企業のセキュリティ対策・ランサムウェア対策を検討する上で、2025年のランサムウェア被害の傾向を把握し、2026年にどのような攻撃へと展開されていくのかを想定することは企業のセキュリティを検討する上で重要となります。
2026年2月26日(木)16時よりセキュリティセミナーを開催するにあたり2025年のランサムウェア被害の傾向をまとめましたので、その概要をこちらのブログにて先行して一部をご紹介します。
詳細はぜひセキュリティセミナーにご参加頂きまして最新情報を入手頂き、皆様のセキュリティ対策にご活用頂けたらと思います。
変わらぬ脅威、進化を続ける攻撃手法
2025年の企業における情報セキュリティを取り巻く環境は、IPA発表の「情報セキュリティ10大脅威」において「組織」向け脅威の10年連続1位となった「ランサム攻撃による被害」が市場に対して大きな影響を与えた一年でした。
公表された被害の過程を分析していくと、ランサム攻撃だけではなく、2位の「サプライチェーンや委託先を狙った攻撃」、3位の「システムの脆弱性を突いた攻撃」などもランサム攻撃の過程で利用されており、1つを対策するのではなく複合する脅威に対して多層防御を行わなければならない状況へと変化しています。
2025年のランサムウェア攻撃の状況は「前例のない断片化と分散化」が特徴であり、85もの異なる脅威アクターの活動を確認、最も活動が活発であったグループの一つにQilin(麒麟)が上げられ、10月までに700件以上の被害組織を主張し、10月単月でも210件の被害を出した最も活発なグループとして取り上げられています。
その攻撃手法は 高度なRaaS(Ransomware-as-a-Service)プラットフォームを展開し、二重恐喝(暗号化+データ窃取)を行う攻撃が報告されています。
一方で2025年第3四半期での脅迫に対して身代金を支払いした企業は23%〜25%と減少、既存の仕組みでは収益が得られなくなり、2026年はより過激な攻撃が行われることを懸念されています。
出典:Ransomware Attack 2025 Recap – From Critical Data Extortion to Operational Disruption
https://cybersecuritynews.com/ransomware-attack-2025-recap
日本でも大手飲料メーカーの被害や流通大手の被害が記憶に新しいところだと思いますが、その復旧には時間を要し市場への大きな混乱を招いています。一つはサプライチェーンという1社で留まらない流通への影響が現代のITでは発生すること、そして復旧までに数ヶ月を要する複雑なIT環境が混乱を加速させた要因とも言えます。
複雑化するITシステムの課題
早期復旧を阻んだのは認証やシステム間で相互依存するシステムの複雑性が要因として挙げられることを前段では触れましたが、なぜ昨今のランサムウェア被害では早期復旧が難しいのかをまとめたいと思います。
バックアップからリストアすれば良いのでは?と考える方も多いのではないかと思いますが、現在のランサムウェア被害は単純な話で終わらないのが現状です。
最新のバックアップからのリストアでは、マルウェアの混入や侵入口の特定が出来ていないため、再感染のリスクが存在します。つまり汚染された環境とクリーンな環境を解析する必要があり、安全な復旧には隔離環境でのOS再インストールとフォレンジックが必要となります。数千台規模の運用ではこの作業を人の目と作業で行おうとすると物理的な限界を迎えてしまいます。
また、全てのシステムのログとネットワークログなどを保存出来ている場合は全容の把握ができる可能性がありますが、一部でもログの欠落があれば全システムの汚染分析を行わなければならないことには変わりありません。
ここでお伝えしたいのはログの重要さです。境界防御で護られていることが前提の旧来のシステム設計ではPCやサーバー、ネットワークのログの完全性やリアルタイム分析はそこまで求められていませんでしたが、現代のセキュリティ環境は攻撃者はあらゆる手段・侵入方法で攻撃を繰り出してきます。攻撃手法もAIを活用した高度な攻撃となるため境界防御が万全と言い切れない状況に陥ります。
2026年は攻撃者側も収益性の低下に伴い、より重要なシステムに重大な攻撃を行う可能性が高くなります。高度化した攻撃者の動向をいかに把握し、対策を取れるかが重要なポイントとなります。
高度化するランサムウェア攻撃への防衛策
そこで対策の重要なポイントとしておすすめしたいのがあらゆるログのリアルタイム分析と長期保管になります。これらを実現するのがSIEM(Security Information and Event Management)を活用したセキュリティ対策です。
社内のシステムに対して不審な攻撃の痕跡はないか?侵入し権限昇格を行おうとした痕跡はないか?水平展開を実施しようとする動きはないか?攻撃者の怪しい振る舞いを検知し防衛する高度な防衛が求められてきます。
なぜ境界防御ではないか?その答えとして、最新の攻撃手法に対し、これまでの境界型防御やエンドポイントセキュリティではVPN機器への脆弱性攻撃やセキュリティソフト自体を無効化する攻撃(EDR Killerなど)により境界防御は突破され、侵入を許す可能性があるため多層防御のアプローチが重要と言われています。
上記画像はセミナーにて説明予定のスライドの一部になりますが、攻撃者がどのような侵入経路を利用するのか、その後社内のシステムに侵入しどのような行動を行うのか?最後に攻撃対象のデータへのアプローチはどのように行われるのか?攻撃者の手法と行動を知ることで対策を取ることが重要になります。
有名なところではMITRE ATT&CKが皆様も目にしたことがあると思いますが、こちらは全ての脅威をモデル化し自社のシステムがどこまで対策が取れているのかを俯瞰して理解するために重要な取り組みとなります。一方で広範囲で複雑すぎるためセキュリティを専門にしている方以外には難しく断念してしまう方もいるのではないかと思います。
そこで、まずは一般的な攻撃パスに絞り攻撃者側の行動を理解するところから初めて頂くのが良いのではないかと考えています。現在主流の攻撃パスより、クリティカルで脆弱な部分を重点的に防衛し、その後全方面に多層防御の観点から穴を無くすことでランサムウェア被害を防止することが出来るようになります。
また、回復性という言葉を意味するレジリエンスはこれからのセキュリティ対策の中でも重要なキーワードとなります。日頃からのバックアップの確認と復旧トレーニングの実施も併せて推奨させていただきます。
本記事について、より詳しい解説をセミナーにて行いますので、ぜひご参加をいただければと思います。最新の攻撃者の動向と2026年の展望、そして企業システム防衛のために最も重要なポイントを詳しく解説いたします。ぜひお申し込みください。
