2024-2025年の国内被害統計
まず、ランサムウェア被害の全体像を統計データで確認します。
被害件数の推移
警察庁が公表した「令和6年サイバー空間をめぐる脅威の情勢」によると、ランサムウェア被害は増加傾向が続いています。
- 2024年の被害状況
- 2024年1月から11月までの被害件数は過去最多ペースで推移。前年同期比で増加しており、年間では200件を超える見込み。
- ノーウェアランサムの増加
- 暗号化を行わずデータ窃取のみで脅迫する「ノーウェアランサム」の被害が2024年上半期だけで14件確認され、新たな脅威として認識されている。
被害件数は右肩上がりで推移しており、2025年も引き続き警戒が必要です。
業種別被害状況
ランサムウェア被害は、特定の業種に集中することなく、幅広い業種で発生しています。
| 業種 | 被害割合 | 主な特徴 |
|---|---|---|
| 製造業 | 約30% | サプライチェーン経由の攻撃、OTシステムへの影響 |
| サービス業 | 約15% | 顧客情報の漏洩リスク |
| 卸売・小売業 | 約12% | POSシステム、ECサイトへの影響 |
| 医療・福祉 | 約10% | 電子カルテ停止、人命への影響リスク |
| 建設業 | 約8% | 図面・入札情報の漏洩 |
| その他 | 約25% | 金融、教育、自治体など |
※警察庁統計等を基に作成(概数)
企業規模別被害状況
被害企業の規模を見ると、中小企業が全体の約64%を占めています。
- 中小企業が狙われる理由
- セキュリティ対策が大企業に比べて脆弱なケースが多い、サプライチェーン攻撃の足がかりとして利用される、身代金を支払う可能性が高いと見られているなど。
- 大企業だけの問題ではない
- 「大企業ではないから狙われない」という認識は誤り。むしろ中小企業こそ標的となりやすく、対策の必要性は高い。
被害額・復旧コストの実態
ランサムウェア被害は、身代金だけでなく、復旧費用、業務停止損失、レピュテーション損害など、多大なコストを伴います。
- 復旧費用
- 調査・復旧に要する費用は、規模によって異なるが、中小企業でも数百万円から数千万円、大企業では数億円に達する事例もある。
- 業務停止損失
- 警察庁統計によると、復旧に1週間以上を要した組織が約70%。業務停止による機会損失、顧客離れなどの影響は甚大。
被害コストの詳細については、「ランサムウェア被害の費用」で詳しく解説しています。
医療機関の被害事例(大阪急性期医療センター等)
医療機関は、電子カルテシステムの停止が直接的に診療業務に影響を与えるため、ランサムウェア被害の影響が特に深刻な業界です。
大阪急性期・総合医療センター(2022年10月)
大阪急性期・総合医療センターへの攻撃は、日本の医療機関に対するランサムウェア被害として、最も広く知られた事例の一つです。
- 被害概要
- 2022年10月31日に電子カルテシステムがランサムウェアに感染。病院の基幹システムが停止し、診療業務に重大な支障が生じた。
- 影響
- 救急患者の受け入れ停止、新規外来の停止、手術の延期など、約2ヶ月にわたり通常診療ができない状態が続いた。紙カルテへの一時的な移行を余儀なくされた。
- 感染経路
- 給食業務の委託先が使用していたVPN機器の脆弱性が悪用されたとされる。直接の攻撃対象ではなく、サプライチェーン経由での侵入。
- 復旧費用・対策費用
- 復旧・再発防止対策に数億円規模の費用が発生したと報じられている。
この事例は、VPN機器の脆弱性管理の重要性と、委託先を含むサプライチェーン全体でのセキュリティ対策の必要性を浮き彫りにしました。
岡山県精神科医療センター(2024年5月)
2024年5月には、岡山県精神科医療センターがランサムウェア被害を受けました。
- 被害概要
- 電子カルテシステムがランサムウェアに感染し、約4万人分の患者情報が流出した可能性が報じられた。
- 精神科医療という機微情報
- 精神科の診療情報は、一般的な診療情報以上に機微性が高く、漏洩による患者への影響は計り知れない。二重恐喝型の脅威が特に深刻な分野。
医療機関の被害から学ぶ教訓
- 教訓1:VPN機器の脆弱性管理は最優先事項
- 多くの医療機関被害でVPN機器が感染経路となっている。パッチ適用の遅れが致命的な結果を招く。
- 教訓2:委託先のセキュリティも自社の責任
- 給食業者、医療機器ベンダーなど、ネットワーク接続される委託先のセキュリティ状況を確認・管理する必要がある。
- 教訓3:業務継続計画(BCP)の策定が不可欠
