はじめに
新卒からずっとフルスタックエンジニアとして働いてきましたが、2025年からREADYFOR株式会社でいわいる情シスとしてのお仕事を始めた大塚です。
アサヒやアスクルなどがランサムウェア被害にあった今年。
実は新卒でお世話になった会社も被害にあうなんてこともあり、
まさに「他人事じゃない!」と身にしみて認識する年となりました。
この記事では今日のランサムウェアの実態や、歴史、これからどうなっていくのかなどを調べてまとめたものになります。
今日時点のランサムウエアの実態
誰がどれくらい被害にあっているのか
まずは警視庁が発表しているデータをみてみると、2025年(令和7年)上半期で116件と、およそ1日半で1件のペースで起きていることがわかります。
また規模別にみると、ニュースなどで世間一般に報道される大手の被害よりも、件数としては中小企業の被害が約7割と多いです。
警視庁のデータは件数のみでお金、被害額の記述はありませんが、
1件あたりの身代金、復旧調査なども含めた被害額については国内平均で2300万、世界平均で数億規模となるようです。
発生件数や、起きたときの被害(事業停止、機密情報の流出、信用低下など)を考慮すると、
うちは中小だから、セキュリティ予算もつかないし、そもそも身代金も大手ほど払えないし狙われないのでは?といった姿勢は間違っていることは明らかそうです。
誰が攻撃しているのか
映画やドラマでみるような黒い画面を前にカタカタキーボードを叩く天才ハッカー的な人たち、組織をイメージしがちですが、今日のランサムウエアは分業化された産業として成り立っています。
RaaS(Ransomware As a Service)...なんでもかんでもas a serviceにするんじゃないよ.
とツッコみたくなりますが、要するに
- ランサムウェアをサービスとして売る人: 新機能の追加や利用マニュアルやサポートの提供をする
- ランサムウェアを実行する人: 開発などはしない、侵入、攻撃を担う
が分かれているということです。
なんだろうものすごい会社っぽいといいますか、儲かるために本気を出している情景が目に浮かぶといいますか、
大枠で捉えるとSaaSベンダーや、広告のシステムととても似ていますよね。
2022年に、コンティというRaaSを提供する組織の内部告発があり、
コードやチャットでのやり取り、マニュアルなどが公開されました。
チャットのログなどから下記のような組織として運営されていたことがわかったようです。
もうまんま会社やん!って感じですね。
- 管理部門
- 交渉
- 情報収集
- プログラム開発
- テスト
- 人事(採用)
- サポート
これまでの歴史とこれから
歴史
| 時代 | おおよその時期 | 主な特徴 | 支払い手段 | 攻撃者の性質 | 重要な変化点 |
|---|---|---|---|---|---|
| 原始期 | 1980年代後半 | 単純な暗号化、郵送による要求 | 郵送・現金 | 個人 | 匿名性がなく拡大しなかった |
| 実験期 | 2000年代 | 愉快犯・実験的攻撃、金銭目的は弱い | 銀行振込など | 個人・小規模集団 | 「儲かる犯罪」ではなかった |
| 転換期 | 2010年代前半 | 法人狙いが増加、標的型 | 暗号資産 | 小規模グループ | 匿名送金が可能に |
| 事業化期 | 2010年代後半 | 高額化、確実に払えそうな標的 | 暗号資産 | 組織化集団 | ビジネスとして成立 |
| 分業期 | 2020年代〜 | RaaS、アフィリエイトモデル | 暗号資産 | 分業化された組織 | 参入障壁の低下 |
| 現在 | 2020年代後半 | 二重・三重恐喝、非暗号化 | 暗号資産 | エコシステム | 攻撃対象が「組織」へ |
ChatGPTに、表にまとめてもらいました。
技術的なブレイクスルーとして暗号資産や、ダークウェブ(Thor)の登場が背景にあることが伺えます。
また最初個人や小規模な法人からスタートし、徐々にエンタープライズ企業も対象にして単価を上げていく流れは、まさにSaaS企業がやってきた手法と同じですね。
これから
非常に迷惑な話ではあるのですが、攻撃側の視点としては「どうやったらもっと儲かるのか」がポイントであることはわかりました。この前提に立つと、要するに売上を上げるか費用を下げる方向に移っていくことはわかります。
暗号化はあまり重要でなくなる?
「ノーウェアランサム」という暗号化はせず、盗んだデータのみを人質にとる手法はすでに発生しています。ランサムウェアの被害が広がるにつれて、企業側の対応も洗練されてくれば、「暗号化されてもすぐに復旧できる」という状態になっていくかもしれません。そうなると暗号化自体は人質にならないので、それよりも「データ」を人質にして身代金の交渉をしたほうが効率的です。
大企業から中小企業、個人へシフト?
大企業に攻撃をしかけても中々突破できないとなった場合、単価ではなく数量をさばく方針で、比較的防御の薄い中小企業や個人に標的を移すことは起こりえそうです。
AIを使えば、ターゲットの選定から調査、個別プランの策定、実行まで同時並列で大量のターゲットに対して行えそうです。
今後やりたいこと
個人目線
今回は深堀りしませんでしたが、「剣」があれば「盾」(調査会社や保険など)もあるわけで、
復旧や調査を行う組織のことも調べたり、技術的なランサムウェアの中身についても勉強していみたいと思いました。
お仕事目線
予防はしつつも、ある程度誰にでも起きてしまう不幸として、起きる前提の準備が大事ですね。
実際起きたときのことを想像してみると..
技術の話では済むはずもなく、経営の話になるのは容易に想像がつきます。
想定や訓練なしでいざ本番になってしまうと詰んでしまうので、事前の準備、日頃の訓練が必須です。
- 報連相はどのような体制で行うのか、どこに情報をあつめて、何について誰が判断するのか
- 交渉、調査、復旧、サポートをどの専門組織にお願いするのか
- 身代金払う、払わない問題(払っても復旧してくれる確証はなし、犯罪組織への加担となる)の意思決定
- 事実の公表をどのようにするのか
- 公表をすれば問い合わせが増えるので、窓口の体制をどうするのか
- ネットワーク切断、ログの収集などの一次措置
- 調査、復旧(ないし代替手段による事業継続)