2026.06.02 06:00
2026.06.02 00:25
●この記事のポイント
KADOKAWAへの36億円超の損失、アサヒGHDの191万件の個人情報漏えい——国内大企業でも防げなかったランサムウェア攻撃の実態を解説。「身代金を払えばデータが戻る」は誤りであり、支払い組織の83%が再攻撃を受けるデータを示しつつ、3-2-1-1バックアップルールとBCPへの明文化など、経営レベルで取るべき具体的対策を提言する。
2024年6月、国内有数のコンテンツ企業であるKADOKAWAグループのデータセンターが、ランサムウェアを含む大規模なサイバー攻撃を受けた。ニコニコ動画をはじめとした複数サービスが約2カ月にわたって停止し、約25万人分の個人情報が流出。出版物流の機能停止も重なり、同社の2025年3月期通期決算では84億円の売上高減少と約36億円の特別損失が計上された。
続いて2025年9月末、今度はアサヒグループホールディングス(アサヒGHD)が標的となった。攻撃者は侵入から約10日間にわたって社内ネットワークを静かに偵察し、9月29日朝にランサムウェアを一斉展開。グループ各社の受注・出荷システムが停止し、複数の国内工場が一時的に生産停止を余儀なくされた。情報漏えいが確認された、またはその恐れがある個人情報は約191万件に上り、アサヒビールなど有名銘柄が一時的に市場から姿を消すという形で消費者にも影響が及んだ。
どちらの企業も、セキュリティへの投資を怠っていたわけではない。それでも攻撃は成功した。この事実は、「ランサムウェア被害は対策が甘い企業の自業自得だ」という認識が、もはや的外れであることを示している。
●目次
- 「お金を払えばなんとかなる」という誤解
- 犯罪組織の「ビジネスモデル」が進化している
- 攻撃者が最初に狙うのは「バックアップ」
- 企業に求められる「3つの構え」
- ランサムウェア対策は「IT部門の問題」ではない
「お金を払えばなんとかなる」という誤解
では、万が一攻撃被害に遭ってしまった場合、身代金を支払えばデータは戻るのか。この問いへの答えは、データが明確に示している。
セキュリティ企業Sophosが毎年発表する「ランサムウェアの現状」レポート(2024年版)によれば、身代金を支払った組織が支払った平均額は200万ドル(約3億円)に達した。だが、これはあくまで「身代金」の話であり、システム復旧にかかるその他のコスト(身代金を除く)の平均は同年で273万ドルとされており、身代金を払っても被害の総額は膨れ上がる構造になっている。
さらに問題なのは、支払ったからといってデータが完全に戻る保証がまったくないことだ。サイバーセキュリティ企業CrowdStrikeの調査によれば、身代金を支払った組織の83%がその後再び攻撃を受けており、93%のケースで顧客情報や機密データが流出したと報告されている。支払いは問題解決ではなく、「支払う意思のある標的」として再マークされる契機になりかねない。
「身代金を支払う組織の割合は、2022年の78.9%から2024年には62.8%、2025年には28%と4年連続で減少しています。支払いが問題を解決しないという現実に、企業が気づき始めているということです」(サイバーセキュリティコンサルタント・新實傑氏)
犯罪組織の「ビジネスモデル」が進化している
身代金を払ってもデータが戻らないのには、犯罪組織側の構造的な理由がある。
現代のランサムウェア攻撃は、かつての「データを暗号化して身代金を要求する」単純な手口から大きく進化した。まず、侵入後にデータを暗号化する前に機密情報を窃取し、「支払わなければデータを公開する」と脅す「二重恐喝」が標準手法となった。KADOKAWAの事例では、攻撃者グループ「BlackSuit」がリークサイトで実際にデータを公開・拡散するという行動に出ており、企業の情報開示の前にSNS上で情報が拡散するという二次被害が生じた。
さらに近年は、顧客や取引先に直接「この企業のデータが漏れた」と通知して圧力をかける「三重恐喝」や、競合企業や規制当局を巻き込む「四重恐喝」まで確認されている。
加えて、復号ツール自体の品質問題もある。バグの多い復号プログラムでは、鍵を渡されても正常にデータが復元されないケースが少なくない。また、「復元する意思がそもそもない」ケースも存在する。「NotPetya」のように、金銭搾取よりも組織の業務破壊や社会的混乱を目的とした「ワイパー型」マルウェアは、一見ランサムウェアと区別がつかないまま展開されることがある。
「攻撃グループによっては、最初から復号する意思を持たず、支払いを確認した後に連絡を絶つケースも報告されています。被害者企業が身代金の振り込み先を示された時点で、すでに”詐取の完成”という構図です」(同)
攻撃者が最初に狙うのは「バックアップ」
「バックアップがあれば安心」という認識もまた、現在の攻撃手法の前では危うい。