- 電子カルテ停止時の紙カルテ運用など、システム停止時の代替手順を事前に準備しておくことで、患者への影響を最小化できる。
- 教訓4:オフラインバックアップの確保
- オンラインバックアップだけでは同時に暗号化されるリスクがある。物理的に隔離されたバックアップが必要。
医療機関向けの詳細な対策については、「病院・クリニックのランサムウェア対策」をご参照ください。
製造業の被害事例(サプライチェーン経由の攻撃)
製造業は、ランサムウェア被害件数が最も多い業種であり、サプライチェーンを通じた被害拡大が特徴的です。
トヨタサプライヤー(小島プレス工業、2022年3月)
2022年3月に発生した小島プレス工業への攻撃は、サプライチェーンリスクを象徴する事例として広く知られています。
- 被害概要
- トヨタ自動車の主要サプライヤーである小島プレス工業がランサムウェアに感染。部品供給システムが停止した。
- 影響
- サプライヤー1社の被害により、トヨタ自動車の国内全14工場が約1日停止。日産やホンダなど他メーカーにも波及。国内自動車生産に大きな影響を与えた。
- サプライチェーンリスクの象徴
- 大企業のセキュリティがいかに強固でも、サプライチェーン上の弱点から攻撃を受ける可能性があることを示した事例。
ニデック(2024年)
精密モーター大手のニデックも、2024年にランサムウェア被害を公表しました。
- 被害概要
- グループ会社を含む複数のシステムがランサムウェアに感染。生産・出荷業務への影響が発生。
- 対応と教訓
- グローバルに展開する製造業として、海外拠点を含むセキュリティ統制の重要性が改めて認識された。
カシオ計算機(2024年10月)
カシオ計算機も、2024年10月にランサムウェア被害を公表しました。
- 被害概要
- ランサムウェア感染により、社内システムの一部が使用不能となった。
- 業績への影響
- 売上減少として約130億円の影響を見込んでいることが報じられた。ランサムウェア被害が財務に直接影響を与えることを示す事例。
製造業の被害から学ぶ教訓
- 教訓1:サプライチェーン全体でのセキュリティが必要
- 自社だけでなく、取引先・委託先を含むサプライチェーン全体でのセキュリティレベル向上が不可欠。契約書でのセキュリティ条項も重要。
- 教訓2:OT/IT分離の重要性
- 生産系ネットワーク(OT)と業務系ネットワーク(IT)を適切に分離することで、ITへの攻撃が工場停止に直結するリスクを軽減できる。
- 教訓3:グローバル拠点を含む統制
- 海外拠点のセキュリティレベルが本社より低い場合、そこが攻撃の入口となる。グローバルで統一したセキュリティポリシーの適用が必要。
製造業向けの詳細な対策については、「製造業のランサムウェア対策」をご参照ください。
メディア・エンタメの被害事例(KADOKAWA等)
メディア・エンターテインメント業界は、大量のユーザーデータを保有していることから、情報漏洩のインパクトが特に大きい業界です。
KADOKAWA(2024年6月)
2024年6月に発生したKADOKAWAへの攻撃は、国内のランサムウェア被害として最大級の規模と影響を持つ事例です。
- 被害概要
- ランサムウェアグループ「BlackSuit」による攻撃を受け、グループ全体のシステムに影響が発生。ニコニコ動画など主要サービスが長期間停止した。
- 影響
- 特別損失として約23億円を計上。約25万人分の個人情報(従業員、取引先、ユーザー等)が流出したとされる。ニコニコ動画は約2ヶ月間サービス停止。
- 攻撃グループの犯行声明
- BlackSuitはダークウェブ上で犯行声明を出し、二重恐喝として窃取データの公開を示唆した。
- 教訓
- 大規模ユーザーDBを持つ企業への攻撃は、情報漏洩による二次被害(なりすまし、フィッシング詐欺等)のリスクも伴う。事前の暗号化・アクセス制御が重要。
メディア業界の被害から学ぶ教訓
- 教訓1:大規模ユーザーDBの保護
- 数十万〜数百万人のユーザー情報を保有するサービスは、攻撃者にとって魅力的なターゲット。データの暗号化、アクセス制御、監視の強化が不可欠。
- 教訓2:二重恐喝への対応戦略
- 暗号化被害だけでなく、情報漏洩・公開という脅迫に対する対応方針を事前に策定しておく必要がある。法務・広報との連携も重要。
- 教訓3:サービス停止時の代替手段
- 主要サービスが長期停止した場合のユーザーコミュニケーション、代替サービスの提供方法を事前に検討しておく。
