本記事の集計対象とソース

本記事は、2022年1月〜2026年5月に国内で発生し当事者または報道機関により被害が公表されたランサムウェア事例150件を、業界別・規模別・身代金額・侵入経路・復旧期間で集計・分析したものです。集計ソースは警察庁「ランサムウェアの令和7年中における被害状況」、IPA「情報セキュリティ白書」、JPCERT/CC、各社の公表IR・お詫び文、Microsoft Digital Defense Report、Mandiant M-Trendsを使用しています。

特定の企業名は引用しません。傾向と頻出パターンを抽出し、自社対策の優先順位付けに使えるデータにまとめます。個別の被害分析はランサムウェア対策ガイド、復旧手順はDefender for Endpointでのランサム対策を参照してください。

📊 全体サマリー(150事例)
  • 事業継続停止が発生した事例:78%
  • 二重恐喝(暗号化+データ漏えい脅迫)の比率:67%
  • 復旧まで平均期間:32日(中央値21日)
  • 復旧コスト中央値:1.2億円(中堅企業)
  • 身代金要求額平均:1.8億円(公表事例のみ)
  • 身代金支払い率:9%(公表事例ベース、実態はより高い可能性)

業界別の傾向

業界件数平均復旧日数主な侵入経路
製造業42件38日VPN脆弱性、サプライチェーン経由
医療・介護23件56日VPN脆弱性、保守ベンダー経由
物流・運輸18件28日RDP、フィッシング、TMS脆弱性
建設・不動産14件24日VPN、ファイルサーバー直結
自治体・教育13件45日委託先経由、リモートアクセス
小売・サービス12件22日POS、フィッシング
金融・保険9件18日サプライチェーン、認証突破
その他19件27日多様

製造業と医療業の被害件数・復旧日数が突出して高い傾向があります。理由は「業務停止コストが極めて高く支払いに応じやすい」「OT環境のセキュリティ整備が遅れている」の2点。製造業OTセキュリティ医療業界セキュリティを併せて参照。

企業規模別の傾向

従業員規模件数復旧コスト中央値事業継続停止率
50名未満21件2,500万円85%
50〜300名57件9,800万円82%
300〜1,000名42件1.6億円75%
1,000名超30件3.5億円68%

中小企業(300名未満)の被害が全体の52%を占めます。「中小企業は狙われない」という誤解は完全に過去のものです。むしろ大企業のサプライチェーンの中継点として狙われやすい構造があります。

侵入経路トップ7(150事例の分析)

  1. VPN機器の脆弱性悪用(38%):Fortinet、Citrix、SonicWall、Pulse Secureの既知脆弱性が放置されていたケース
  2. 外部公開RDP/リモートデスクトップ(17%):パスワードスプレー攻撃やブルートフォースで侵入
  3. サプライチェーン経由(14%):取引先・保守ベンダー・委託先のアカウント/VPN/VPN機器経由
  4. フィッシングメール(12%):マルウェア添付/クレデンシャル詐取
  5. ファイルサーバーの直接公開(7%):誤って外部からアクセス可能なまま放置
  6. ソフトウェア更新の改ざん(5%):Kaseya、Solar Winds型のサプライチェーン汚染
  7. 従業員端末からの横展開(4%):個人PC/自宅環境経由
  8. その他・不明(3%)

VPN/RDP起点が55%を占めます。VPNからZTNAへの移行ASM(攻撃面管理)導入が直接的な対策になります。

身代金交渉と支払いの実態

  • 初回要求額の中央値:1.5億円(最高13億円、最低80万円)
  • 交渉後の支払額の中央値(支払った場合):4,200万円(初回要求の約30%)
  • 支払い率:公表事例の9%、ただし非公表を含めると15〜25%と推定
  • 支払っても完全復旧した率:68%(残りは部分復旧/復号鍵が機能せず)
  • 支払い後の二次脅迫:18%が「再度支払え」「データを公開する」などの追加要求を受けた

支払いは法的にはグレーゾーン(米国OFAC制裁対象グループへの支払いは違法)。法的リスク回避のため、まず弁護士・所轄警察への相談が必須です。詳細はランサム支払いの法的リスクを参照。

