セミナー情報ランサムウェア被害事例10選【最新】日本・海外組織の被害と必須のセキュリティ対策
ランサムウェアによるサイバー攻撃は、国内外を問わず多くの組織にとって深刻な経営リスクです。
本記事では、最新の国内・海外の被害事例を10件取り上げ、どのような組織がどのような被害を受けたのかを具体的に解説します。
過去の事例から攻撃手法のトレンドと原因を分析し、すべての組織が今すぐ実施すべき必須のセキュリティ対策と、万が一の初動対応まで網羅的に紹介します。
・ランサムウェア攻撃の深刻化と組織が直面する現実
・【国内編】ランサムウェアの被害を受けた企業事例6選
・【海外編】ランサムウェアによる大規模被害の事例4選
・事例から分析するランサムウェアの主な感染経路トップ3
・被害を未然に防ぐ!今すぐ実施すべき5つのセキュリティ対策
・万が一ランサムウェアに感染してしまった場合の初動対応
・ランサムウェアに関するよくある質問
・まとめ
ランサムウェアとは
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、マルウェア(悪意のあるソフトウェア)の一種です。
このウイルスに感染したコンピュータやサーバーは、保存されているファイルが勝手に暗号化され、利用できない状態に陥ります。
攻撃者は、暗号化を解除すること(復号)と引き換えに、身代金の支払いを要求してくるのが特徴です。
昨今では、単にデータを暗号化するだけでなく、事前に窃取した機密情報や個人情報を「公開する」と脅し、金銭を二重に要求する「二重脅迫」型の手口が主流となっています。
この手口により、たとえバックアップからデータを復旧できたとしても、情報漏洩という深刻な被害が残るため、組織はより困難な対応を迫られます。
ランサムウェア攻撃の深刻化と組織が直面する現実
昨今のサイバー攻撃のなかでも、ランサムウェアによる被害は特に深刻化しています。
IPA(情報処理推進機構)が発表する「情報セキュリティ10大脅威」では、組織編においてランサムウェアが長年にわたり1位に位置付けられており、その脅威度の高さを示しています。
手口は年々巧妙化・悪質化しており、従来の大規模組織を狙った標的型攻撃に加え、脆弱性のあるシステムを無差別に狙う攻撃も増加傾向です。
警察庁によれば、国内におけるランサムウェアの被害報告件数は高水準で推移しており、発生件数からもその脅威が身近に迫っていることが分かります。
【国内編】ランサムウェアの被害を受けた企業事例6選
日本国内においても、組織の規模や業種を問わず、ランサムウェアによる被害事件が後を絶ちません。
ここでは、国内で実際に発生した6つの事例を紹介します。
これらの事例は、どのような経路で侵入を許してしまったのか、攻撃が事業継続にどれほど深刻な影響を及ぼすかを知るうえで重要な示唆を与えてくれます。
【出版】大手出版社のWebサイト停止|動画配信など複数サービスが利用不可に
2024年、大手出版社が大規模なランサムウェア攻撃を受け、複数のWebサイトやサービスが長期間にわたり停止する事態となりました。
この攻撃により、同社が運営する動画配信サービスやECサイト、電子書籍プラットフォームなどが利用不可となり、ユーザーに大きな影響を与えました。
サーバーが暗号化されたことで、社内システムも機能不全に陥り、通常の業務継続が困難になったと報告されています。
2024年を代表するこの事例は、デジタルサービスを中核事業とする組織にとって、サイバー攻撃が事業の根幹を揺るがす致命的なリスクであることを明確に示しました。
| 日時 | 2024年6月ごろ |
|---|---|
| 原因 | フィッシングによる従業員アカウントの窃取 |
| 被害内容 | ・約25万人分の個人情報漏洩 ・運営する複数のサービスサイト停止 |
【自動車】大手自動車メーカーの工場稼働停止|サプライチェーン全体に影響が波及
2022年、部品供給を担う取引先へのランサムウェア攻撃が原因で、大手自動車メーカーが国内全工場の稼働を一時停止せざるを得ない状況に追い込まれました。
