2025年上半期の被害統計
被害件数の推移
ランサムウェアによる被害は、日本国内で継続的に発生しています。警察庁が公表する統計データをもとに、最新の被害動向を確認します。
| 期間 | 被害件数 | 前年同期比 |
|---|---|---|
| 2022年 | 230件 | ー |
| 2023年 | 197件 | △14.3% |
| 2024年 | 222件 | +12.7% |
| 2024年上半期 | 114件 | +10.7%(前年同期比) |
出典:警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢」
- 被害件数の傾向
- 2023年に一時的に減少したものの、2024年は再び増加に転じました。法執行機関によるLockBitなど主要グループの摘発があったにもかかわらず、新興グループの台頭により被害件数は高止まりしています。
- 報告されない被害
- 警察庁の統計は被害届が提出されたケースのみを集計しています。実際には報告されていない被害も相当数存在すると考えられ、実態はさらに深刻である可能性があります。
業種別被害状況
ランサムウェア被害は特定の業種に集中する傾向があります。
| 業種 | 被害割合 | 被害の特徴 |
|---|---|---|
| 製造業 | 約30% | 工場システム停止、サプライチェーンへの波及 |
| サービス業 | 約15% | 顧客データの漏洩リスク |
| 卸売・小売業 | 約13% | POSシステム、在庫管理への影響 |
| 医療・福祉 | 約8% | 電子カルテ停止、診療への影響 |
| 建設業 | 約8% | 図面・入札情報の漏洩リスク |
| 情報通信業 | 約7% | 顧客へのサービス提供停止 |
| その他 | 約19% | ー |
- 製造業への集中
- 製造業が最も被害を受けている背景には、OT(運用技術)システムのセキュリティ対策の遅れ、24時間稼働による対策時間の制約、サプライチェーンの複雑さなどがあります。製造業向け対策ガイドも参照してください。
企業規模別被害状況
中小企業が被害の過半数を占めていることは重要なポイントです。
| 企業規模 | 被害割合 | 傾向 |
|---|---|---|
| 大企業 | 約24% | 高額な身代金要求、二重恐喝が多い |
| 中小企業 | 約52% | セキュリティ対策の不足が狙われる |
| 団体・その他 | 約24% | 自治体、医療機関、教育機関など |
- 中小企業が狙われる理由
- 中小企業は専任のセキュリティ担当者がいない、対策予算が限られている、システムの更新が遅れがちといった特徴があり、攻撃者にとって侵入しやすいターゲットとなっています。また、サプライチェーン攻撃では、大企業への侵入経路として中小の取引先が狙われるケースも増えています。
攻撃手法のトレンド変化
主要な変化
2025年のランサムウェア攻撃では、以下のようなトレンド変化が観察されています。
- ノーウェアランサムの増加
- 従来の暗号化を行わず、データ窃取と公開の脅迫のみで身代金を要求する「ノーウェアランサム」が増加しています。暗号化のプロセスがないため検知されにくく、バックアップだけでは対策できないという特徴があります。警察庁によると、2024年はノーウェアランサムによる被害が顕著に増加しました。
- AIを活用した攻撃の高度化
- 生成AIを活用したフィッシングメールの作成、脆弱性探索の自動化、攻撃コードの生成など、AIが攻撃の効率化・高度化に使われています。詳細はAI駆動型ランサムウェアで解説しています。
- EDR回避技術の進化
- EDR(Endpoint Detection and Response)の普及に対応し、検知を回避する技術が進化しています。正規のシステムツールを悪用する「Living off the Land」攻撃、EDRを無効化するドライバーの悪用などが確認されています。
- サプライチェーン経由の攻撃増加
- 直接攻撃よりも、セキュリティが脆弱な取引先や委託先を経由して侵入するケースが増加しています。1社への攻撃で複数の企業に影響を与えられるため、攻撃者にとって効率的な手法となっています。
感染経路の変化
