2025年にランサムウェア攻撃を受けたアサヒビールは、身代金を支払わずに自力で復旧を果たした数少ない大企業の一つである。同社は攻撃直後から社外専門家を含む調査委員会を設置し、侵入経路、被害範囲、情報流出の有無を徹底的に検証した。復旧には多大な時間とコストを要したものの、犯罪組織への資金提供を避け、事業を再開させた点は国内外から高く評価されている。
調査によれば、攻撃者はロシア系とされる「Qilin」グループで、グループ内ネットワーク機器を経由してデータセンターに侵入し、複数のサーバを暗号化した。この攻撃により受注・出荷システムが停止し、工場稼働にも影響が及んだほか、顧客や従業員の個人情報約191万件が漏えいした可能性があるとされた。アサヒビールは身代金の支払いを拒否し、システムの再構築とデータ復旧を独自に進めたが、その過程は容易ではなく、事業継続に深刻な影響が生じた。
国内企業全体を見ても、ランサムウェア被害の深刻さは年々増している。日本サイバー犯罪対策センター(JC3)が2023年に実施した調査では、222社が身代金を支払ったと回答し、そのうち約6割がデータを完全には取り戻せなかった。これは、当時から「身代金を払っても復旧できない」構造的な問題が存在していたことを示す基礎データである。
警察庁が2025年に公表した「サイバー空間をめぐる脅威の情勢」では、2025年の被害報告件数は226件と依然高水準で、長期にわたり企業活動が阻害され、国民生活に影響を及ぼした事例も確認された。こうしたことからも、その後の国内動向がむしろ悪化していることを裏付けている。被害企業の約6割が中小企業、製造業が4割を占めるなど、幅広い業種で被害が発生している。また、復旧費用は高額化し、総額1000万円以上を要した組織が5割を超え、復旧期間も長期化している。さらに、暗号化せずにデータを窃取して公開を予告する「暗号化しないランサム」や、RaaS(Ransomware as a Service)による攻撃者の裾野拡大など、新たな手口も確認されている。
こうした状況を踏まえると、企業が取るべき対策は明確である。まず、侵入の「隙」を作らないために、ソフトウェア更新、パスワード管理、アクセス権限の適正化など基本的なセキュリティ対策を徹底する必要がある。とくに侵入経路の6割以上を占めるVPN機器の脆弱性対策は急務である。また、攻撃を完全に防ぐことは困難であるため、サイバー攻撃を想定した業務継続計画(BCP)の策定、オフラインバックアップの確保、ログの取得、初動対応訓練など、被害を最小化する体制づくりが不可欠となる。警察庁も、被害発生時には早期通報を促し、復号ツールの提供や初動助言などの支援を行っている。
ランサムウェアは、支払いによって解決する問題ではなく、企業の存続と社会基盤を揺るがす構造的な脅威である。アンケート結果や企業事例、警察発表が示す現実を踏まえ、企業は攻撃を前提とした備えを急ぐ必要がある。
