【最新】ランサムウェア国内事例9選！攻撃傾向と対策を解説

「ランサムウェアは日本国内でもさまざまな影響を与えているのだろうか」

そんな疑問を持つ方に、本記事では日本国内企業でのランサムウェア被害の事例を紹介します。企業には資産があり、その資産は攻撃者にとって身代金を要求する対象になりえます。大切な資産や従業員、そして企業自体を守るために事例からできることを学びましょう。

ランサムウェアの概要と日本における被害状況

ランサムウェアの国内事例を解説するにあたり、まずはランサムウェアの概要と日本国内の被害状況を解説します。

ランサムウェアとは

ランサムウェアは、感染したパソコンやシステムのファイルを暗号化、改ざんし、元に戻すために身代金（ランサム）を要求するマルウェアです。ランサムウェアという単語はランサムとマルウェアを組み合わせた造語となっています。

攻撃者はパソコンやシステムをランサムウェアに感染させて、資産となる顧客情報や企業の機密情報を、暗号化します。そして「元に戻して欲しければ身代金を払え」と金銭を要求してくるというのが攻撃の流れです。

ランサムウェアはメールに添付したファイルやリンクを受信者が開いてしまうことで、感染が確認されてきました。ランサムウェアが含まれたメールによる被害や攻撃手法については別記事で解説しているので、併せてご覧ください。

近年多いのはサイバー攻撃によるランサムウェアの感染です。ネットワーク機器やソフトウェアの脆弱性を突いた攻撃を仕掛けて侵入し、ランサムウェアに感染させる手法が主流になってきています。

日本国内のランサムウェア被害状況

警視庁サイバー企画課が公開している「令和５年におけるサイバー空間をめぐる脅威の情勢等について」によると、令和5年における日本国内のランサムウェアの被害は197件でした。前年比14.3％減少ではあるものの、まだまだ高止まりしている状況です。

197件のうち、大企業が71件（36%）、中小企業が102件（57%）、団体等が24件（12%）と、企業規模にかかわらず被害に遭っています。また製造業が67件（34%）、卸売小売業が33件（17%）、医療福祉が10件（5%）など、さまざまな業界が狙われています。決して他人事ではないといえるでしょう。

感染経路は、有効回答数115件のうち、VPN機器からの侵入が73件（63%）を占めていました。不審なメールやその他ファイルは6件（5%）に留まっており、機器やソフトウェアの脆弱性を狙うランサムウェア攻撃が主流となっています。

復旧期間は1カ月以上かかったものが20%を超えており、被害総額も1,000万円以上が37%と甚大な被害が生まれています。

これらの被害の結果、IPA（情報処理推進機構）が公開している「情報セキュリティ10大脅威 2024[組織編]」では、9年連続でランサムウェアによる被害が1位になっています。日本国内の企業は長きにわたってランサムウェアの脅威にさらされている状況です。

参考：令和５年におけるサイバー空間をめぐる脅威の情勢等について（警察庁）
情報セキュリティ10大脅威 2024[組織編]（IPA）

ランサムウェアに感染するとどうなるか

ランサムウェアに感染するとさまざまなマイナスの影響が生じます。

最もわかりやすい被害はファイルを暗号化され、身代金を要求されてしまうことです。身代金を払っても暗号化を解除してくれるとは限らないため、基本的には支払うべきではありません。

他にも主な影響として以下があります。

• 暗号化が解除されるまで、業務が停止する
• バックアップからの復旧や関係者への連絡など、後続の業務に時間を取られる
• 身代金を支払ったが、暗号化が解除されず追加で請求される
• 「セキュリティが弱い会社だ」と社会的信頼が失墜する

ランサムウェアに感染することは、百害あって一利なしです。

日本国内のランサムウェア被害事例

日本国内のランサムウェアの被害状況として以下の事例を紹介します。

• KADOKAWA
• 日本商工会議所
• コクヨ
• 小島プレス工業（トヨタ関連会社）
• 東京海上日動あんしん生命保険
• 日本製粉
• 岡山県精神科医療センター
• カプコン

