国内の情報セキュリティインシデントと対策──情報セキュリティ白書2025の概要（第3回）

2024年度、日本国内では大規模なランサムウェア攻撃やデータ漏えいが相次ぎ、社会的な関心が高まった。第1章「国内外のサイバー脅威の動向」では、国内のインシデント状況が詳しく紹介されている。この記事では、『情報セキュリティ白書2025』に基づき、2024年度に発生した主な国内インシデント、統計データ、及びそこから得られる教訓を解説する。読者層は情報システム担当者や経営者、セキュリティエバンジェリスト、一般ユーザなど幅広く想定しており、具体的な事例を通じて対策の重要性を考える。

1. 国内インシデントの概況と社会的影響

白書の序章によれば、2024年はランサムウェア攻撃やDDoS攻撃などのインシデントが相次ぎ、重要インフラや企業の運営に影響を与えた。6月には総合エンターテインメント企業が攻撃を受け、動画配信サービスやオンラインショップの停止、出荷遅延など広範な影響が生じた。印刷会社の被害では約60の委託元に影響が及び、サプライチェーンを通じた被害拡大の恐ろしさが浮き彫りになった。これらのインシデントは、サービス停止や情報漏えいによる顧客・取引先への影響が大きく、国内企業や自治体におけるサイバー対策の重要性を改めて認識させた。

国内では2024年末から2025年初頭にかけて、航空会社、金融機関、携帯通信会社が相次いでDDoS攻撃の被害を受けた。加えて2024年は国家に支援されたサイバー攻撃グループによる脅威も顕在化し、警察庁とNISCは複数の攻撃キャンペーンに対し注意喚起を行っている。さらに、生成AIの悪用による偽情報や情報操作型攻撃が選挙や社会活動の場面で確認され、認知領域までを含めた対策が求められている。こうした背景を踏まえ、国内インシデントの詳細を見ていこう。

2. 国内における主要ランサムウェア事件

2.1 KADOKAWAグループへの侵入型ランサムウェア攻撃

2024年6月9日、総合エンターテインメント企業であるKADOKAWAグループは、前日未明から複数のWebサイトが利用できない状態になり、サイバー攻撃の可能性が高いと発表した。6月14日には動画共有サービス「ニコニコ」を中心としたサービス群が標的となり、データセンター内のサーバがランサムウェアの攻撃を受けたことが判明した。紙書籍の受注システムが停止し、「ニコニコ動画」等のサービス全般が利用不能となったほか、オンラインショップの商品の受注不能や出荷遅延が発生し、国内外のユーザに大きな影響を及ぼした。

調査結果によると、同社では従業員や取引先など合計25万4,241人分の個人情報が流出した。漏えいした情報には氏名、生年月日、住所、口座情報、さらには一部学校の在校生及び卒業生の学歴等まで含まれていた。攻撃者は「BlackSuit」を名乗り、約1.5TBのデータを窃取したと主張し、7月1日までに身代金を支払わなければすべてのデータを公開すると脅迫した。予告通りダークウェブ上にはデータの半数程度が公開され、一部情報は匿名掲示板やSNS等で拡散された。攻撃の侵入経路は明らかになっていないが、従業員のアカウント情報がフィッシング等により窃取され、社内ネットワークに侵入されたと推測されている。

この事件に対し、KADOKAWAやドワンゴはSNSや匿名掲示板の監視を強化し、悪質な情報拡散への法的措置も含めた対応を進めた。サービス復旧には半年以上を要し、同社が提供するIDサービスの完全復旧は12月11日と発表された。この事例は、サプライチェーン上の企業やコンテンツ事業者であっても大規模な攻撃の対象になることを示しており、特に顧客情報や契約関連文書を扱う企業にとってランサムウェア対策が不可欠であることを示した。

2.2 印刷会社へのランサムウェア攻撃

白書では、印刷会社がランサムウェア攻撃を受け、約60の委託元企業に影響が及んだ事例が紹介されている。詳細な攻撃手法や被害規模は明らかにされていないが、印刷会社の停止は出版・広告・保険業など多様な業種に連鎖的な影響をもたらした。この事例からは、受託業務やサプライチェーンの一端を担う中小企業であっても、ランサムウェアの標的となり得ること、また委託先のセキュリティ対策が不十分であると委託元への被害が広がることが分かる。

