しましょう」と森井氏は指摘する。

　警察庁の発表によると、ランサムウェアの被害報告件数は年間200件を超えている。この件数は警察に被害報告を届けた件数だ。「実際にランサムウェアの被害を受けている件数は、この数十倍から数百倍あると考えられます。セキュリティ対策は利益を生まないため後回しにされがちですが、サイバー攻撃が原因で倒産した企業がいくつもあります」と森井氏は語る。経営リスクの中でも最も大きいリスクがサイバー攻撃なのだ。

　企業のシステム内へのサイバー攻撃者の侵入を防ぐためには、脆弱性を放置しないといった基本的な対策のほか、ウイルス対策ソフトの導入などセキュリティ対策を講ずることが重要だ。

　近年は病院などの医療機関でも、ランサムウェアによる被害が数多く報告されている。病院もデジタル化が進んでおり、レントゲン画像を高精度なモニターに表示して患者に共有することも少なくない。「このレントゲン画像を表示する際、ウイルス対策ソフトを導入していると表示に非常に時間がかかってしまうそうです。そのため医師は一時的にウイルス対策ソフトを停止してレントゲン画像を表示することも少なくありません。中にはそのままウイルス対策ソフトを長期間停止したままにすることもあるようで、そこがセキュリティホールとなってランサムウェアに侵入された例もあります」と森井氏は基本的な対策の重要性を指摘する。

　一方、セキュリティ対策を十分に講じていてもランサムウェアが侵入するケースも存在する。前述したアサヒGHDも、グループ全体のセキュリティ基準策定や端末防御、バックアップなどの対策は講じていたといわれている。「アサヒGHDは実際に、ランサムウェア被害に遭ったサーバーのバックアップを取っていましたが、万が一バックアップにランサムウェアが侵入していてデータが改変されていた場合、さらに大きな事故につながるリスクがあったり、バックアップデータが完全でない可能性があったりするなどして、復旧に時間を要したようです」と森井氏は指摘する。サイバー攻撃が起きた場合に備え、BCP（事業復旧計画）を策定している企業も多いが、計画を実行するために、復旧のための予行演習を定期的に行うことが重要だという。

　アサヒGHDとアスクルはいずれも、ランサムウェア被害を契機にゼロトラストセキュリティへの転換を公式に打ち出している。ゼロトラストセキュリティは端的に言えば「何も信頼しない」という考え方を前提に、社内外を問わず全てのユーザー、デバイス、アクセスを検証して安全性を担保するというものだ。「ゼロトラストセキュリティを実現するセキュリティ製品はさまざまあると思いますが、最も大切なのは安全を過信するのではなく、自分自身の端末をしっかり守ることが重要です。また社内で、どの人がどのような権限を持っていて、ネットワークがどのようになっているかを正しく把握し、可視化できるようにしておくことも必要でしょう。企業規模を問わず、被害を受けたときにどのように狙われて、どの権限がどこにつながっているのかを正しく把握することも大きなセキュリティ対策になります。このようなセキュリティ対策にコストをかけにくい中小企業は、基本的な対策をしっかりと講じた上で、IPAが提供している『サイバーセキュリティお助け隊サービス』の利用もおすすめです。企業内にUTMを設置し、社内ネットワークを包括的に監視したり、従業員の端末監視を行ったりするなど、包括的なセキュリティ対策がワンパッケージで提供されています。サイバー攻撃はどの会社にも起こり得ることですので、それが発生した際に自分の会社が最悪どのような状態になるのかを考えた上で、対策を講じてもらえたらと思います」と森井氏は語った。