2025〜2026年のランサムウェア被害:「他人事」ではなくなった数字
まず事実から入ります。感情論や脅し文句ではなく、具体的な数字を直視してください。
警察庁の公式データ(令和7年)が示す現実
警察庁サイバー警察局の発表によると、2025年(令和7年)のランサムウェア被害報告件数は226件で、依然として高水準が続いています。被害企業の規模別では中小企業が約6割を占め、業種別では製造業が約4割で最多でした。「中小企業は狙われない」という認識は、データと真逆です。
さらに深刻なのはコストです。復旧費用が1,000万円以上を要した組織が全体の5割超となり、復旧期間も長期化しています。被害後に数ヶ月にわたって業務が停止するケースも、2025年には複数発生しました。
2025年の象徴的な国内被害事例
2025年9月、アサヒグループホールディングスがランサムウェア攻撃を受け、生産・物流システムが広範囲に停止しました。翌11月の発表では約191万件の個人情報が漏洩または漏洩のおそれがあることが判明しています。同社CEOが「防げた攻撃だった」と公式に認めた点が特に注目されました。原因はVPN機器の既知の脆弱性への対処遅延、つまり「わかっていたのにやっていなかった」という基本的な怠慢でした。
同年10月には通販大手でも、認証情報の窃取を起点とするランサムウェア攻撃により、約74万件の個人情報漏洩のおそれが生じました。こうした大企業の事例は、サプライチェーンを通じて中小企業にも波及するリスクを持っています。
「身代金の中央値」が示す攻撃の高額化
世界データでは、2025年のランサムウェア身代金の中央値が前年比で約368%急増しています。日本への攻撃も増加傾向が鮮明で、IPAの「情報セキュリティ10大脅威2026」でもランサムウェア攻撃は4年連続で組織向け脅威の第1位に位置しています。
なぜ「わかっているのに対策できない」のか:認知バイアスという構造的な問題
ランサムウェア対策の知識は、今や多くの情シス担当者が持っています。にもかかわらず対策が進まないのは、意志の問題ではなく、人間の脳の仕組みそのものに原因があります。
楽観バイアス(Optimism Bias)
「自分(自社)だけは大丈夫」という根拠のない確信です。ダニエル・カーネマンの研究では、人間はネガティブなイベントが自分に起きる確率を、統計的な実際の確率より低く見積もる傾向があることが示されています。中小企業が被害の6割を占めているというデータを見ても、「でもうちは製造業じゃないから」「うちはもっと小規模だから」と例外化しようとするのが人間の脳です。
正常性バイアス(Normalcy Bias)
「去年も何もなかったから今年も大丈夫」という思考です。過去の平穏を根拠に未来の安全を推論するこのバイアスは、災害心理学でも繰り返し指摘されてきました。しかし攻撃者は毎年手口を高度化させており、去年の防御が今年も通用する保証はありません。2025年のデータでは、侵入から攻撃実行までの潜伏期間がわずか4日に短縮されています(2022年時点では16日でした)。
コスト顕在化バイアス(Tangibility Bias)
「対策費用は今すぐ出ていくが、被害は不確かな将来の話」という非対称な認識です。行動経済学では、確実に発生するコストを、不確実なリスク回避より過大評価する傾向が知られています。これが「セキュリティ製品は高いから後回し」という判断を生む心理的メカニズムです。しかし実態を見ると、1,000万円超の復旧費用が5割以上の被害企業で発生しており、対策コストとのROIは明確です。
これらのバイアスを自覚した上で、具体的なアクションに進みます。
2025〜2026年の攻撃手口の変化:「怪しい日本語」では見抜けなくなった
攻撃手口を正確に知らなければ、対策の優先順位を誤ります。2025〜2026年に起きた本質的な変化を整理します。
変化1:生成AIによるフィッシングの高精度化
これまでフィッシングメールの見抜き方として「不自然な日本語」が挙げられてきました。しかし2025年、この判断基準は完全に通用しなくなりました。生成AIを悪用することで、攻撃者は自然な日本語の業務メールを大量かつ低コストで生成できるようになったためです。警察庁も2025年のサイバー脅威報告で、生成AIを活用したフィッシングサイト改修の具体事例を公表しています。
世界のCISOの77%が「AI生成フィッシングは深刻な新興脅威」と認識し、61%が「AIがランサムウェアリスクを直接的に高めた」と回答しています(Hornetsecurity 2025年版年次調査)。
変化2:VPN・RDPからの侵入が主流に
