動向
最近のランサムウェア動向(2025年頃までの公的情報を踏まえた整理)
要点まとめ: 近年のランサムウェアは、暗号化に加えて情報窃取と公開脅迫を伴う「データ恐喝」が一般化しています。 公的機関の報告から見える事実と、その解釈を分けて整理し、経営・ITの判断に役立つ見取り図を示します。
ランサムウェアは「暗号化して復旧と引き換えに金銭を要求する」攻撃として知られていますが、近年は暗号化に加えて情報を持ち出し(窃取)し、公開をちらつかせる脅迫が一般的になり、被害の論点が「復旧」だけでなく「説明」「信用」「取引影響」へ広がっています。 米国政府機関は、これを「ransomware and data extortion(データ恐喝)」として整理し、初期侵入経路(入口)別の注意点を示しています。(CISA
 

公的機関・報告書から読み取れる「事実」

被害は高水準で継続し、国内でも報告が目立つ

日本では、警察当局が「サイバー空間の脅威が深刻な状況で継続」している旨を公表しています。(警察庁) また報道ベースではありますが、2025年上半期のランサムウェア被害の報告件数が高水準で推移していることが示されています。(INTERNET Watch

「組織の脅威」として、継続的に最上位の論点になっている

国内の代表的な公的レポートでは、組織向け脅威として「ランサム攻撃による被害」が継続して主要項目に位置づけられています。 加えて、サプライチェーン(取引先・委託先)脆弱性(ソフトの欠陥)の悪用も同時に重視されています。(IPA

「侵入型」として、内部展開の前段で止められるケースもある

国内のインシデント調整機関の四半期レポートでは、侵入型ランサムウェア攻撃の被害報告が複数示されています。 また、海外からの情報共有を受け、暗号化に至る前にバックドア(裏口)を削除し、拡大前に対処できた事例も紹介されています。(JPCERT/CC

法執行機関による「復号支援」も一部で進む

日本の警察当局は、特定のランサムウェアによる暗号化被害データについて、国際連携のもと復号ツールの開発・提供を行ったと公表しています。 これは「払わずに戻せる可能性」を広げますが、常に利用できるとは限らず、攻撃者側も手口を変えるため、万能策とは言い切れません。

ここから言える「分析」(動向の解釈)

1) 争点が「復旧」から「説明・信用・取引影響」へ移る

データ窃取を伴う脅迫が一般化すると、復旧できても「情報が出回ったか」「関係者へどう説明するか」といった論点が残りやすくなります。 結果として、経営判断はITの復旧計画だけでは完結しにくく、広報・法務・営業・調達を含む論点整理が必要になりがちです(一般論)。(CISA

2) 入口は「脆弱性」と「認証情報」に寄りやすい

初期侵入(最初に入り込むきっかけ)は、脆弱性悪用や認証情報の窃取が目立ちます。 公的ガイドでも「初期侵入経路ごとの予防」が強調されており、日々の運用(更新・権限・認証)をどう回すかが、現実には効きやすい領域と考えられます。

3) 「国際連携」「情報共有」で先回りできる余地がある

侵入型は、暗号化より前に準備動作が発生します。 国内でも、海外からの通報を受けて先回りできた事例が示されており、平時からの情報共有の受け皿(相談先・連絡経路)を持つことは、実務上のレバレッジになり得ます。

ビジネス層・IT担当者が押さえたい見取り図(結論を押し付けない整理)

  • 経営層の観点では、ランサムウェアは「IT障害」ではなく、取引停止・代替調達・信用毀損まで含む業務リスクとして扱う方が、社内調整が進みやすい場合があります。(IPA
  • IT担当者の観点では、「暗号化を防ぐ」一点よりも、侵入を早く疑える状態と、疑ったときに業務を止めずに切り分ける判断材料を持つことが重要になりがちです(運用・体制の問題として)。(JPCERT/CC
  • どちらにしても、対策は足し算になりやすいため、やることの優先順位(どの入口から潰すか、どの業務を守るか)を合意しておくのが現実的です。
結論として: ランサムウェアの実態は、復旧可否だけで測れない段階に移っています。 公的機関が示す事実を踏まえつつ、復旧・説明・信用・取引影響を分けて整理し、役割横断での判断軸を共有することが重要だと考えられます。 こうした最近のランサムウェア動向を踏まえると、今後は従来の対策の延長ではなく、AIの活用や攻撃手法の変化を見据えた視点が求められると考えられます。 この点については、「AI時代のランサムウェア対策」で整理しています。