この事例は、自社のセキュリティが強固であっても、取引先などサプライチェーン上の弱点を突かれることで甚大な被害が生じる「サプライチェーン攻撃」の典型例です。
製造業では、部品調達から生産、出荷に至るまで多くの組織が連携しており、一社のシステム停止が連鎖的に全体へ影響を及ぼす危険性があります。
この事件は、自組織だけでなく、サプライチェーン全体のセキュリティ強化が不可欠であることを浮き彫りにしました。
| 日時 | 2022年2月~3月ごろ |
|---|---|
| 原因 | リモート接続機器の脆弱性 |
| 被害内容 | 国内全工場のラインが1日停止 |
ちなみに、こうしたサプライチェーン攻撃への対応策として、経産省は「サプライチェーン強化に向けたセキュリティ対策評価」制度の運用を2026年度末に予定しています。
【医療機関】クリニックでのシステム障害|約3ヶ月間通常業務停止
2025年2月、栃木県のクリニックにおいて、サーバーがランサムウェア攻撃を受ける事態が発生しました。
この攻撃により、電子カルテシステムを含む院内ネットワークのデータが暗号化され、ツールが正常に機能しないシステム障害に陥ったと発表されています。
同クリニックは被害拡大を防ぐため、即座にサーバーを外部ネットワークから遮断する措置を講じましたが、その結果として通常診療の継続が困難となりました。
さらに、この攻撃ではデータの暗号化だけでなく情報漏洩の疑いも浮上しています。患者や組織関係者の氏名、住所、診療情報、健康診断結果など、最大で約30万件にのぼる個人情報が流出した可能性が報告されました。
この事例は、医療機関が狙われた際、地域住民の生命を守る診療活動が長期にわたって制限されるという、極めて深刻な現実を突きつけています。
| 日時 | 2025年2月ごろ |
|---|---|
| 原因 | 現時点で未発表(2026年2月現在) |
| 被害内容 | ・約30万人分の個人情報漏洩 ・電子カルテシステム停止による診療業務停滞 |
【製造】大手飲料メーカーのシステム障害|情報漏洩被害も確認
2025年に入り、大手企業を狙ったサイバー攻撃はさらなる激化をみせています。
最新の事例として、2025年9月に大手飲料メーカーのグループ組織がランサムウェア攻撃を受け、大規模なシステム障害が発生した事案が報告されました。
この攻撃では、組織内のネットワーク機器が侵入の起点となりました。攻撃者はその拠点を足がかりにデータセンターへ侵入し、ネットワークにつながる複数のサーバーやPCのデータを一斉に暗号化しました。事態を重くみた組織は、被害拡大をおさえるために即座にネットワークを遮断し、データセンターを隔離する措置を講じています。
調査のなかで、暗号化だけでなく一部のPCからデータが流出した事実も判明しました。流出した情報には従業員の個人情報が含まれており、サーバー内のデータについても漏洩のおそれが否定できない状況です。
本被害企業は外部の専門家と連携し、2025年11月には個人情報保護委員会へ詳細を報告。全国放送の記者会見を実施するなど、事後対応に追われています。
| 日時 | 2025年9月ごろ |
|---|---|
| 原因 | グループ内ネットワーク機器からの侵入 |
| 被害内容 | ・約190万人分の個人情報漏洩(漏洩した可能性のあるものを含む) ・物流システム停止による出荷業務停滞 |
【小売】通販大手の主要サービス停止|約4か月の潜伏期間で社内ネットワークを掌握
2025年10月、オフィス用品を中心に取り扱う大手通販企業でランサムウェア被害が発生しました。
攻撃を検知後、ただちにランサムウェアに感染した疑いのあるシステムの切り離しがおこなわれたものの、当日中に主要ECサービスの受注/出荷業務は停止。同年12月にはWebでの注文受付が再開されましたが、完全復旧までにはまだ時間がかかる見込みです。
また同時に、約74万件におよぶ個人情報の流出が報告されています。
2025年12月に公表された調査報告書によると、最初の不正侵入は同年6月。被害が顕在化する10月まで、約4か月にわたって攻撃者は社内ネットワーク内で活動していました。管理者権限の取得を目的としてログイン試行や、脆弱性対策ソフトの無効化などがおこなわれていたとのことです。
