ランサムウェア攻撃の脅威と経営としてのサイバーリスク対応【RMFOCUS 第96号】

※本稿では、業務の立て直しを「復旧」、データの戻しを「復元」と定義している。

1. 企業を支えるIT基盤と事業への影響

(1) IT基盤の停止により何が起きるか

昨今の企業活動は、調達・製造・出荷・配送・販売・顧客対応・人事給与・技術開発に至るまで、認証・ネットワーク・サーバー・データベース・クラウドサービスなどから成るIT基盤を前提として一体で動いている。

平時には「あるのが当然」と見過ごされがちなこのIT基盤が一部でも停止すると、発注や製造計画、配送手配、受注処理、サービス提供、顧客対応、人事給与、設計データの参照など、複数部門の主要業務が横断的に滞る。

従来は「紙や人手で乗り切れる」と想定されることもあったが、現在の処理量とスピードでは、代替運用は短時間で限界に達し、業務はすぐに滞留する。滞留が長引くほど、復旧作業や社外説明の負担、信用への影響が増し、損害額は雪だるま式に膨らんでいく（図1）。

(2) システム連携で広がる業務停止

IT基盤を前提とした業務は、個々の社内システムだけでなく、認証基盤（ID管理）、データベース、外部リソース（クラウドや委託先サービスなどの社外の共通サービス）が連携することで初めて成り立っている。どれか一つでも停止すると、業務の流れが途絶え、続く工程に影響が及ぶ。

各業務システムやクラウドサービスは、社内共通の認証基盤（ID管理・シングルサインオン・多要素認証）で保護されているが、この認証基盤が機能しない、あるいは設定が不十分な場合、管理者（システム運用担当者）は利用者のアクセス権限を適切に把握・制御できなくなる。その結果、有事の際、影響箇所の切り分けやアクセス遮断（封じ込め）に時間を要し、復旧が長期化し、影響範囲の拡大防止が難しくなる。

また、データベースが参照不能になると、受注・出荷・請求といった複数業務が同時に止まり、手作業による代替運用ができる範囲も限定的になる。

さらに、外部リソースが停止すると、それを利用する複数社の業務に同時に影響が及ぶ。自社側で代替サービスへの切替手順や社内外の連絡体制が整っていない場合ほど、復旧までの時間は長引く。

この業務停止のメカニズムは、障害・設定不備・委託先停止など多様な要因で発生しうる。要素間の連携がある限り、停止は点ではなく面（複数業務・複数拠点）で広がりやすい構造になっている（図2）。

2 ランサムウェア攻撃の脅威と事業リスク

(1) ランサムウェアの動向

前章で示したように、事業はIT基盤を前提としており、その一部が止まるだけで複数業務が連鎖して停止する。このような業務停止を引き起こす典型的な要因の一つが、ランサムウェアなどによる不正アクセスである。

ランサムウェアは、攻撃先となる企業の社内データを暗号化して業務を停止させ、解除の身代金（復号鍵の対価）を要求する攻撃である。近年は、暗号化に加えて窃取したデータを公開すると脅して支払いを強要する「二重脅迫」の手口も広く使われている。

独立行政法人情報処理推進機構（IPA）の「情報セキュリティ10大脅威 2025」では、「ランサムウェアによる被害」が組織向け脅威の1位に5年連続で位置づけられ、過去10年間にわたりランクインしている^1）。

また警察庁の「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」では、令和6年と比較して、ランサムウェア被害の復旧費用が高額化しており、1,000万円以上を要した組織の割合は、50％から59％に増加したことが報告されている^2）。

(2) ランサムウェア被害の構造：損害拡大の主要因は業務停止

ランサムウェアは「業務の中断」「復旧の困難さ」「信用の失墜」という三つの要素で企業へ悪影響を及ぼすが（表１）、IT基盤への依存度が高い企業ではランサムウェア被害を受けたときに業務停止の影響が大きくなりやすい。損害が大きくなる主な原因は、復旧できずに業務が止まっている時間が長引くことにあるとのデータがある^3）。

【表1】ランサムウェアによる事業への影響

ランサムウェアによる被害拡大の主要因は業務停止時間であり、その金額感を簡易的に試算すると次のとおりである。年商50億円・粗利益率30%の企業で主要業務が1日止まると、暦日換算で日次粗利益は約400万円（50億円×30%÷365日）となる。ここに臨時費用や契約上のペナルティや復旧費、顧客対応費などが重なると、総損失は日次粗利益の倍以上に膨れ上がる可能性がある。