メディア・エンタメ業界向けの詳細な対策については、「メディア・エンタメ業界のランサムウェア対策」をご参照ください。
自治体・公共機関の被害事例
自治体や公共機関は、住民情報という機微性の高いデータを扱うため、情報漏洩の影響が特に深刻です。
イセトー(2024年5月)
2024年5月に発生したイセトー社への攻撃は、サプライチェーン攻撃の典型的な事例として注目されました。
- 被害概要
- 印刷・データ処理を手がけるイセトー社がランサムウェアに感染。同社が業務を受託していた多数の組織の情報が影響を受けた。
- 影響の波及
- 自治体、金融機関、保険会社など約150万件の個人情報が漏洩した可能性が報じられた。委託元も情報漏洩の当事者として対応を迫られた。
- 委託先管理の教訓
- 委託先のセキュリティ対策状況を事前に確認・監査することの重要性、契約書でのセキュリティ条項の必要性が浮き彫りになった。
この事例は、サプライチェーン攻撃の脅威を改めて認識させるものでした。
自治体等の被害から学ぶ教訓
- 教訓1:委託先・サプライチェーンの管理徹底
- 業務委託先のセキュリティ対策状況を定期的に確認・監査する。契約書にセキュリティ条項を盛り込み、インシデント発生時の報告義務を明記する。
- 教訓2:委託データの範囲最小化
- 委託先に渡すデータは必要最小限にとどめ、不要になったデータは速やかに削除させる。
- 教訓3:住民への迅速な通知体制
- 情報漏洩が発生した場合の住民への通知手順を事前に準備しておく。
自治体向けの詳細な対策については、「自治体のランサムウェア対策」をご参照ください。サプライチェーン経由の攻撃については、「サプライチェーン経由のランサムウェア攻撃」もご参照ください。
被害事例から学ぶ共通の教訓
これまで紹介した事例から、業種を問わず共通する5つの教訓を抽出します。
教訓1:VPN機器の脆弱性管理が最重要
警察庁統計によると、ランサムウェアの感染経路としてVPN機器の脆弱性が50%以上を占めています。多くの被害事例で、VPN機器の脆弱性が侵入経路となっています。
- なぜVPN機器が狙われるのか
- VPN機器はインターネットに直接公開されており、脆弱性が発見されると世界中から攻撃される。リモートワークの普及で導入が急増したが、パッチ管理が追いついていないケースが多い。
- 対策
- VPN機器のファームウェアを常に最新に保つ。脆弱性情報を迅速に入手し、緊急パッチは24〜72時間以内に適用する体制を整える。
教訓2:バックアップも暗号化される
「バックアップがあれば安心」という認識は危険です。多くの事例で、オンラインバックアップも同時に暗号化されています。
- なぜバックアップも暗号化されるのか
- ネットワーク経由でアクセス可能なバックアップは、ランサムウェアに到達されやすい。攻撃者は意図的にバックアップを破壊・暗号化することで、身代金支払いの確率を高めようとする。
- 対策
- オフラインバックアップ(エアギャップ)の確保、イミュータブル(変更不可)バックアップの採用、3-2-1-1-0ルールの実践。
バックアップ戦略の詳細は、「ランサムウェアに負けないバックアップ戦略」をご参照ください。
教訓3:サプライチェーンリスクは自社だけでは防げない
大阪急性期医療センター、イセトーなどの事例が示すように、自社のセキュリティがいかに強固でも、サプライチェーン上の弱点から攻撃を受ける可能性があります。
- サプライチェーンリスクの特徴
- 委託先・取引先のセキュリティ対策状況は自社でコントロールしにくい。1社の被害が複数の組織に波及する。
- 対策
- 委託先選定時のセキュリティ評価、契約書でのセキュリティ条項、定期的な監査、サードパーティリスク管理の徹底。
教訓4:初動対応の遅れが被害を拡大
感染発覚から封じ込めまでの時間が長いほど、被害は拡大します。事前の対応計画がないと、混乱の中で適切な判断ができません。
- 初動対応の重要性
- 最初の1時間でネットワーク隔離ができるかどうかで、横展開の範囲が大きく変わる。誰が何を判断するかが事前に決まっていなければ、対応は遅れる。
- 対策
- インシデント対応計画の策定、定期的な訓練、緊急連絡網の整備。
感染時の対応については、「ランサムウェア感染時の対応手順」をご参照ください。
教訓5:経営層の関与が不可欠
セキュリティ対策は、情報システム部門だけの課題ではなく、経営課題として取り組む必要があります。
- 経営層の役割
- セキュリティ投資の意思決定、インシデント発生時の経営判断(身代金対応、対外公表等)、組織全体のセキュリティ文化醸成。