これらの国内事例は、サービス停止や情報漏えいが企業ブランドや顧客信頼に直結することを示す。同時に、復旧に多大な時間と費用がかかるため、事後対応だけでなく事前の脅威検知・多層防御、従業員教育、サプライチェーン管理が必要であることを教えている。

3. 国内ランサムウェア被害の統計と傾向

2024年に警察庁に報告された国内ランサムウェア被害件数は222件で、前年から12.7%増加し高水準で推移している。規模別では中小企業の被害件数が増加していることが報告され、特に製造業が29.3%（65件）で最も多く、卸売・小売業が19.4%（43件）、サービス業が14.9%（33件）と続く。業種を問わず被害が発生しており、企業規模や業種だけでなく全ての組織が脅威にさらされている。

3.1 侵入経路と被害手口

ランサムウェア感染の侵入経路はテレワーク環境に使われるVPN機器やリモートデスクトップが8割を占め、2024年の有効回答100件では「VPN機器からの侵入」が55.0%（55件）、「リモートデスクトップからの侵入」が31.0%（31件）であった。不審メールや添付ファイル経由は2.0%、その他が12.0%となっており、リモート接続機器の脆弱性や設定不備が主要な侵入口であることが分かる。脅威手口としてはデータを暗号化し窃取した上で対価を要求する二重恐喝型が82.8%を占め、データ暗号化を伴わない「ノーウェアランサム」は22件確認された。多くの攻撃グループがダークウェブを利用し、データ公開と引き換えに身代金を要求する手法を採用している。

3.2 セキュリティパッチと復旧コスト

被害企業のセキュリティパッチ適用状況を見ると、有効回答87件のうち最新パッチを適用していたのは41件（47.1%）にとどまり、未適用のパッチが存在した企業は46件だった。基本的なパッチ運用の遅れが被害拡大の一因となっている。また、調査・復旧に要した費用では「5,000万円以上」が22.5%と最も多く、2023年から導入された「1億円以上」の費用も7.8%（8件）を占め、インシデントの金銭的負担が増大している。被害システムのバックアップ取得率は89.7%と高いが、実際にバックアップから復元できたのは26.4%にとどまり、バックアップも暗号化されるケースが73.0%を占めた。このことから、バックアップ媒体の分離保管や複数世代のバックアップ取得、復元手順の定期検証が欠かせないことが分かる。

3.3 業務停止と社会的損失

被害報告140件中、全ての業務が停止に追い込まれたのは14件（10.0%）だが、一部の業務に影響があった事例を合わせると被害全体の91.4%に上る。業務停止は売上やサービス提供の中断による逸失利益、顧客離れなど大きな損失をもたらす。また、ノーウェアランサムで情報が公開されれば、取引先や顧客の信頼を失い、訴訟や賠償リスクに発展する。企業は業務継続計画（BCP）の観点から、重要システムの冗長化、迅速な復旧手順の整備、そしてサイバー攻撃が起きた際の意思決定体制を確立しておくべきである。

4. 中小企業におけるインシデントとサプライチェーンリスク

IPAが2025年に実施した「2024年度中小企業における情報セキュリティ対策に関する実態調査」によれば、2023年度にサイバーインシデントが発生、またはその可能性が高かった中小企業は全体の23.3%に当たる975件だった。被害の内容はデータ破壊が35.7%（348件）、個人情報漏えいが35.1%（342件）、ウイルスメール等の発信が21.5%（210件）、業務情報の漏えいが21.3%（208件）と多様である。インシデントを経験した中小企業のうち約7割が取引先に影響があったと回答し、サービス障害や遅延、停止による逸失利益が352件（36.1%）、賠償や補償負担が316件（32.4%）を占めた。しかし、インシデントを経験後にセキュリティ対策を強化した企業は1割強に過ぎず、8割以上の企業が十分な対策を講じていない。

この実態は、中小企業にとってサイバーインシデントが他人事ではなく、取引先やサプライチェーン全体に波及するリスクを抱えていることを示す。自社が大企業の下請けや委託先である場合、攻撃者はサプライチェーンの弱い部分を狙って侵入し、最終的に大企業のネットワークや顧客データにアクセスしようとする。従って、サプライチェーン上の各企業が最低限のセキュリティ対策を実施し、相互に状況を確認しながら改善することが不可欠である。