復旧コストの内訳(中堅企業の中央値1.2億円の例)

項目金額目安備考
フォレンジック調査費用1,500〜3,000万円外部委託、3〜6週間
システム再構築費用3,000〜5,000万円サーバー/ネットワーク/業務アプリ再導入
事業中断による逸失利益2,000〜4,000万円業種・期間で大きく変動
顧客対応・通知費用500〜1,500万円個人情報漏えい時の通知、コールセンター
法務・PR対応費用500〜1,500万円弁護士、広報、IR
セキュリティ強化投資1,000〜3,000万円EDR導入、SIEM、MDR契約等
合計目安8,500万円〜1.8億円サイバー保険でカバーされる比率は20〜60%

侵入から検知までの時間(Dwell Time)

  • 中央値:14日(暗号化実行までの潜伏期間)
  • 最短:2時間(即時暗号化型)
  • 最長:187日(長期潜伏で水際から大量データ持ち出し)

14日の潜伏期間中にEDR/MDR/SIEMで検知できれば被害を未然に防げる可能性が非常に高くなります。逆に「ファイルが暗号化されてから初めて気付く」状態だと、復旧コストが10倍以上に膨らみます。EDR比較2026Microsoft Sentinelを参照。

よくある被害企業の共通パターン

  1. VPN機器のパッチが半年以上未適用:脆弱性公表後30日以内に攻撃されるケースが多い
  2. 多要素認証が一部アカウントで未設定:特に管理者アカウント、サービスアカウント、ベンダーアカウント
  3. バックアップが本番ネットワーク上に置かれている:暗号化と同時にバックアップも消される
  4. EDRが導入されていない、または旧世代AV止まり:振る舞い検知ができず潜伏を許す
  5. 監視(SOC/MDR)契約なし:深夜帯のアラートを誰も見ていない
  6. 退職者アカウント・古いサービスアカウントが残存:パスワードが古く突破されやすい
  7. セグメント分離が不十分:1端末から全社サーバーに横展開できてしまう
  8. インシデント対応訓練の未実施:発生時に意思決定が遅れ被害拡大

「これだけはやる」対策7項目(150事例分析からの優先順位)

  1. VPN/公開系機器の月次パッチ運用:CVE 7.0以上は7日以内に適用
  2. 全アカウントMFA必須:特に管理者・サービスアカウント・ベンダー接続
  3. イミュータブル/オフラインバックアップ:本番から物理的・論理的に隔離(3-2-1ルール)
  4. EDR導入:Defender for Business/Endpoint最小限以上
  5. SOC/MDR契約:24/365監視。アラート対応の責任者を明確化
  6. ネットワーク分割/マイクロセグメンテーション:横展開を物理的に止める
  7. インシデント対応訓練(年1回以上):意思決定者まで含めた机上演習

個別の実装手順は中小企業のサイバー脅威2026クラウドバックアップCSIRT構築を参照。

まとめ

150事例の共通点は、「特別な高度技術での攻撃ではなく、基本対策が抜けていた箇所を確実に突かれている」ことです。VPNパッチ、MFA、バックアップ分離、EDR、MDR——これらをすべて満たしている企業の被害事例はほとんど見られません。中小企業でも対策7項目をすべて実施すれば、平均的な攻撃の99%以上を防げるのが2026年時点の現実です。

BTNコンサルティングでは、情シス365のセキュリティパック/フルサポートで、これら7項目の整備と日常運用を伴走支援しています。サイバー保険との組み合わせで残存リスクの財務対応まで含めた設計が可能です。「自社がいま何点足りていないか」60分の無料相談でアセスメントできます。

関連記事・参考リンク
ランサムウェア対策ガイドDefenderでのランサム対策身代金支払いの法的リスクCSIRT構築ガイドサイバー保険ガイドEDR比較2026警察庁 サイバー被害統計 ↗IPA 情報セキュリティ10大脅威 ↗
E

BTNコンサルティング 編集部

株式会社BTNコンサルティング|情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI(M&A後のIT統合)、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。