KADOKAWA

出版大手の株式会社KADOKAWAは、2024年6月にランサムウェア攻撃を受けて、25万人以上の個人情報や企業の機密情報が流出する被害となりました。

ロシア系のグループである「BlackSuit」によるものと見られており、各事業に影響が及んでいます。例として出版事業は出荷部数を減らすことを余儀なくされました。動画配信サービスであるニコニコ動画も配信停止になる事態に陥っています。

原因としてはメール経由でシステムがマルウェアに感染したものと見られています。被害はKADOKAWA自体の被害に留まらず、情報流出した顧客にも広がってしまいました。

KADOKAWAは業務停止による直接的な被害に加え、関係者への連絡や原因調査、復旧作業などに追われることになる二次被害にも発展しています。

日本商工会議所

2024年3月、日本商工会議所は事務局の1つである株式会社日本経営データ・センターのサーバがランサムウェア被害に遭ったことを公開しました。

攻撃が行われた日程は3月12日と見られており、同社はすぐさま個人情報保護委員会と警察署に相談しています。調査の結果、不正アクセスは受けたものの、外部に情報が流出しておらず、顧客情報の悪用なども確認されていないことを報告しました。同社はセキュリティ強化に向け対策を講じていくことも発表しています。

同社は直接的な被害こそなかったものの、場合によっては多数の顧客情報が流出、悪用されていた可能性があるでしょう。

コクヨ

2023年6月、文房具大手のコクヨ株式会社は海外のグループ企業がサイバー攻撃によるランサムウェア感染被害に遭ったことを公開しました。

攻撃が行われたのは6月5日と見られており、何者かが現地法人のネットワークに侵入したものとしています。ランサムウェア感染は確認されましたが、外部への情報流出や情報が公開された形跡はないことを報告しました。

外部に転送された情報量がわずかであることをログから確認したことが、流出した可能性が低いと判断した要因です。

同社も直接的な被害が少なかったといえる結果ですが、セキュリティ強化に向けて気を引き締めるきっかけになったでしょう。

小島プレス工業（トヨタ関連会社）

トヨタ関連会社である小島プレス工業株式会社は2022年3月にランサムウェアによる被害に遭ったことを報告しました。ランサムウェアにより、同社のサーバに保存されていたファイルの一部が暗号化されています。

特定外部企業との通信に利用していたリモート通信用機器の脆弱性を突かれた、と侵入経路について報告しました。不正アクセス、ファイルの暗号化こそ確認されましたが、情報漏えいの可能性は低いとしています。

本件のように大手企業のサプライチェーンを狙った攻撃事例もあります。

東京海上日動あんしん生命保険

東京海上日動あんしん生命保険株式会社は2024年7月、業務委託先である髙野総合会計事務所がランサムウェア攻撃に遭い、同社の顧客情報漏えいの可能性を報告しました。

2024年6月にランサムウェア被害が発覚し、海外の複数拠点からサイバー攻撃を受けています。インターネット機器の設定更新時に不備があったことが不正アクセスの原因です。不正アクセスを許した後は、セキュリティ機能が無効化され、ランサムウェアが実行されました。

顧客情報や従業員の個人情報が漏えいした可能性があり、今後に向けて外部専門家との連携やシステムセキュリティの強化に動いています。

日本製粉

日本製粉株式会社は2021年7月、グループ会社がサイバー攻撃を受けて同時にファイル暗号化、バックアップデータの破壊などが行われたと報告しました。明示的な呼称はないものの、ランサムウェアによる被害の可能性が高いです。

同社はソフトウェアのアップデートやセキュリティソフトの導入など、対策をしていたにも関わらず被害に遭ってしまいました。バックアップデータの破壊により、復旧が困難なこともあり、会計報告が遅れるなど企業経営に大きな支障をきたす結果となっています。