「メールの添付ファイルからの侵入」というイメージが定着していますが、現在の主要侵入経路は外部に面したVPN機器やリモートデスクトップ(RDP)です。アサヒグループの事例がまさにこれでした。多くの企業がリモートワーク対応でVPNを急拡張させた2020年以降、VPN機器のアップデートを怠っている企業が格好の標的になっています。
変化3:二重・三重脅迫の常態化
従来のランサムウェアは「データを暗号化して身代金を要求する」ものでしたが、現在の攻撃の約82%はデータ暗号化と情報漏洩脅迫を組み合わせた「二重脅迫」です。さらにDDoS攻撃を加えた三重脅迫も増加しています。「バックアップさえあれば大丈夫」という思い込みが崩れるのはこのためです。暗号化を解除できても、「盗んだデータを公開する」という脅迫が残ります。
変化4:RaaS(サービスとしてのランサムウェア)による攻撃の民主化
ランサムウェアはもはや高度な技術者だけが使う武器ではありません。ダークウェブ上で「ランサムウェア開発者」が攻撃役を募集し、成果報酬で利益を分配するRaaS(Ransomware as a Service)モデルが主流になっています。これにより攻撃コストが大幅に下がり、以前は対象外だった小規模企業も標的になっています。
費用の全体像:対策コストと被害コストを正確に比較する
「セキュリティ対策は高い」という印象は、多くの場合、比較対象を持たないことから生じています。対策費用と被害費用を並べて見てください。
被害時に発生するコスト(実績ベース)
| コスト項目 | 目安・実績 |
|---|---|
| システム復旧費用 | 1,000万円以上が被害企業の5割超(警察庁データ) |
| 業務停止による機会損失 | 復旧まで数週間〜数ヶ月、売上損失は業種で大きく変動 |
| 個人情報漏洩の対応費用 | 通知・コールセンター・法的対応で数百万〜数千万円 |
| フォレンジック調査費用 | 原因調査だけで200万〜500万円規模が一般的 |
| 信用失墜・株価影響 | 定量化困難だが、中小企業では取引停止につながる事例も |
| 身代金要求額の中央値(2025年) | 約929万円(世界データ)、大規模被害では数十億円 |
対策費用の目安(企業規模別)
| 対策レイヤー | 費用目安 | 優先度 |
|---|---|---|
| 多要素認証(MFA)導入 | 月額数千円〜数万円(ユーザー数による) | 最優先 |
| EDR(高度なエンドポイント検知) | 1端末あたり月額5,000円前後 | 最優先 |
| メールセキュリティ(フィルタ・サンドボックス) | 月額数万円〜数十万円(メール数・規模による) | 高 |
| クラウドバックアップ(書き換え不可設定込み) | 月額数万円〜(データ量による) | 最優先 |
| 脆弱性スキャン・パッチ管理ツール | 年間数十万円〜 | 高 |
| 社員向けセキュリティ訓練(標的型メール訓練) | 数万円〜数十万円/回 | 高 |
| MDR(監視から初動対応までのマネージドサービス) | 月額数十万円〜(規模・対応レベルによる) | 中〜高(社内体制次第) |
中堅規模の企業が「メール+エンドポイント+認証」の3層をまとめてカバーする場合、月額数万円〜十数万円のクラウド型プランで構成できます。被害時のコスト最低ラインが1,000万円超であることを考えると、年間100〜150万円の投資は明確に合理的です。
成功者の思考パターンから学ぶ「対策の優先順位の付け方」
セキュリティ対策で失敗する企業と成功する企業の最大の違いは、「何から始めるか」の意思決定の質です。成功している経営者・CIOが共通して実践していることを整理します。
思考パターン1:「最悪シナリオの費用」を先に計算する
対策を後回しにする経営者は「対策費用はいくらか」から考えます。対策を実行する経営者は「被害が起きたら損失はいくらか」から逆算します。この順序の違いが、投資判断を劇的に変えます。自社の基幹システムが1週間停止した場合の売上損失を計算し、それを対策費用と比べてください。答えはほぼ自動的に出ます。
思考パターン2:「基本の完全実施」を最上位に置く
アサヒグループのCEOが「防げた攻撃だった」と認めた事例が示す通り、ランサムウェア被害の大半は最先端の攻撃ではなく、基本対策の欠如によって引き起こされています。パッチ適用・MFA・権限の最小化——この3つを完全に実施するだけで、大多数の攻撃を防げるというのがセキュリティ専門家の共通見解です。新しいツールを次々導入する前に、基本が完全に実施されているかを確認してください。
思考パターン3:「侵入される前提」で設計する