ランサムウェアの感染経路にも変化が見られます。
| 感染経路 | 割合(2024年) | 傾向 |
|---|---|---|
| VPN機器の脆弱性 | 約47% | 引き続き最大の感染経路 |
| リモートデスクトップ(RDP) | 約36% | 認証情報の流出が原因 |
| フィッシングメール | 約9% | AI活用で巧妙化 |
| その他・不明 | 約8% | サプライチェーン経由含む |
出典:警察庁「令和6年上半期サイバー空間をめぐる脅威の情勢」
- VPN機器の脆弱性
- VPN機器の脆弱性を突いた侵入が引き続き最大の感染経路です。特に、パッチ適用の遅れや、古いファームウェアの使用が原因となるケースが多く報告されています。不正アクセス対策と合わせた対応が必要です。
- 認証情報の流出
- 過去の情報漏洩で流出した認証情報が、ダークウェブで売買され、攻撃に使用されています。MFA(多要素認証)の導入が有効な対策となります。
標的となりやすい業種
2025年の標的業種
攻撃者が標的を選定する際の傾向を分析します。
| 業種 | リスク要因 | 攻撃者の狙い |
|---|---|---|
| 医療機関 | システム依存度が高い、人命に関わる | 身代金支払いの圧力が高い |
| 製造業 | OTシステムの脆弱性、24時間稼働 | 事業中断による損失が大きい |
| 金融機関 | 高価値データ、規制対応 | 顧客データ、金融情報 |
| 教育機関 | 予算制約、セキュリティ人材不足 | 学生・教職員の個人情報 |
| 自治体 | システムの老朽化、住民データ | 社会的影響度が高い |
| 物流・運輸 | サプライチェーンの要、時間的制約 | 配送停止の影響が広範 |
標的選定の傾向
- 身代金支払い能力
- 攻撃者は、被害組織の財務状況を事前に調査し、支払い能力に応じた身代金を要求します。大企業には高額を、中小企業には支払い可能な金額を要求する傾向があります。
- セキュリティ対策の状況
- セキュリティ対策が不十分な組織は、攻撃者にとって侵入しやすいターゲットです。特に、VPN機器の脆弱性放置、MFA未導入、古いシステムの使用などが狙われます。
- データの価値
- 個人情報、機密情報、知的財産など、高価値なデータを保有する組織は、二重恐喝の対象として狙われやすくなっています。データの漏洩は、身代金以上の損害をもたらす可能性があります。
- 社会的影響度
- 医療機関、インフラ事業者、自治体など、サービス停止が社会に大きな影響を与える組織は、早期復旧のプレッシャーから身代金支払いに応じやすいと見なされています。
新興攻撃グループの動向
2025年に台頭したグループ
法執行機関の摘発により主要グループが打撃を受ける一方、新興グループが次々と参入しています。
- 新グループの参入
- 2024年には31の新しいランサムウェアグループが確認されました。これは過去最多であり、RaaS(Ransomware as a Service)の普及により参入障壁が下がっていることを示しています。
- 主要グループのシェア変化
- LockBitの摘発後、RansomHub、Qilin、BlackSuitなどのグループがシェアを拡大しています。グループ間の競争が激化し、より攻撃的な戦術を採用する傾向が見られます。
各攻撃グループの詳細については、2025年攻撃グループ勢力図で解説しています。
今後の脅威予測
セキュリティベンダーの予測
主要セキュリティベンダーの2025年脅威予測レポートから、共通して指摘されているポイントを整理します。
| 予測項目 | 内容 | 対策の方向性 |
|---|---|---|
| AI活用攻撃の増加 | フィッシング、脆弱性探索のAI化 | AI対AIの防御、教育強化 |
| サプライチェーン攻撃の拡大 | 委託先経由の侵入増加 | 取引先管理、契約見直し |
| クラウド環境への攻撃 | クラウド設定不備の悪用 | クラウドセキュリティ強化 |
| 二重・三重恐喝の常態化 | データ漏洩を前提とした攻撃 | データ保護、暗号化 |
| 規制強化への対応 | 報告義務、罰則の強化 | コンプライアンス体制整備 |
- 予測の不確実性