| 日時 | 2025年10月ごろ(侵入開始は同年6月) |
|---|---|
| 原因 | 業務委託先に付与した管理者アカウントより侵入 ※多要素認証などの措置なし |
| 被害内容 | ・約74万人分の個人情報漏洩 ・主要ECサービス停止 |
【食品】大手製粉会社のシステム障害|バックアップまで暗号化された事例
2021年、大手製粉会社グループのサーバーが攻撃を受け、大規模なシステム障害が発生しました。
この攻撃では、業務で利用する基幹システムだけでなく、復旧の最後の砦であるはずのバックアップデータまで暗号化されてしまい、システムの復旧をより困難にしました。
攻撃者は組織がバックアップから復旧することを見越して、意図的にバックアップシステムを狙う傾向を強めています。
この事件は、バックアップを取得するだけでなく、その保管方法や復旧手順の確立がいかに重要であるかを物語っています。
| 日時 | 2021年7月ごろ |
|---|---|
| 原因 | 現時点で未発表(2026年2月現在) ※ランサムウェアとは明言されず |
| 被害内容 | 販売管理システム、財務会計システムを含む複数サーバーおよびバックアップサーバーのデータ暗号化 |
【海外編】ランサムウェアによる大規模被害の事例4選
ランサムウェアの脅威は国境を越え、世界中の組織に深刻な被害をもたらしています。
海外では、社会インフラやグローバルなサプライチェーンを巻き込む、より大規模で社会的な影響の大きい事件が発生しているのが特徴です。
ここでは、世界の安全保障や経済活動にまで影響を及ぼした代表的な4つの事例を紹介します。
【インフラ】米国大手石油パイプラインの操業停止|社会インフラを狙った攻撃
2021年、米国の東海岸へ石油製品を供給する最大手のパイプライン運営会社がランサムウェア攻撃を受け、数日間にわたり操業を停止しました。
この攻撃は社会インフラを直接の標的としたもので、パイプラインの停止により広範囲でガソリン不足や価格高騰が発生し、社会的なパニックを引き起こしました。
本件、エネルギー供給網のような国家の重要インフラがいかにサイバー攻撃に対して脆弱であるかを露呈させ、国家レベルでのセキュリティ対策の重要性を世界に知らしめる契機となりました。
| 日時 | 2021年5月ごろ |
|---|---|
| 原因 | 情シス担当の把握していなかったVPN経由の侵入 |
| 被害内容 | ・約6日間の操業停止 ・約440万ドルの身代金支払い |
【IT】IT管理ツール提供企業への攻撃|顧客へ被害が連鎖
2021年、ITインフラの管理ソリューションを提供する大手企業がランサムウェア攻撃を受け、その被害が同社のツールを利用する多数の顧客組織へと連鎖的に拡大しました。
ソフトウェアの正規のアップデート機能が悪用され、顧客の環境にランサムウェアが送り込まれたサプライチェーン攻撃の一種です。
クラウドサービスやIT管理ツールを提供する組織を踏み台にすることで、攻撃者は一度に多くの組織を攻撃できます。
この事例は、利用しているソフトウェアやクラウドサービスの提供元が攻撃された場合のリスクを考慮する必要性を示しています。
| 日時 | 2021年7月ごろ |
|---|---|
| 原因 | 製品の脆弱性に対するゼロデイ攻撃 |
| 被害内容 | 顧客約1,500社へのランサムウェア拡散 |
【食品】世界最大級の食肉加工会社が操業停止|身代金を支払い復旧
世界最大級の食肉加工会社がランサムウェア攻撃を受け、北米やオーストラリアの工場が一時操業停止に追い込まれました。
この攻撃は、食料品のサプライチェーンに深刻な影響を及ぼし、供給不足への懸念から卸売価格が高騰しました。
同社は事業への影響を最小限におさえ、迅速なシステム復旧を目指すため、最終的に攻撃者に対して1,100万ドル(当時のレートで約12億円)という巨額の身代金を支払ったことを公表しています。
| 日時 | 2021年5月ごろ |
|---|---|
| 原因 | 従業員の認証情報を窃取し侵入 |