岡山県精神科医療センター

岡山県精神科医療センターは2024年6月、ランサムウェアによる被害で院内システムが感染し、電子カルテが確認できない状況に陥りました。その後、個人情報の漏えいも発覚し、大きな被害を生み出した事例となっています。

侵入経路などの詳細な原因は報告されていません。しかし、本件からいえることは以下の2点です。

• 業界を問わずにランサムウェア攻撃の被害が生まれていること
• 業界によってはユーザー（今回は患者）の命に関わる被害になり得ること

業界問わず、セキュリティ強化によるランサムウェア対策が必要です。医療業界やインフラ業界など、多くの人の生活、生命に関わる業界は特にそのことを認識する必要があるでしょう。

カプコン

ゲームコンテンツを扱う株式会社カプコンは2020年11月にランサムウェアによる攻撃を受けたことを報告しました。結果として個人情報流出の被害が生まれています。

社内システムへの接続障害の事象から詳細な調査を行い、ランサムウェアによる攻撃の痕跡を発見しています。同社の海外法人が利用していた旧型のVPN機器から侵入され、不正アクセスにつながったとのことです。

業界を問わずにセキュリティ対策が必要であることを先述しました。しかし、IT企業やゲーム業界のようにセキュリティ対策に強いイメージがある業界でもランサムウェアによる被害が起こっています。

被害事例からわかるランサムウェアの攻撃手法トレンド

近年のランサムウェアの被害事例からわかる攻撃手法のトレンドとして以下があります。

• 標的型ランサムウェアによる攻撃の増加
• RaaS（Ransomware as a Service）の普及
• AIを活用したランサムウェア作成
• サプライチェーン攻撃
• 二重脅迫型ランサムウェア

標的型ランサムウェアによる攻撃の増加

標的型ランサムウェア攻撃は、特定の企業や業界を狙い撃ちにする手法です。

従来のランサムウェアは、メールで不特定多数の個人や企業に無差別に送信されるケースが多くありました。しかし、近年は大企業や重要インフラ、政府機関などをターゲットにするケースが多いです。

ターゲットになる理由として、多額の支払い能力を有していることが挙げられるでしょう。支払い能力が高い企業を相手にすれば、請求できる身代金が高額でも支払ってもらえる可能性が高い、と考えているのではないでしょうか。

医療機関や金融機関は、業務の停止が大きな損害であり、攻撃者から見れば魅力的なターゲットです。これらの企業も狙われるケースが増えているため、業界を問わずランサムウェアに狙われるリスクには常に晒されている意識を持たなければなりません。

RaaS（Ransomware as a Service）の普及

RaaS（Ransomware as a Service）は、ランサムウェアをサービスとして提供するビジネスモデルです。闇組織がランサムウェアを開発し、攻撃者がそれを購入します。

SaaS（Service as a Service）やIaaS（Infrastructure as a Service）同様に、攻撃者は自身でランサムウェアを作成しなくても、簡単に攻撃できるようになってしまいました。RaaSを利用すれば、専門知識がなくても攻撃手法を用意できます。

このように、RaaSの登場により多くの攻撃者が参入しやすくなりました。今後は、ランサムウェアの開発と利用が進み、より対策が困難なランサムウェアが登場する可能性があります。

AIを活用したランサムウェア作成

生成AIの発展により、ランサムウェア作成に生成AIが使われていることも予測されています。先述したRaaSの発展もあり、ランサムウェアを作成すると、作成者は利益を得られます。生成AIはランサムウェアの開発や、既存ランサムウェアの強化に貢献してしまっているといえるでしょう。

一般に普及している多くの生成AIサービスは、悪用の禁止を謳っています。これは「ユーザーの使い方によっては悪用できてしまう」ためです。モラルがないユーザーによりランサムウェアが作成、強化されて企業は対応に手を焼く時代になってしまいました。

生成AIの発展により便利になる反面、負の方向への発展も進んでいるといえます。

サプライチェーン攻撃

サプライチェーン攻撃は、企業の直接的な防御を突破するのではなく、取引先やITベンダーを経由して侵入する手法です。サプライチェーンとは材料の調達から、開発・制作、配送など製品の販売に至るまでの一連の流れを指します。つまり、サプライチェーンには多くの企業が存在することが珍しくありません。