5. 政策動向と社会的対応

白書は、2024年度の国内インシデントを受け、政府がサイバーセキュリティ政策の強化を進めたことも伝えている。ランサムウェア被害やDDoS攻撃に対し、サプライチェーン・リスクへの対応とDX支援を掲げたサイバーセキュリティ戦略が策定され、SBOM導入手引やセキュア・ソフトウェア開発フレームワーク（SSDF）導入ガイダンスが公表された。2025年3月にはIoT製品のセキュリティ評価認証制度JC‑STARが始まり、製品のセキュリティレベルを可視化する取り組みが進んでいる。

また、能動的サイバー防御の実現に向けて、政府は攻撃の兆候段階から情報収集と主体特定、排除措置を講じる法律を成立させた。これにより、サイバー攻撃への積極的な対処と被害防止が法的に裏付けられた。警察庁やNISCは、国家支援型攻撃やAPT攻撃に関する注意喚起と手口の公開を行い、被害拡大を防止するため民間企業との情報共有や演習を進めている。

国内企業にとって重要なのは、政策の方向性を理解し、自社のセキュリティ対策に反映させることだ。特に、ソフトウェアのサプライチェーンや委託業務を含めたセキュリティ要件の明確化、社員・取引先への教育、脅威情報共有体制への参加が求められる。さらに、能動的防御への移行に際して、ログの長期保存やリアルタイム監視、法的な手続きに対応できる体制を整えることが望ましい。

6. 教訓と実践的な対策

国内のインシデント事例と統計から、企業や組織が取るべき実践的な対策を以下にまとめる。

1. リモートアクセスの保護
   • VPN機器やリモートデスクトップは依然として主要な侵入経路である。強力な認証方式（多要素認証）の導入、不要なポートの閉鎖、アクセスログの常時監視と異常検知、そして脆弱性発覚時の迅速なパッチ適用が不可欠である。
2. 従業員教育とフィッシング対策
   • KADOKAWAの事例では従業員アカウントの窃取が攻撃の原因と推測されており、フィッシングメールに対する注意喚起や訓練が必要である。企業は定期的な疑似メール訓練やサイバー演習を行い、インシデント対応手順を浸透させるべきだ。
3. バックアップと復旧計画の再点検
   • 多くの企業がバックアップを取得していたにもかかわらず、復元に成功した割合は26.4%に留まった。バックアップ媒体をネットワークから隔離し、複数世代のバックアップを保持し、定期的にリストアテストを実施する必要がある。
4. サプライチェーン管理と契約の見直し
   • 印刷会社への攻撃が多くの委託元に影響を与えたように、委託先のセキュリティが弱いと被害が拡大する。契約にセキュリティ要件を明記し、第三者による監査や評価制度（JC‑STAR等）を利用してリスクを可視化することが望ましい。
5. ランサムウェア対応体制の構築
   • 感染発覚時には迅速にCERTや外部ベンダーと連携し、身代金の支払い判断やデータ公開への対応を検討しなければならない。また、保険や法的支援も含めた事前の準備が重要である。
6. 中小企業向け支援の活用
   • 調査では多くの中小企業が対策強化に至っていない。地方自治体やIPAが提供する無料診断、研修プログラム、補助金制度を活用し、外部の専門家と協力して基本的な防御力を高めることが求められる。

7. まとめ

2024年度の国内インシデントは、大企業だけでなく中小企業や委託先、取引先全体に影響が広がるサプライチェーンリスクが現実のものとなった。KADOKAWAグループの大規模流出事件は、クラウドやオンプレミスを問わずあらゆるサービスが攻撃対象であり、復旧には長期間と多額の費用がかかることを示した。また、国内全体の被害件数や統計からは、VPNやリモートデスクトップの設定不備、パッチ適用の遅れ、バックアップ復旧の失敗など、基本的な対策の不足が目立つ。中小企業はサイバー攻撃に対して脆弱でありながら、対策を強化する動きが鈍いことも浮き彫りになっている。

今後、組織はインシデントが発生する前提で備え、侵入を前提としたゼロトラストアーキテクチャと早期検知体制を整備する必要がある。国や自治体、業界団体が提供するガイドラインや認証制度を活用し、サプライチェーン全体でセキュリティレベルを底上げすることが求められる。国内のインシデントから学んだ教訓を生かし、次の危機を未然に防ぐための取り組みを加速しよう。