| 被害内容 | ・約4日間の一部操業停止 ・1,100万ドルの身代金支払い |
【医療機関】ロンドンの医療機関が機能不全に|医療現場が大混乱
2024年、イギリスの医療系サービスプロバイダが大規模なランサムウェア被害を受けました。
当該機関の提供するサービスを利用していた複数の病院・診療所に影響を与え、計画されていた数千件の手術や予約がキャンセルになったとする報道も出ています。
ランサムウェアは多くの組織に対して計り知れない影響を及ぼすものですが、人命を取り扱う医療機関においては文字通り致命的な被害を与える可能性があります。本事例は、医療機関のサイバーセキュリティ対策がいかに重要であるかを世界的に知らしめるものとなりました。
| 日時 | 2024年6月ごろ |
|---|---|
| 原因 | 侵入経路特定できず |
| 被害内容 | ・血液検査などの一部病理学検査サービスの停止 ・患者の個人情報流出 ・インシデントによる混乱を起因とした死亡事例1名 |
事例から分析するランサムウェアの主な感染経路トップ3
これまで紹介してきた数々の事例において、攻撃者が組織のネットワークに侵入するために利用した手口には、いくつかの共通したパターンがみられます。
ランサムウェアというウイルスに感染する原因を正しく理解することは、効果的な対策を講じるうえでの第一歩です。
ここでは、国内外の被害事例から分析した、特に注意すべき主な感染経路を3つに絞って解説します。
1. VPN機器の脆弱性を突いたネットワークへの侵入
テレワークの普及に伴い、社外から社内ネットワークへ安全に接続するために利用が拡大したVPN機器が、主要な感染経路の一つとなっています。
多くの組織で利用されているVPN機器にファームウェアの更新漏れといった脆弱性が存在すると、攻撃者はそこを足がかりとしてネットワーク内部へ侵入するのです。
一度侵入を許すと、内部で権限を奪取しながら感染を拡大させていきます。
公開されている脆弱性を放置することが、攻撃者に侵入の機会を与えてしまう最も典型的な原因です。
定期的な脆弱性情報の確認と、迅速なセキュリティパッチの適用が不可欠となります。
2. リモートデスクトップの認証情報を窃取した不正アクセス
サーバーメンテナンスなどの目的で利用されるリモートデスクトップ(RDP)も、攻撃者によく狙われる侵入経路です。
特にリモートデスクトップの接続ポートがインターネットに公開されており、なおかつパスワードが推測しやすい単純なものに設定されている場合、総当たり攻撃(ブルートフォース攻撃)などによって認証が破られ、容易に不正アクセスを許してしまいます。
近年では、RaaS(Ransomware as a Service)と呼ばれる、ランサムウェア攻撃ツールがサービスとして提供されるモデルが普及しており、闇市場で不正に入手した認証情報が売買され、攻撃に悪用されるケースも増えています。
3. 従業員を欺く巧妙なフィッシングメール
技術的な脆弱性だけでなく、人的な油断を突く手口も依然として主要な感染経路となっています。
その代表格が、実在する取引先や公的機関、あるいは自組織の情報システム部門などを装って送りつけられるフィッシングメールです。
メール本文は業務に関連する自然な内容を装っており、受信者に何の疑いも抱かせずに、ウイルスが仕込まれた添付ファイルを開かせたり、不正なWebサイトへのリンクをクリックさせたりします。
従業員一人ひとりが「自分も狙われる可能性がある」という意識をもち、不審なメールに注意を払うことが、この種の攻撃を防ぐうえで非常に重要です。
被害を未然に防ぐ!今すぐ実施すべき5つのセキュリティ対策
ランサムウェアによる深刻な被害は、日頃からの適切なセキュリティ対策によって、そのリスクを大幅に低減させることが可能です。
攻撃を受けてから対応するのではなく、被害を未然に防ぐための予防策を講じることが大切になります。
ここでは、組織の規模や業種を問わず、すべての組織が今すぐ実施すべき基本的かつ効果的な5つのセキュリティ対策を紹介します。
対策2:多要素認証(MFA)で不正ログインを阻止する