現代のランサムウェア攻撃者は、侵入後すぐにデータを暗号化しない。アサヒGHDの事例では、侵入から発覚まで約10日間の潜伏期間があったことが明らかになっている。KADOKAWAの事例でも、攻撃者は侵入後、データセンター内の認証基盤(Active Directory)を制御下に置いたうえで、組織的にデータを暗号化した。
潜伏期間中に攻撃者がやっていることは「偵察」だ。どのサーバーに重要データがあるか、バックアップはどこに保管されているか、ネットワーク構成はどうなっているか——これらを徹底的に調査する。そして本番攻撃の直前、最初に手を付けるのがバックアップデータだ。
社内ネットワークに接続されているオンラインバックアップや、リアルタイム同期(レプリケーション)されているデータは、攻撃者にとって最初に無力化すべき標的となる。バックアップ先が同じネットワーク上にある限り、本体とともに暗号化・削除される。
「攻撃者はバックアップが組織の最後の砦であることを熟知しています。社内ネットワークに繋がったバックアップは、侵入後の攻撃者に対して事実上無力です」(同)
企業に求められる「3つの構え」
「感染しないこと」を唯一の目標とするセキュリティ戦略は、限界を迎えている。KADOKAWA、アサヒGHD、いずれも一定のセキュリティ投資をしていた企業だ。問題は「侵入を完全に防ぐ壁を作ること」ではなく、「侵入されたとしても事業を止めない体制を作ること」、すなわち「サイバーレジリエンス」の構築にある。
対策①:ネットワークから切り離された「3-2-1-1ルール」のバックアップ
バックアップの基本構成として、「3-2-1-1ルール」が現在の標準とされている。3つのデータコピーを、2種類の異なる媒体に保存し、1つを遠隔地に置き、さらに「1つをオフライン(ネットワーク非接続)の不変ストレージ」として保管する——という構成だ。
最後の「1つのオフライン・イミュータブルバックアップ」が最後の砦となる。ネットワークから物理的・論理的に隔離されたバックアップであれば、攻撃者が内部ネットワークを掌握しても手が届かない。定期的な復元訓練を組み合わせることで、有事の際に実際に使えるバックアップを維持することが重要だ。
対策②:「支払わない」を経営方針に明記しておく
有事の際、経営陣がパニック状態に陥ることで、場当たり的な交渉・支払いに踏み切るリスクがある。平時のうちに「原則として身代金は支払わない」という方針をBCP(事業継続計画)に明文化し、インシデント発生時の意思決定フローをあらかじめ定めておくことが重要だ。
アサヒGHD、KADOKAWAともに、今回の対応で「攻撃者の要求に屈しない」という立場を貫いた。結果として被害は大きかったが、身代金を支払っていたとしても被害の構造的な解決にはならなかったことは、各種データが示している。
対策③:サプライチェーン全体のセキュリティを底上げする
アサヒGHDの侵入経路は「グループ拠点に設置されたネットワーク機器」、KADOKAWAはグループ子会社が運営するデータセンターだった。いずれも「本丸」ではなく、グループ全体の中の「弱い結節点」が突破口となった。
セキュリティ投資を自社本体だけで完結させるのではなく、子会社・委託先・取引先のセキュリティ水準を底上げするガバナンスが不可欠だ。サプライチェーン全体をセキュリティポリシーの管理対象として位置づけ、定期的な監査・訓練を実施する体制を構築する必要がある。
ランサムウェア対策は「IT部門の問題」ではない
Sophosの最新レポート(2025年版)では、ランサムウェア攻撃からの復旧コストは前年比44%減少し、1週間以内に復旧できた組織も前年の35%から53%へと増加している。これは、先進企業がバックアップ体制の強化と事業継続計画の整備によって、着実に被害からの回復力を高めている証左でもある。
ただし、楽観視は禁物だ。身代金の支払総額は2024年に8億1355万ドル(約1300億円)に達しており、2025年に入っても攻撃そのものが減少しているわけではない。攻撃手法はAIの悪用によってさらに巧妙化が進んでおり、「専門的なスキルがなくてもランサムウェアが作れる時代」はすでに到来している。
重要なのは、ランサムウェア対策を「IT部門が担うセキュリティ施策」ではなく、「経営レベルで策定・管理すべき事業継続計画(BCP)」として捉え直すことだ。KADOKAWAの事例では特別損失として36億円が計上され、アサヒGHDでは四半期決算の公表が延期されるほどの経営インパクトが生じた。これはもはや「サーバーが止まった」という技術的な問題ではない。
攻撃に遭うこと自体は、もはや「防げるかどうか」の問題ではなくなりつつある。KADOKAWAとアサヒGHDが示したのは、「被害を隠さず、屈せず、迅速に社会へ情報開示する」という姿勢の重要性だ。透明性のある対応は、短期的な評判へのダメージを抑え、長期的な信頼構築につながる。これからの時代を生き残る企業の条件とは、攻撃を受けないことではなく、攻撃を受けても倒れない組織をあらかじめ設計しておくことである。
(文=BUSINESS JOURNAL編集部、協力=新實傑/サイバーセキュリティコンサルタント)
RANKING
RELATED POSTS
ニューアングル
