数字で読み解く2025年のランサムウェア脅威と2026年への備え
投稿者:山本仁一
こんにちは。セキュリティエバンジェリストの山本です。
2026年、新たな年を迎えるにあたり、今回のブログでは2025年のサイバーセキュリティ動向を振り返りながら、これからの1年をどう備えるべきかを考えていきたいと思います。
2025年は、日本企業にとって「サイバーセキュリティが経営課題である」ことを改めて突きつけられた年でした。大手企業から中小企業まで、業種を問わず深刻なインシデントが相次ぎ、被害総額は数十億円規模に達したケースも複数報告されました。
目次
1.2025年のインシデント状況:「1日1.5件」という現実
2.象徴的な3大事例から学ぶ教訓
3.ランサムウェアの進化:RaaSとマルウェアレス攻撃
4.AI悪用という新たな脅威の台頭
5.2026年に向けて:リサーチャーが注目する3つの観点
6.おわりに
1. 2025年のインシデント状況:「1日1.5件」という現実
インシデント発生件数の推移
トレンドマイクロの調査によると、2025年1月~11月の間に国内で公表されたセキュリティインシデントは501件でした。これは、1日あたり約1.5件のペースで企業や組織が被害を公表していることを意味します。
| 期間 | 件数 | 1ヶ月平均 |
| 2025年1月~11月 | 501件 | 約45.5件 |
| 2024年通年 | 622件 | 約51.8件 |
この数字は氷山の一角であるという点に注意が必要です。これらの統計は以下の条件で集計されています。
- 被害組織による公式発表(一次情報)のみをカウント
- 報道記事だけでは未カウント
- 被害を認知していない組織は含まれない
- 実際に攻撃を受けたが公表していない組織も含まれない
つまり、実際の攻撃試行数は、この数十倍、数百倍に達している可能性が高いと思われます。
攻撃カテゴリ別の内訳
2025年に公表された攻撃を分類すると、以下のような結果となりました。
| 順位 | 攻撃カテゴリ | 備考 |
| 1位 | 不正アクセス | 詳細不明も含む |
| 2位 | ランサムウェア攻撃 | ランサムウェアは依然として猛威を振るう |
| 3位 | 不正ログイン | アカウント情報搾取が背景 |
| 4位 | 公開サーバーへの攻撃 | 脆弱性悪用が多発 |
| 5位 | 内部犯行 | 組織内部の脅威 |
攻撃ベクトルの多様化、および組織内外の脅威も顕在化しているようです。
出典: トレンドマイクロ公式レポート
グローバルな脅威の実態で見る侵入経路トップ3
グローバルでの脅威情報レポートから侵入経路を見てみると以下の順位となっていました。
第1位:サプライチェーン経由の攻撃 – 30%
Verizon DBIR 2025によると、サードパーティ(パートナー、ベンダー、サプライチェーン)を経由した侵害は前年比2倍(15%→30%)に増加し、侵害の3分の1が外部からではなく、信頼された取引先経由とのことでした。
第2位:盗まれた認証情報 – 22%
依然として初期侵入ベクトルとして多いのが搾取された認証情報です。イニシャルアクセスブローカーと呼ばれるアタッカーの猛威もさることながら、対策としての多要素認証の未導入が課題となりました。
第3位:脆弱性の悪用 – 20%
前年比34%増という驚異的な増加率です。特にエッジデバイス(VPN、ファイアーウォール)への攻撃が2024年の3%から22%へ増加したとのことでした。
注目すべきは、サプライチェーン経由の攻撃が1位であり、グローバルで2倍に増加している点です。これは、もはや自社だけのセキュリティ対策では不十分であり、エコシステム全体での包括的な対策が必須であることを示しています。日本企業も例外ではなく、下記で紹介するインシデント事例は、すべてこのグローバルトレンドを反映しています。
出典:Verizon Data Breach Investigations Report (DBIR) 2025 / Supply Chain Attack Statistics 2025 – DeepStrike