対策3:データのバックアップを定期的に取得し復旧手順を確認する
対策4:EDRを導入して不審な挙動を早期に検知・対応する
対策5:全従業員を対象としたセキュリティ教育を繰り返し実施する
対策1:OSやソフトウェアを常に最新の状態に保つ
ランサムウェア攻撃の多くは、OSやソフトウェアに存在する既知の脆弱性を悪用して侵入します。
そのため、利用しているすべてのサーバー、PC、ネットワーク機器、ソフトウェアのバージョンを管理し、提供元からセキュリティパッチが公開された際は、迅速に適用して常にシステムを最新の状態に保つことが、最も基本的で重要な対策です。
脆弱性を放置することは、攻撃者に侵入の扉を開けているのと同じ状態です。
IT資産管理ツールなどを活用し、組織内のすべての機器でパッチ適用が徹底されているかを確認する体制を構築しましょう。
対策2:多要素認証(MFA)で不正ログインを阻止する
VPNやリモートデスクトップ、クラウドサービスなどへのログインにおいて、IDとパスワードのみに頼った認証は非常に危険です。パスワードが漏洩したり、推測されたりした場合、簡単になりすましによる不正ログインを許してしまいます。
これを防ぐためには、知識情報(パスワードなど)に加えて、所持情報(スマートフォンアプリなど)や生体情報(指紋など)を組み合わせる多要素認証(MFA)の導入が不可欠です。この仕組みは、ゼロトラストセキュリティの考え方にも通じるもので、万が一パスワードが漏れても、不正アクセスを効果的に阻止できます。
対策3:データのバックアップを定期的に取得し復旧手順を確認する
万が一ランサムウェアに感染し、データが暗号化された場合、重要データのバックアップは事業継続のための生命線となります。
バックアップは定期的に取得し、少なくとも1つはネットワークから切り離された場所(オフライン)や、別のクラウドストレージなどに保管する「3-2-1ルール」を実践することが推奨されます。
また、バックアップを取得するだけでなく、その後実際にそのデータからシステムを復旧できるかを確認するリストア訓練を定期的におこない、緊急時に慌てず対応できる手順を確立しておきましょう。
対策4:EDRを導入して不審な挙動を早期に検知・対応する
従来のアンチウイルスソフト(EPP)は、既知のウイルスパターンに合致するファイルを検知する「入口対策」が主であり、未知のウイルスや巧妙な攻撃手法による侵入を100%防ぐことは困難です。
そこで有効なのが、PCやサーバーなどエンドポイントの操作ログを常時監視し、万が一の感染を前提として、侵入後の不審な挙動(ファイルの大量暗号化など)を検知して迅速に隔離・対応するEDR(Endpoint Detection and Response)です。
EDRを導入することで、被害が拡大する前に対処できる可能性が高まります。
対策5:全従業員を対象としたセキュリティ教育を繰り返し実施する
フィッシングメールによる感染など、従業員の人的な脆弱性を狙った攻撃に対しては、技術的な対策だけでは限界があります。
そのため、全従業員を対象としたセキュリティ教育を定期的に実施し、セキュリティ意識を向上させることが不可欠です。
不審なメールの見分け方、怪しい添付ファイルやURLを安易に開かないこと、インシデントを発見した際の報告ルールなどを周知徹底します。
また、実際に標的型攻撃メールを模したメールを送信する実践的な訓練をおこなうことで、従業員の対応能力を養うことも効果的です。
万が一ランサムウェアに感染してしまった場合の初動対応
どれだけ万全な対策を講じていても、巧妙化するサイバー攻撃を100%防ぎきることは困難です。
そのため、実際にランサムウェアへの感染が疑われる事態が発生した際に、被害を最小限におさえるための初動対応手順をあらかじめ定め、関係者間で共有しておくことが極めて重要になります。
パニックにならず、冷静かつ迅速に行動することが、被害拡大を防ぐ鍵となります。
ステップ1:感染した端末をネットワークから即座に切り離す
