日本企業がランサムウェアに狙われる理由(後編)
前編では、攻撃者の視点から「日本企業はなぜランサムウェアの標的になりやすいのか」を整理しました。
生成AIによる日本語の壁の低下、踏み台にしやすい中小企業・子会社の多さ、侵入後に拡散・隠蔽しやすい環境、そして一定の確率で身代金の支払いまで見込める――こうした条件がそろい、日本企業は攻撃者にとって「攻撃しやすく、実入りも良い」市場として映っている、という背景がありました。
後編では視点を変えて、「なぜ日本企業は実際に被害を受けてしまうのか」、そして「被害を防ぐために何をすべきか」を、警察庁が公表した最新の脅威情勢レポートのデータを参考にしつつ、掘り下げます。
被害を受ける本当の理由はデータに表れている
警察庁サイバー警察局が公表した「令和7年におけるサイバー空間をめぐる脅威の情勢等について*¹」を読むと、日本企業がランサムウェア被害を受ける構造的な理由が見えてきます。侵入経路を見るとVPN機器が6割以上を占めており、攻撃者は未修正の脆弱性、漏えいした認証情報、簡易なパスワード、設定不備などを突いてネットワークに侵入しています。
ここで注目したいのは、被害企業の多くが「何も対策をしていなかった」わけではない、という点です。レポートの調査結果を読み解くと、被害の本質はむしろ別のところにあります。
セキュリティ製品を導入していても被害は起きている
以下の統計情報を見ると、ランサムウェア被害に遭った企業の多くは、ウイルス対策ソフトやEDRといったセキュリティ製品をすでに導入していました。それにもかかわらず約7割が被害を受けているということは、導入されている製品が実際の攻撃を食い止められていない、という現実を意味します。
なぜ止められないのか。多くの場合、製品を「導入したこと」で安心してしまい、その製品が今この瞬間の攻撃に対して本当に有効に機能するのかを検証していないためです。設定が適切か、検知が有効になっているか、回避されないか――こうした点は、実際に攻撃してみなければ分かりません。
バックアップがあっても復旧できていない
もうひとつの深刻な事実が、バックアップの問題です。被害企業の多くはバックアップを取得していたにも関わらず、約2割しか復元できていません。
理由は明確です。攻撃者は復旧を妨害するために、暗号化の前後でバックアップそのものを狙って削除・暗号化します。レポートでも、ランサムウェア攻撃ではバックアップも一緒に暗号化される場合が多いと指摘されています。
つまり、バックアップを「取得していること」と、「それが攻撃者から守られていて、実際に復元できること」は、まったく別の話なのです。そして多くの企業は、後者を検証していません。
その結果がどう表れているか。調査では、調査・復旧に総額1,000万円以上を要した組織は全体の5割を超え、1か月未満で復旧できた組織は5割強にとどまっています。被害は長期化・高額化する傾向にあり、サイバー攻撃を想定した業務継続計画(BCP)を策定済みの組織はわずか約18%にすぎません。
共通する原因は「導入して終わり、検証していない」
これらをまとめると、日本企業が被害を防げない最大の理由が見えてきます。それは、セキュリティ対策やバックアップを「導入するだけで満足してしまい、それらが攻撃者に対して本当に有効に機能するかを検証していない」ということです。
製品やバックアップは、導入がゴールではありません。攻撃者の前で機能して初めて意味を持ちます。検証されていない対策は、いざという時に「効かない対策」になりかねないのです。
対策 ~導入から「継続的な検証」へ
ランサムウェアの被害を本当に防ぐには、セキュリティ対策やバックアップを導入するだけでは不十分で、それらが実際に機能しているかを継続的に検証し続ける必要があります。
なぜ「継続的」でなければならないのか。理由は二つあります。
- ITシステムの状況は日々変化している。新しい機器やアカウント、設定変更、クラウドサービスの追加などにより、昨日まで安全だった環境に、今日新たな穴が生まれることがあります。
- 脆弱性は日々新しく発見されている。攻撃者の手口も常に進化しており、一度の検査で「問題なし」と確認しても、その状態は長くは続きません。
つまり、検証は一度きりのイベントではなく、変化に追従し続ける「運用」でなければならないのです。
代表的な検証手法と、それぞれの限界
セキュリティの有効性を検証する手法には、代表的なものがいくつかあります。
それぞれに特徴と限界があります。
システムに既知の脆弱性が存在するかを洗い出す手法です。ただし「脆弱性の有無」は分かっても、それが実際の攻撃でどのような影響を及ぼすのか、本当に悪用可能なのかまでは判断が難しいという限界があります。
インターネットに公開された自社資産を可視化し、そこに潜む脆弱性を発見する手法です。ただし大部分の製品は可視化と脆弱性発見までであり、実際の攻撃や攻撃シミュレーションは、別途、人によるペネトレーションテストやBAS製品で行う必要があります。
実際に行われる攻撃手法を「シミュレーション」することで、セキュリティ対策が正しく機能しているかを検証するツールです。ただしあくまでシミュレーションであり本物の攻撃ではないこと、また、あらかじめ用意されたシナリオに沿って動くため、状況に応じて変化する動的な攻撃を想定しきれないという制約があります。
専門家が実際に攻撃者の立場で侵入を試みる手法です。人が実施するため柔軟で精度の高い検証ができる一方、コストの関係で、検査の範囲や頻度がどうしても限定的になってしまいます。
