• 馬本 寛子

日経クロステック／日経NETWORK記者

アサヒグループホールディングスやアスクルをはじめ、ランサムウエア攻撃によるシステム障害のニュースが目立つ。ランサムウエア被害は決して他人事ではなく、どの企業でも起こり得る。最新動向を把握して対策をしっかり施すと同時に、万一侵入を許してしまった場合に備え、被害を最小限に抑える初動対応の体制も構築しておきたい。

感染経路の約6割がVPN機器

ここ数年、ランサムウエア被害は高止まりの状況が続いている。警察庁が2025年9月に発表した「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、2025年上半期におけるランサムウエアの被害報告件数は116件。半期の件数は2022年下半期と並んで過去最多だった。

まずは敵を知り、リスクを最大限に減らすことが重要だ。ランサムウエアの被害に関しては、詳細な報告も一部出ている。こうした情報から侵入の経路となり得る箇所や手順を学び、自社の対策に役立てるとよい。

中でも、真っ先に確認してほしいのがVPN装置だ。攻撃者の侵入を許す抜け穴となってしまうことが最も多い。VPN装置の脆弱性を放置していたり、推測されやすい簡単なID／パスワードを設定したりといった問題が散見される。

前出の警察庁の調査でランサムウエア被害に遭った企業・団体へ実施したアンケートによると、侵入口となる感染経路は「VPN機器」が有効回答45件中の28件、約6割を占めた。次に多いのが「リモートデスクトップ」の10件だった。ランサムウエア被害が発生するたびにVPN装置の脆弱性放置が話題となるが、いまだにVPN装置が原因で侵入されている状況は変わっていない。

さらに侵入経路と見られる機器のセキュリティーパッチの適用状況を聞くと、有効回答35件中の18件、つまり半数以上がセキュリティーパッチを適用していなかったことが分かった。

ランサムウエア被害の中には、委託先が保守用に設置したVPN装置を介して攻撃者の侵入を許してしまった例もある。自社にとどまらず、委託先を含めたセキュリティーの状況を把握して対策を講じる必要がある。

初動対応にも準備がいる

もう1つ重要な観点が初動対応への備えである。いざインシデントが発生すると、当事者は思った以上に焦るものだ。データを暗号化されて脅迫状を突きつけられる差し迫った状況下で、様々な対応と判断を迫られる。

筆者は初動対応の参考となる情報があればよいと思い、日経NETWORKの2024年11月号では「被害を抑える初動対応」という特集を手掛けた。

具体的には、（1）誰が、いつまでに、何をするかを決めておく、（2）被害範囲の特定に役立つ情報をそろえる、（3）相談する専門家をリスト化する、（4）社内の報告ルールを決めておく、（5）第1報を社外に伝える体制を整えておく、（6）経営層の意思決定の基本方針を定めておく――という平時から準備しておくべき6項目をまとめた。

備えあれば憂いなし。今こそ自社のセキュリティー状況を把握し、守れるところは守る体制をつくりたい。初動対応については特集の公開から1年たっていても重要なポイントは変わらないため、ぜひ参考にしていただきたい。被害に遭う企業が少しでも減ればと願ってやまない。