多くのサプライチェーンの中には大企業もあれば、中小企業もあります。攻撃者は、サプライチェーン内のセキュリティが比較的脆弱な企業を狙い、サプライチェーン全体に損害を与えることが目的です。

事例でも解説したように、サプライチェーン内の比較的小さな企業が狙われるケースもあります。大企業よりも中小企業の方がセキュリティが脆弱だと考えられるためです。企業は関連会社や取引先のセキュリティ事情も気にしておく必要があるでしょう。

二重脅迫型ランサムウェア

二重脅迫型ランサムウェアは、データの暗号化だけでなく、機密情報を盗み取った上で身代金を要求するタイプの攻撃です。攻撃者は、被害者が身代金の支払いを拒否した際に、データを公開または売却すると脅迫します。

二重脅迫型の恐ろしい点は企業は単なるデータ復旧の問題ではなく、顧客情報や機密データの流出による信頼失墜のリスクがあることです。被害企業の担当者は通常のランサムウェアよりも不安要素が大きくなり、心理的に身代金を支払う確率が高まってしまいます。

医療機関や政府機関などの機密情報を扱う企業、団体は特に狙われやすい攻撃です。

ランサムウェアの被害を防ぐ対策

ランサムウェア被害を防ぐ対策として以下があります。

• 従業員向けのセキュリティ教育
• ソフトウェアのアップデート
• セキュリティソフト・ソリューションの導入
• バックアップの取得
• 緊急時の対応を決めておく

従業員向けのセキュリティ対策により、メールが侵入経路となるランサムウェアの被害を防ぎやすくなります。ソフトウェアのアップデート、セキュリティソフトの導入は主にサイバー攻撃によるランサムウェアの感染に有効です。

バックアップ取得や緊急時の対応は行っておくことで、感染した場合でも被害を最小限に留められます。ランサムウェアに感染するとしても1台のパソコンが感染するのか、システム全体が感染してしまうのかで、天と地の差があります。感染後の実施では遅いので、必ず実施しておきましょう。

各内容を別記事で詳しく解説しているので、併せてご覧ください。

ランサムウェア被害に遭った場合にやるべきこと

ランサムウェア被害に遭った場合にやるべきことは以下のとおりです。

• ネットワークから隔離する
• 証拠の保全
• バックアップデータの確認・復元
• セキュリティ専門家に相談する

ランサムウェア被害に遭ったと考えられる直後にやるべきことは、ネットワークからの隔離です。これにより被害を最小限に食い止められます。

また被害に遭った形跡を保存しましょう。裁判や原因調査に利用します。その後の復旧作業として、バックアップデータからの復元を行うべきです。

自社のみでの原因調査や復旧が難しい場合には外部のセキュリティ専門家に相談しましょう。自社が利用しているセキュリティソリューションの提供元に相談すれば対応してもらえる可能性もあります。その場合は、利用中のセキュリティソリューションに精通した担当者が調査を行ってくれるため、詳しい調査ができる可能性が高いです。

被害に遭った場合の対応は別記事で詳しく解説しているので、併せてご覧ください。

まとめ

ランサムウェアの国内被害事例は多数あります。ランサムウェアの被害は増加傾向とはいえないものの、企業にとって長年脅威であり続けていることに変わりありません。そして、業界を問わない攻撃や生成AI、RaaSの発展によるランサムウェアの強化によって対策が難しくなっている面があります。

自社でセキュリティ対策やソフトウェアアップデートを確実に行い、脆弱性を防ぎましょう。

ランサムウェアの感染を防ぐには日頃からのセキュリティ教育に加えて、セキュリティ対策を強化しておくことが重要です。HENNGE社ではランサムウェアに関連したセキュリティ対策のホワイトペーパーを用意しています。対策に興味がある担当者様はぜひご確認ください。