- 対策
- 経営層への定期的な脅威報告、被害事例のブリーフィング、経営層向けセキュリティ研修。
共通教訓チェックリスト
| 教訓 | チェック項目 | 自社の状況 |
|---|---|---|
| VPN機器の脆弱性管理 | VPN機器のファームウェアは最新版か? | □ |
| VPN機器の脆弱性管理 | 脆弱性情報を迅速に入手する体制があるか? | □ |
| VPN機器の脆弱性管理 | 緊急パッチを72時間以内に適用できるか? | □ |
| バックアップ | オフラインバックアップを確保しているか? | □ |
| バックアップ | バックアップからの復旧テストを実施しているか? | □ |
| サプライチェーン | 主要委託先のセキュリティ状況を把握しているか? | □ |
| サプライチェーン | 契約書にセキュリティ条項があるか? | □ |
| 初動対応 | インシデント対応計画を策定しているか? | □ |
| 初動対応 | 対応訓練を実施しているか? | □ |
| 経営層の関与 | 経営層がセキュリティリスクを認識しているか? | □ |
よくある質問(FAQ)
- Q: うちのような小さい会社は狙われないのでは?
- A: その認識は危険です。警察庁統計によると、ランサムウェア被害企業の約64%は中小企業です。中小企業は大企業に比べてセキュリティ対策が脆弱なケースが多く、攻撃者にとっては侵入しやすいターゲットです。また、大企業のサプライチェーン上にある中小企業は、大企業への攻撃の足がかりとして狙われることもあります。企業規模に関わらず、基本的なセキュリティ対策は必須です。
- Q: 被害事例で身代金を支払った企業はありますか?
- A: 一部の企業が身代金を支払ったとの報道はありますが、公式に認めている企業は少数です。国内では、身代金支払いの事実を公表することへの抵抗感が強く、実態の全容は把握しにくい状況です。なお、FBI等の国際機関は身代金支払いを推奨しておらず、支払っても復号されない、再攻撃されるなどのリスクがあることを警告しています。
- Q: 被害を公表している企業とそうでない企業の違いは?
- A: 被害を公表する理由としては、上場企業としての適時開示義務、個人情報漏洩に伴う報告義務、社会的責任・透明性の確保などがあります。一方、被害を公表しない理由としては、レピュテーション損害への懸念、株価への影響、取引先との関係などが挙げられます。個人情報漏洩がある場合は、個人情報保護法に基づく報告義務が発生する可能性があり、公表が必要となるケースが増えています。
- Q: 同業他社の事例を参考に対策を立てたいのですが
- A: 同業他社の事例を参考にすることは有効なアプローチです。本記事で紹介した業界別事例に加え、業界別の詳細ページ(医療機関、製造業、金融機関等)では、業界特有のリスクと対策を解説しています。また、IPA、JPCERT/CC、各業界団体が公開する注意喚起や事例集も参考になります。
- Q: 被害企業はその後どのような対策を取っていますか?
- A: 多くの被害企業は、事故調査報告書や再発防止策を公表しています。共通して見られる対策としては、VPN機器の更新・廃止とゼロトラスト移行、EDRの導入、オフラインバックアップの確保、ネットワーク分離の強化、従業員教育の強化、インシデント対応体制の整備、サプライチェーンセキュリティの強化などがあります。これらは被害を経験していない企業にとっても、参考となる対策です。
関連ページへの導線
ランサムウェア対策 関連ページ
基礎から学ぶ
被害コストと保険
対策を実践する
業界別対策
最新動向
ご注意・免責事項
- 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
- 記載した被害事例は、公開情報・報道に基づいており、一部事実と異なる場合があります
- 被害企業を非難する意図はなく、教訓を抽出することを目的としています
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- 消費生活センター:188
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- セキュリティ対策の導入は、専門家やベンダーと相談の上ご判断ください
- 記載内容は作成時点の情報であり、攻撃手口は日々進化しています
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