実際の攻撃を全自動で、かつ動的に実施する手法です。広範囲かつ高頻度に実施できるため、セキュリティ対策が攻撃に対してどのように反応するか、どのような被害が起こり得るのかを、より正確に把握できます。
| 検査手法 | 概要 | メリット | デメリット |
 脆弱性診断 |
既知の脆弱性をツールで洗い出し、点検する。 | 手軽に実施でき、コストが比較的低い。既知の弱点を網羅的に把握できる。 | 「脆弱性が存在するか」までしか分からず、実際に悪用できるか・どこまで侵入されるかは検証できない。検出結果が多く優先順位を付けにくい。 |
 ASM |
外部に公開された資産を可視化・監視する。 | 自社でも把握しきれていない公開資産やシャドーITを発見できる。外部からの入口を継続的に把握できる。 | あくまで「入口の可視化」が中心で、侵入後にどう被害が広がるかまでは検証できない。 |
 BAS |
既知の攻撃シナリオを自動で模擬し、防御の有効性を確認する。 | 導入済みの対策(AV/EDR等)が機能しているかを継続的に検証できる。安全に繰り返し実施できる。 | あらかじめ用意されたシナリオの範囲に検証がとどまりやすく、未知の連鎖的な侵入経路までは再現しにくい。 |
 手動ペンテスト |
専門家が実際に攻撃者として侵入を試みる。 | 人の知見で複雑・連鎖的な攻撃経路を深く検証でき、実態に近い結果が得られる。 | 高コストかつ専門人材に依存する。実施に時間がかかり、頻繁に繰り返すことが難しい。実施時点の「点」の評価になりやすい。 |
 自動ペンテスト |
実際の攻撃手法を自動で再現し、侵入から横展開までを検証する。 | 偵察から実攻撃・横展開までを安全に再現でき、高頻度で継続的に実施できる。結果に優先順位を付けて対策につなげやすい。 | ツールの導入・運用に一定の理解が必要。完全に専門家の創造的な攻撃を代替できるわけではない。 |
ランサムウェア対策には自動ペネトレーションツールが有効
ランサムウェアは、侵入後にネットワーク内部を動的に探索し、権限を奪い、バックアップを破壊しながら被害を広げていきます。こうした「実際に侵入されたら何が起きるのか」を検証するには、静的な脆弱性の洗い出しや、シナリオ固定のシミュレーションだけでは不十分です。
実際の攻撃手法を、動的に、広範囲かつ高頻度に再現できる自動ペネトレーションツールこそが、ランサムウェア対策の有効性検証に適しています。そして、TED(東京エレクトロンデバイス)では、この自動ペネトレーションツールとして「Pentera」を取り扱っています。
Penteraができること
Penteraは、ペネトレーションテストを全自動で実施するツールであり、ランサムウェア対策の検証において次のような特徴を持ちます。
Qilin、LockBit、Cl0p、Playといった実在するランサムウェアの攻撃手法を忠実に再現します。これにより、自社がランサムウェア攻撃を受けた際に、セキュリティ対策が有効に機能するのか、どのような被害がどの範囲まで及ぶのかを事前に想定できます。あわせて、バックアップが攻撃者から守られているか、本当に復元できるのかといった点も検証可能です。なお、前述の警察庁レポートでも、令和7年はQilinの割合が急増するなど新たな脅威が確認されており、最新の攻撃手法を安全に試せる意義は大きいといえます。
Active Directory(AD)に登録されたユーザーのパスワードを、実際に攻撃者が行うのと同じ手法で解読し、その強度を診断します。簡易なパスワードや漏えいした認証情報は主要な侵入経路のひとつであり、ここを実攻撃と同じ目線で点検できます。
年間契約モデルでテストの実施回数に制限がないため、高頻度にテストを回せます。これにより、ITシステムの変化や日々生まれる新たな脆弱性を、迅速に把握できます。前述のとおり、検証は「継続的」であってこそ意味を持つため、この点は特に重要です。
脆弱性が引き起こす被害の深刻さを基準に対処の優先順位を付けられるため、数ある脆弱性の中から「本当に対処すべきもの」から優先的に手を打てます。また、攻撃の成功は複数の要因が絡み合っていることが多いため、AプランやBプランといった複数の対処案を提示できる点も実務上の大きな利点です。
まとめ
後編の要点は、次の3つに集約されます。
- セキュリティ対策を実施し、バックアップを導入していても、それらが有効に機能していなければ意味がありません。導入はゴールではなく、スタートです。
- 対策が有効に機能しているかどうかは、実際に攻撃を想定して検証してみなければ分かりません。しかもITシステムや脅威は日々変化するため、検証は継続的に行う必要があります。
- Penteraは、実在のランサムウェア攻撃の再現、ADのパスワード強度診断、高頻度の検査、優先順位付けと複数の対策案の提示を通じて、効果的な検証を実現できます。
前編で見たとおり、日本企業は攻撃者にとって魅力的な標的です。だからこそ、「侵入されない」ことだけを前提にするのではなく、「侵入されても被害を最小限に抑えられるか」を、平時から繰り返し検証しておくことが欠かせません。自社の対策が本当に機能するのか――その答え合わせを、攻撃者より先に、自分たちの手で行っておくことが、ランサムウェア時代を生き抜く現実的な備えになります。
参考:*¹警察庁サイバー警察局「令和7年におけるサイバー空間をめぐる脅威の情勢等について」(令和8年3月)
この記事の投稿者J.Watanabe
この記事をシェア