サイバーセキュリティの世界では、「完璧な防御はない」という前提が常識です。成功している企業は「侵入されない仕組み」と「侵入されたときに被害を最小化する仕組み」の両方を持っています。具体的には、侵入後に攻撃者が横展開できないようにネットワークを分割し、バックアップを攻撃者の手が届かない場所(書き換え不可のクラウドストレージなど)に保管しておくことです。
AIを「守る側」の武器として使う:具体的な実践方法
攻撃者がAIを使い始めた今、守る側もAIを活用しない理由はありません。追加コストほぼゼロで今日から使える方法を紹介します。
活用法1:フィッシングメールの疑わしさを即座に判定する
怪しいと感じたメールの本文をClaudeやChatGPTにそのままコピーし、以下のプロンプトを投げてください。
以下のメールがフィッシング詐欺や標的型攻撃メールである可能性を分析してください。
①差出人・ドメイン・本文の不審な点
②本物のビジネスメールと比較したときの違和感
③このメールに記載されているURLやリンクのリスク(URLの文字列から判断)
④このメールへの適切な対応方法
をリストアップしてください。数十秒で、専門家レベルのフィッシング分析が得られます。全社員が使えるように、このプロンプトをテンプレート化して共有することを推奨します。
活用法2:自社のセキュリティ設定の抜け穴を自己診断する
以下の情報をもとに、ランサムウェア感染リスクの観点から自社のセキュリティ上の抜け穴を指摘してください。
・利用しているVPN製品とバージョン:
・MFA(多要素認証)の導入状況:
・バックアップの方式と保管場所:
・パッチ適用のルールと頻度:
・社員向けセキュリティ訓練の実施状況:
特に優先度が高いリスクから順番に教えてください。この自己診断を四半期に1回実施し、結果を経営会議に報告する仕組みにするだけで、対策の抜け漏れを継続的に発見できます。
活用法3:インシデント対応計画のギャップを発見する
当社のインシデント対応手順書(以下に貼り付け)を読んで、
ランサムウェア感染発生時に対応できていない・曖昧になっているステップを指摘してください。
特に以下の観点で確認してください。
①感染発覚から72時間以内の初動対応の具体性
②広報・顧客対応のフロー
③復旧の優先順位の定義
④責任者と連絡先の明確化既存の対応計画がある企業でも、このプロセスで見落としが発見されることが多いです。AIは感情なしに客観的なギャップを指摘してくれます。
今日から実行する「コミットメント装置」としての3ステップ
行動経済学の「コミットメント装置(Commitment Device)」——やるべきことを「将来の自分が逃げられない仕組み」に変換する手法——を使います。セキュリティ対策が後回しになる最大の理由は「緊急でないから」です。これを変えるには仕組みが必要です。
ステップ1:今日中に「VPNとOSのアップデート状況」を確認する(所要時間:30分)
ランサムウェアの主要侵入経路であるVPN機器とOSのパッチが最新かどうかを今日中に確認し、結果を上長にメールで報告してください。「報告する」という行為がコミットメントになり、次回以降の確認も継続しやすくなります。
ステップ2:今週中に「バックアップの隔離状況」を検証する(所要時間:半日)
現在のバックアップが、本番システムから物理的またはネットワーク的に切り離された場所に保管されているかを確認します。同じネットワーク上にあるNASへのバックアップは、ランサムウェアに同時に暗号化されるリスクがあります。クラウドバックアップ(S3のオブジェクトロック機能など)への移行が推奨されます。
ステップ3:今月中に「社員向けフィッシング訓練」の実施日をカレンダーに入れる
訓練メールを送るだけのフィッシング訓練サービスは、年間数万円〜で利用できます。「訓練日を決める」というカレンダー登録が最初のコミットメントです。実施後は、クリックしてしまった社員にAIプロンプトによる自己診断トレーニングを実施することを付け加えると、次回の正答率が大幅に上がります。
まとめ:「被害に遭ってから考える」ではなく「被害コストで対策コストを正当化する」
2025〜2026年のランサムウェア脅威の本質を一行で言うならば、「攻撃者はAIで高度化し、侵入コストを下げた。しかし防御の基本は変わっていない」です。
IPA・警察庁・世界のセキュリティ機関が繰り返し指摘しているのは、「最先端の技術より、基本の完全実施」です。MFA・パッチ適用・バックアップの隔離——この3つを今日から確実に実施するための仕組みを作ることが、最も費用対効果の高いランサムウェア対策です。
そしてAIは、情シス担当者が限られたリソースの中でこれを実現するための強力な補助ツールです。攻撃者がAIを使って攻撃を効率化するなら、守る側もAIを使って防御を効率化する。これが2026年に求められるセキュリティ戦略の根幹です。
