ランサム攻撃を発見する陰の実力者 EDRよりも優れていたのは【読者調査】：ランサムウェア攻撃と対策（2025年）／前編

ランサムウェア攻撃は激化を続け、対策を打たなければ自社が危険にさらされる段階に入った。攻撃の結果、どのような被害を受けたのだろうか。誰が攻撃を検知したのだろうか。

[ITmedia]

　IPA（独立行政法人情報処理推進機構）が「情報セキュリティ10大脅威 2025［組織］」を2025年1月30日に発表した。「ランサム攻撃による被害」が5年連続で首位となり、この脅威が年々拡大している様子が見て取れる。

情報セキュリティ10大脅威 2025［組織］の内容（提供：IPA）

「ランサムウェア被害経験あり」は4割弱、身代金の支払いに応じる企業も

　企業側の現状を把握するため、キーマンズネットが実施したアンケートの結果を報告する。

　このような状況下で企業はサイバー攻撃にどのような打ち手を考え、対策を講じているのか。企業のセキュリティ対策をつまびらかにするために、キーマンズネットは「ランサムウェア攻撃と対策」と題した読者企業向けアンケートを実施した（実施期間：2025年2月5日〜14日、回答件数：143件）。

　以降で、読者企業のサイバー攻撃の被害状況や組織運営の影響、ランサムウェア攻撃の被害に気が付いたタイミング、従業員へのセキュリティ教育の実施状況などを調査結果と基に紹介する。

　過去にランサムウェア攻撃を受けたことがあるかと尋ねた設問では、被害に遭ったという回答が35.7％に達した。

　この結果を従業員規模別に見ると、特に1000人以上の規模でほぼ半数に当たる47％がランサムウェアの被害に遭っていたことに対し、500人以下の中堅・中小企業では8割弱が「被害に遭ったことはない」と回答した。

　ランサムウェア攻撃を受けた原因として多く挙がったのは「フィッシングメールの開封」（16.8％）や「悪意のあるWebサイトへのアクセス」（7.7％）、「VPN機器の脆弱（ぜいじゃく）性の悪用」（4.9％）で、中には「原因が分からない」（5.6％）とリスクの高い状態の企業も存在した（図1）。

　500人以下の企業からは「ユーザーによる不正なソフトのインストール」や「原因が分からない」という回答があった。

　このような原因をつぶすような対策が必要だ。

ランサムウェア攻撃の被害内容（複数回答）

　ランサムウェア攻撃によって発生した被害はどうだろうか。

　「分からない」（37.3％）という回答を除くと、割合が高い項目順に「マルウェア感染」（29.4％）、「ランサムウェアによるデータの暗号化」（25.5％）、「情報漏えい」（19.6％）という結果が得られた（図2）。

図2　ランサムウェア攻撃によって発生した被害（複数回答）

　図2は上から順に攻撃を受けた時点から、復旧・回復後まで時系列で回答を並んでいる。

　見方を変えると、マルウェア感染の段階で食い止められたケースが3割ほどしかないとも言えそうだ。多くは第三者にデータを暗号化されたことで「業務システムの停止」（15.7％）や「復旧費用の支払い」（13.7％）に追い込まれたり、情報漏えいによって「ブランドや信用の損失」（3.9％）が生じている。また、少数ながら「身代金の支払い」（2.0％）に応じた企業もあり、身近に危険が潜んでいる現状を再認識する必要がありそうだ。

「システムが暗号化」「犯行声明が届いた」など、被害発生で発見されるケースも

　IPAはランサムウェア攻撃が「初期侵入」「内部活動」「ファイル持ち出し」「ランサムウェア実行」という4つの主要な段階に分かれるとしている。内部活動では侵入後に攻撃を受けた企業の社内ネットワークを用いた水平展開が進む。ランサムウェア実行後には脅迫を受ける。

　被害を受けた企業はどの時点でランサムウェア攻撃に気付いたのだろうか。被害の発見タイミングを聞いたところ「分からない」（27.5％）が最多だった。検知がうまくいっていない可能性が高く、攻撃が後ろの段階に進んでしまう。

　ついで「標的型攻撃メールをメールセキュリティソリューションで検知した」（21.6％）、「EDR／XDRによって検知した」（13.7％）だった（図3）。これは初期侵入から内部活動フェーズでの検知に当たる。

　このような企業は専門ソリューションによって脅威からユーザー環境を守ることができたケースに当たる。

図3　ランサムウェア攻撃の発見タイミング

　残念ながら、「マルウェアに感染した」（11.8％）や「システムが暗号化された」（7.8％）、「攻撃者から犯行声明が届いた」（3.9％）など、実被害に遭った後で発見につながるケースも依然としてある。

ランサムウェアへの”意識の差”が生むリスク

　全体的には、企業におけるランサムウェア攻撃に対するセキュリティ意識は向上しつつあると見てもよさそうだ。

　攻撃を受けた企業に対し「誰がランサムウェア攻撃を発見したか」を聞いたところ、「従業員からの通報を受けた」（33.3％）が、「セキュリティ担当部門が発見した（ソリューション以外）」（31.4％）や「EDR/XDRソリューションからの通知を担当部門が受けた」（7.8％）を上回っていたからだ（図4）。キーマンズネットの調査（2024年10〜12月）によれば、EDRの導入割合は回答者の57.1％に達している。これは従業員のセキュリティ意識や能力が高まっていると言ってよいだろう。

図4　ランサムウェア攻撃を発見したのは誰か

　事実、企業が従業員に対して実施しているセキュリティ教育では「パスワード管理についての教育」（57.3％）や「インターネット利用」（53.8％）に続いて、「フィッシングメールトレーニング」（52.4％）や「模擬攻撃訓練」（35.7％）が多く実施されている（図5）。これまで企業が続けてきた教育や文化醸成の結果が、従業員のセキュリティ意識向上に役立っていると言えるだろう。

図5　従業員に対して実施しているセキュリティ教育（複数回答）

　ただし、まだまだ油断は禁物だ。「ランサムウェア攻撃への印象」をフリーコメントで聞いたところ、「日常的に感染の可能性があるので注意が必要」とする回答もあれば「未だ実被害がない。ネットニュースで見るくらいなので恐怖感が少ない」との声もあり、まだまだ捉え方にギャップがあるのが実態のようだ。

　こうした意識の差は脅威に対する対応の差につながり、大きなリスクを生む。「ランサムウェアは組織や人の脆弱性を突いてくる」という回答もあった。

　「従業員全般が被害に遭ったときの影響に対する想像力がまだ足りないと感じている」や「上層部の教育が足りない」といった人的課題や、「セキュリティソリューション利用に二の足を踏む」といったシステム的課題の隙を突くのがランサムウェア攻撃だ。

　本稿で取り上げた被害実態を他山の石として、自社状況に合わせた対策の検討に生かしてほしい。

　後編では、ランサムウェア攻撃に対する企業の対策状況を中心に調査結果を紹介しよう。