- 脅威予測はあくまで現時点での分析に基づくものであり、実際の脅威動向は予測と異なる可能性があります。最新の情報を継続的に収集し、対策を更新していくことが重要です。
対策の方向性
今後の脅威動向を踏まえた対策の方向性を示します。
- 多層防御の徹底
- 単一の対策に依存せず、複数の防御層を構築することが重要です。予防、検知、対応、復旧の各フェーズで対策を実施します。詳細はランサムウェア対策完全ガイドをご参照ください。
- ゼロトラストの採用
- 従来の境界型セキュリティから、すべてのアクセスを検証するゼロトラストモデルへの移行が推奨されます。ゼロトラスト導入ガイドも参考にしてください。
- バックアップ戦略の強化
- オフラインバックアップ、イミュータブル(不変)バックアップなど、ランサムウェアに対応したバックアップ戦略が必要です。バックアップ戦略で詳しく解説しています。
よくある質問(FAQ)
- Q: 2025年のランサムウェア被害は増加していますか?
- A: 2024年の被害件数は222件で、前年比約12.7%増加しました。2025年も引き続き高い水準で推移すると予測されています。法執行機関の摘発により一部のグループは打撃を受けましたが、新興グループの台頭により全体の被害件数は減少していません。企業・組織は引き続き警戒が必要です。
- Q: どの業種が最も狙われていますか?
- A: 統計上は製造業が約30%と最も被害が多くなっています。これは、OTシステムの脆弱性、サプライチェーンの複雑さ、事業中断の影響が大きいことなどが要因です。ただし、医療機関、自治体、教育機関なども攻撃者にとって魅力的なターゲットとなっており、すべての業種でリスクがあります。
- Q: 中小企業も本当に狙われますか?
- A: はい、実際の被害の約52%は中小企業です。セキュリティ対策が不十分なことが多く、攻撃者にとって侵入しやすいターゲットとなっています。また、大企業のサプライチェーンに連なる中小企業は、サプライチェーン攻撃の入口として狙われるケースも増えています。
- Q: VPN機器の脆弱性対策として何をすべきですか?
- A: VPN機器のファームウェアを最新版に更新すること、ベンダーが公開するセキュリティアドバイザリを定期的に確認すること、MFA(多要素認証)を導入すること、不要な機能を無効化することが基本対策です。可能であれば、VPNからゼロトラストネットワークアクセス(ZTNA)への移行も検討してください。
- Q: 2025年に特に注意すべき攻撃手法は何ですか?
- A: ノーウェアランサム(暗号化なしの恐喝)、AI駆動型攻撃、サプライチェーン経由の攻撃に特に注意が必要です。これらの攻撃は従来の対策だけでは防ぎきれない可能性があり、多層的な防御と、被害を前提とした復旧体制の整備が重要です。
まとめ
2025年のランサムウェア脅威は、件数・手法ともに引き続き深刻な状況です。VPN機器の脆弱性を突いた侵入が最大の感染経路であり続けており、ノーウェアランサムやAI活用攻撃といった新たなトレンドも出現しています。
企業・組織は、最新の脅威動向を把握しつつ、多層的な防御策を実施することが重要です。特に、VPN機器のパッチ管理、MFAの導入、バックアップ戦略の強化は、優先度の高い対策として推奨されます。
フィッシング対策、マルウェア対策、ソーシャルエンジニアリング対策など、関連する脅威への対応も合わせて実施しましょう。
【ご注意・免責事項】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
- 統計データは出典に基づいていますが、最新の状況とは異なる場合があります
- 脅威予測は現時点での分析に基づくものであり、実際の動向と異なる可能性があります
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- 消費生活センター:188
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- 記載内容は作成時点の情報です
関連リンク
2025年最新動向
対策を学ぶ
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