2. 象徴的な3大事例から学ぶ教訓
近年発生した数百件のインシデントの中から、特に影響が大きく、私たちが学ぶべき教訓が詰まった3つの事例をピックアップします。
事例1:アサヒグループホールディングス事例 〜 防ぐことができたはずの危機
2025年9月29日午前7時頃、アサヒグループホールディングスがランサムウェア攻撃を受け、システム障害が発生しました。この攻撃により、生産・物流システムが広範囲にわたって停止し、ビールなどの主力商品の供給に深刻な影響が出ました。11月の記者会見では、190万件超の個人情報流出の恐れがあることが明らかになり、社会に大きな衝撃を与えました。特に注目されたのは、CEO自らが「防げた攻撃だった」と述べ、基本的なセキュリティ対策の不徹底を認めた点です。この事件は、大企業であっても基本対策の欠如が致命的な被害につながることを示す象徴的な事例となりました。
侵入方法・経緯など
- VPN機器の既知の脆弱性が未対策のまま放置されていた
- 多要素認証(MFA)が導入されておらず、認証情報の窃取を許した
- 脆弱なVPN経由でネットワークへ侵入し、Active Directoryを掌握
- ランサムウェアを展開し、基幹システムを暗号化
教訓
高度な攻撃手法への対応よりも、基本的なセキュリティ対策(パッチ適用、多要素認証、権限管理)の徹底が最優先です。基本を怠れば、大企業でも壊滅的な被害を受けることを示した事例です。
事例2:ローレルバンクマシン事例 〜 連鎖するサプライチェーン
2025年9月25日、通貨処理機器を製造するローレルバンクマシン株式会社が提供するAI-OCRサービス「Jijilla(ジジラ)」がランサムウェア攻撃を受けました。この事件の特徴は、ローレルバンクマシン社と直接契約のない「上流」の企業(銀行・証券など)の顧客データが、再々委託先のツール経由で流出した「逆流型サプライチェーン被害」である点にあります
侵入方法・経緯など
- ローレルバンクマシン社のクラウドサービス「Jijilla」が標的となる
- サービスのデータ保存用サーバーがランサムウェアに感染
- Jijillaを業務で使用していた日本アスペクトコア社のデータが影響を受ける
- 日本アスペクトコア社に業務を委託していた複数の金融機関・教育機関へ連鎖的に情報漏洩リスクが波及
教訓
デジタルエコシステムにおける「信頼の連鎖」は、同時に「脆弱性の連鎖」でもあります。取引先やベンダーのセキュリティ状況を継続的に把握し、契約時のセキュリティ要件を明確化することが不可欠です。
事例3:サンリオエンターテイメント事例 〜 人気テーマパークの機能停止
2025年1月21日、サンリオピューロランド等を運営する株式会社サンリオエンターテイメントのサーバーがランサムウェア攻撃を受けました。 この攻撃により、チケット購入システムや会員サイト(マイページ)、来場予約システムなどが利用不可となり、テーマパーク運営の根幹に関わる顧客サービスが長期間停止しました。当初は最大約200万件の個人情報流出の懸念があると発表され、ファンや利用者に大きな不安を与えました(※後の調査で、情報の外部流出の痕跡は確認されなかったと結論付けられていました。)
侵入方法・経緯など
- VPN機器の脆弱性を悪用
- ランサムウェアの社内ネットワーク展開
- テーマパーク運営に関わるシステムを安全優先で事前停止
教訓
エンターテインメント企業であっても、その裏側にあるITインフラ(特にVPNなどの境界防御)の管理不備が事業停止に直結することを示しています。「脆弱性パッチの適用」という基本的な運用が、華やかな顧客サービスを守るための生命線であることを再認識させた事例でした。
3. ランサムウェアの進化:RaaSとマルウェアレス攻撃
IPAが発表した「情報セキュリティ10大脅威 2025」組織編でも、ランサムウェア攻撃は5年連続で1位にランクインしています。しかし、2025年のランサムウェアは、従来とは大きく様相が変わってきています。
進化1:RaaS(Ransomware as a Service)の完全定着