ランサムウェアへの感染が疑われる、あるいはPC上に脅迫文が表示されるなどの事態を発見した場合、最初におこなうべきことは、その端末をネットワークから物理的に切り離すことです。具体的には、LANケーブルを引き抜く、あるいはWi-Fiをオフにするなどの対応を取ります。
これにより、ランサムウェアがネットワークを介して他のサーバーやPCへと感染を広げる「横展開」を防ぎ、被害の拡大をおさえることができます。
ステップ2:専門家や警察など外部機関へ迅速に報告・相談する
感染拡大防止の措置と並行して、自組織内での判断に頼らず、速やかに外部の専門機関へ報告・相談しましょう。契約しているセキュリティベンダーやインシデント対応の専門チームに連絡し、技術的な支援を要請します。
同時に、所轄の警察署やサイバー犯罪相談窓口、IPA(情報処理推進機構)などの公的機関にも通報し、対応についてのアドバイスを求めます。
事後には被害状況や対応策をまとめた報告書の提出が求められる場合もあるため、初期段階から連携を取ることが重要です。
ステップ3:バックアップデータからの復旧可能性を調査する
外部機関と連携しつつ、被害範囲の特定を進めるとともに、事前に取得していたバックアップデータからの復旧が可能かどうかを慎重に調査します。
バックアップデータ自体がランサムウェアに感染していないか、いつの時点のデータまで正常な状態で残っているかを確認し、システムの復旧計画を立案します。
攻撃者は復旧を妨害するためにバックアップサーバーごと暗号化・破壊することもあるため、バックアップの健全性を確認することは大切なプロセスです。
この調査結果が、身代金を支払わずに事業を再開できるかを判断する材料となります。
ランサムウェアに関するよくある質問
ランサムウェア攻撃は、2020年以降、その手口が急速に悪質化・巧妙化しており、多くの組織担当者が対応に苦慮しています。
ここでは、ランサムウェアの事例や対策を検討するうえで、特によく寄せられる質問とその回答をまとめました。
これらのQ&Aを通じて、脅威に対するより深い理解を得て、自組織のセキュリティ対策に役立ててください。
ランサムウェア攻撃の身代金は支払うべきですか?
結論として、身代金は支払うべきではありません。支払ってもデータが必ず復旧される保証はなく、攻撃者に資金を提供し、さらなる犯罪を助長する結果につながるためです。
日本の警察庁やIPAをはじめ、世界の多くの公的機関が身代金を支払わないよう強く推奨しており、実際多くの組織が支払いを拒否する選択をしています。
中小企業や地方の組織も攻撃のターゲットになりますか?
はい、組織の規模や所在地に関わらず、すべての組織がターゲットになりえます。
近年の攻撃は、特定の組織を狙い撃ちするだけでなく、インターネット上で脆弱性のある機器を無差別に探し出して攻撃する傾向もあります。
セキュリティ対策が手薄になりがちな中小企業こそ、攻撃者にとっては格好の標的であり、実際に被害も増加しています。
最近の攻撃で警戒すべき「二重脅迫」とはどのような手口ですか?
二重脅迫とは、データを暗号化して身代金を要求するだけでなく、事前に窃取した機密情報を「インターネット上に公開する」と脅して、二重に金銭を要求する手口です。
これにより、バックアップから復旧できても情報漏洩の脅威が残ります。
本記事で紹介したいくつかの事例でも、この手口の可能性が指摘されています。
まとめ
本記事で紹介した国内外の事例から分かるように、ランサムウェア攻撃は組織の事業継続を根底から揺るがす深刻な脅威です。
攻撃手法は日々進化しており、2026年に向けて、その巧妙さや悪質さはさらに増していくと予測されます。
特に金融機関や重要インフラを担う組織は、これまで以上に高度な防御体制が求められます。
大型連休がはじまる5月などは、システムの監視体制が手薄になりがちで、攻撃者に狙われやすい時期としても知られています。
技術的な対策はもちろん、全従業員のセキュリティ意識向上といった人的な対策を両輪で進め、継続的にセキュリティ体制を見直し、強化していくことが不可欠です。
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