ランサムウェア攻撃は、分業化を定着させました。以下に攻撃エコシステムと呼ばれる3つの役割を示します。
| 役割 | 担当内容 | 必要スキル |
| RaaSオペレータ(胴元) |
|
高 |
| アフィリエイト(実行犯) |
|
中~高 |
| イニシャルアクセスブローカー |
|
低~中 |
注目すべきは、アフィリエイトやイニシャルアクセスブローカーへの参入障壁が低いという点です。そのため攻撃者数が増加しているということでした。
進化2:「ランサムウェアを使わない」ランサム攻撃
2025年の注目すべきトピックとしてマルウェアレス型のランサム(身代金要求)攻撃です。
エネクラウド株式会社の事例では、2025年4月、同社のAmazon S3(クラウドストレージ)環境が海外IPから不正アクセスを受けたインシデントです。流出した「IAMユーザのアクセスキー」が悪用され、45件のバケットが削除されました。本件はデータを暗号化して身代金を要求する従来型とは異なり、データを「直接削除」した上で復旧対価を求める「削除型ランサムウェア」の手口であり、バックアップを含む全データが消失する被害となりました。
本件の最大の脅威はこれまでのソリューション、例えばEDRなどでは検知ができないことです。第一に暗号化ではなく「削除」されたため、仮に身代金を払ってもデータが戻る保証が極めて低いものとなります。第二に本番データとバックアップが同一の権限(アクセスキー)で管理されていたため、双方が同時に破壊され、BCP(事業継続計画)が機能不全に陥った点にあります。クラウドの権限管理の不備が、企業の存続に関わる致命的なデータロスに直結することを示した事例といえます。
攻撃者視点では、データを直接削除し復旧の対価を要求する「削除型ランサムウェア攻撃」はランサムウェア開発の工数を削減できる「効率化」なのです。
4. AI悪用という新たな脅威の台頭
高校生によるAI悪用の手口
2025年1月に発覚した快活フロンティアへの攻撃では、17歳の高校生がChatGPTを悪用し攻撃コードを作成しました。AIの倫理制限(ガードレール)を回避するため犯罪的な直接表現を避け、遠回しな質問を繰り返してプログラムを書かせた点が特徴です。さらに、企業のセキュリティ検知を回避するようAIに修正指示を出し、自身の技術不足をAIとの対話で補完することで、大企業への侵入と妨害を実現しました。
本事案の最大の脅威は、高度な知識がない未成年でもAIを悪用すれば大企業を侵害できる現実が示されたことです。また、AIベンダーの倫理制限が、プロンプトの工夫(ジェイルブレイク)で容易に突破される限界も露呈しました。AIは防衛だけでなく攻撃者の強力な武器となる「二面性」を持っていることを認識し、AIによる自動化・高度化された攻撃を前提とした、従来よりも一段高い防御態勢の構築が急務であるといえます。
AI悪用の統計データ
SlashNextやCheck Pointのレポートによると、生成AIの悪用は、サイバー脅威のランドスケープを一変させました。悪性リンクやメールの検出数が341%増と爆発的に拡大していると報じています(2024年調査)。特筆すべきは、LLM(大規模言語モデル)の高度な自然言語処理能力により、従来のルールベース型フィルタをすり抜ける「検知困難なフィッシング」が標準化された点です。
また、AIは攻撃の参入障壁を劇的に引き下げました。前述のように高度な技術を持たない攻撃者でも、洗練されたマルウェアや偽装サイトを短時間で構築可能です。AIは単なる自動化ツールにとどまらず、攻撃の実行速度と規模を最大化させる「戦力増強装置(フォース・マルチプライヤー)」として機能しており、防御側にはAIのスピードに対抗しうるリアルタイムな検知能力が不可欠となっています。
5. 2026年に向けて ~注目する3つの観点
観点1:クラウドネイティブ攻撃への対応
2026年、防御の境界は「ネットワーク」から「アイデンティティ」へと大きくシフトすると思われます。攻撃者はファイアウォールを突破するのではなく、クラウド環境特有の「設定ミス」や「過剰なIAM権限」を正規の手段で悪用する手口(Living off the Cloud)を標準化させています。これらはマルウェアを用いないため、従来のウイルス対策ソフトでは検知が困難です。
企業には、クラウドの設定状況を継続的に監視・修復するCSPM(Cloud Security Posture Management)を含むCNAPP(Cloud Native Application Protection Platform)の導入が不可欠です。しかしツール導入だけでは不十分であり、付与された権限が適正かを常時監査するプロセスと、侵害を前提としたゼロトラストアーキテクチャの実装が急務です。「設定の不備」という静的な脆弱性を突く攻撃に対し、動的かつ自動化されたガバナンス体制を確立し、この脅威に対抗することが、クラウドセキュリティ対策の中心になると思われます。
観点2:サプライチェーン全体のセキュリティ可視化
組織単体の防御が堅牢でも、セキュリティ対策が手薄な関連企業や委託先を踏み台にする「サプライチェーン攻撃」は依然として最大の脅威です。特に日本では経済安全保障推進法に基づくセキュリティ・クリアランス制度や、「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の導入計画など、2026年はサプライチェーン全体の「信頼性確認」が経営課題に直結する年となることが予想されます。
対策は、単なるアンケートベースの現状把握から、例えば契約による法的拘束力を持った管理へと深化させる等の対策が必要になります。委託先に対する定期的な監査権限の確保や、インシデント発生時の「即時報告義務」と「共同対処フロー」の確立が必須です。自社を守るためには、取引先を「外部」とみなすのではなく、自社のセキュリティエコシステムの一部として統合し、可視化・管理するアプローチが求められます。
観点3:AI時代のリスキリング
AIによる攻撃・防御の自動化が進む中、人間のセキュリティ担当者に求められる価値は「作業」から「判断」へと劇的に変化しています。ログ解析や単純なコード生成はAIが担いますが、「AIが出した答えが正しいか」を検証する監査能力は人間にしか持ち得ません。特にAIが生成したコードに潜む微細な脆弱性や、AIの幻覚(ハルシネーション)による誤検知を見抜くスキルは、新たな必須要件となります。
また、攻撃シナリオが複雑化する中で、AIには困難な「文脈を理解した因果関係の分析」や、攻撃者の心理を読み解く「想像力」が重要視されます。2026年のセキュリティ人材は、技術的な知識に加え、データの背後にある本質的なリスクを見抜き、ビジネスへの影響を論理的に説明できる「高度な判断力と洞察力」を持ったストラテジストとしての役割が期待されます。
6. おわりに
2025年を振り返ると、インシデントの「量」だけでなく「質」が変化し、攻撃は自社境界を軽々と超え、クラウドやサプライチェーン、そしてAIへと広がりました。RaaSのような分業化やマルウェアレス型の削除・脅迫は、これまでの検知や復旧の前提を揺さぶり、AI悪用は攻撃の参入障壁を劇的に下げました。
とはいえ前述したように、必要なのは派手な最新対策よりも「基本の徹底」を怠らないこと、そして自社単独ではなく“つながり”全体を守る視点が不可欠だと考えます。2026年に向けて、私たちが持つべき姿勢は第一にパッチ適用・MFA・権限最小化といった“足元の強化”を最優先すること。第二にクラウド設定・権限・ログを継続的に可視化し、CSPM・CNAPPやゼロトラストで「侵入される前提で」ことを見越した設計に改めること。第三に、AI時代のスキルを磨き、AIの出力を批判的に評価し、攻撃者の思考を想像してセキュリティ対策を講じることだと考えます。
セキュリティ課題は山積していますが弊社はセキュリティ対策としてさまざまな観点でご支援が可能ですので、ぜひご相談ください。
Disclaimer
本ドキュメントに掲載の情報は、インターネット情報等を用いた個人的見解を含むものであり、所属する組織の総意を示すものではありません。また特定の個人、団体を誹謗中傷する意図はございませんのであらかじめご了承ください。
