サイバー攻撃による身代金、平均支払い額は「1億円超」 ― ランサムウェア相場の実態と企業リスク

事業  PC 金融機関  その他

企業の経営リスクとして、もはや無視できない存在となったのが「ランサムウェア攻撃」だ。
近年、世界的に被害額が急増しており、身代金の要求額も過去最高水準に達している。日本国内でも大企業を中心に深刻な被害が相次いでいる。

ランサムウェアとは、企業や団体のシステムを不正に暗号化し、使用不能にしたうえで「復旧と引き換えに身代金を要求する」サイバー攻撃の一種だ。従来の情報漏洩事件と異なり、事業継続そのものが脅かされる点が特徴である。

moomoo証券

平均身代金は「1億円超」 世界では6億円規模も

英サイバーセキュリティ企業「ソフォス」による2024年版の調査結果によれば、日本企業が支払ったランサムウェアの**平均身代金額は63万8,862ドル(約1億110万円)**に上る。前年と比較するとやや減少しているものの、依然として高水準だ。
さらに、**要求された平均額は144万5,697ドル(約2億2,860万円)**と、支払い額を大きく上回っている。

世界全体ではさらに深刻である。
企業が要求された身代金の平均は432万1,880ドル(約6億5,000万円)、実際に支払った平均額も**396万917ドル(約6億1,850万円)とされ、桁違いの被害が日常化している。
この他にも、復旧作業や営業停止による間接的なコストは平均293万ドル(約4億6,000万円)**と、身代金とは別に莫大な損失を伴う。

つまり、ひとたびランサムウェアの標的となれば、合計で10億円を超える被害に発展するケースも珍しくないのが実態だ。

アサヒHDへの攻撃が示した「現実」

2025年10月、アサヒグループホールディングス(アサヒHD)がサイバー攻撃の被害を受けた。
犯行声明を出したのは、国際的な攻撃者グループ「Qilin」。同グループは従業員の個人情報や社内文書など約27GB分のデータを盗んだと主張し、一部をダークウェブ上に公開。企業への圧力を強める“二重脅迫型”の典型的な手口とみられる。

現時点で要求額は明らかにされていないが、大企業を狙う攻撃では億単位の身代金が要求されるのが通例だ。
さらに、ビールなど主力商品の出荷停止が発生し、流通網や取引先への波及も避けられない状況となった。
攻撃者は単なるデータ窃取にとどまらず、業務の中枢機能を麻痺させることで交渉を有利に進める手法を取っている。

ランサムウェア攻撃の多くは「VPN経由」

ランサムウェア攻撃の侵入口として最も多いのが「VPN(仮想プライベートネットワーク)」の脆弱性だ。
特に、IDやパスワードの漏洩が60%以上を占めており、内部から侵入を許してしまうケースが後を絶たない。

さらに近年では、攻撃者が盗んだ膨大なデータをAI(人工知能)で解析し、組織のセキュリティ上の弱点を特定するという新たな戦術も確認されている。
従来のセキュリティ対策では防ぎきれない高度な攻撃が主流になりつつあるのだ。

交渉の実態:「支払わなければ情報公開」

ランサムウェア攻撃者は、身代金支払いを拒否する企業に対して盗んだ情報をインターネット上で公開すると脅迫する。
こうした「ダブルエクストーション(二重恐喝)」手法は、世界中で被害が急増している。

企業側が支払いを拒否しても、情報流出による信用失墜や株価下落、訴訟リスクが残る。
一方で支払えば、資金が犯罪組織に流れ込み、新たな攻撃を招く恐れもある。まさに「どちらを選んでもリスクが残る」という厄介な構造だ。

日本企業の課題:セキュリティ対策はまだ途上

欧米ではサイバー保険の加入や、BCP(事業継続計画)と連動した防御体制の整備が進んでいる。一方、日本企業では中堅・中小を中心に対策が遅れているとされる。
特に、VPN・ID管理の甘さやバックアップ体制の不備が攻撃の標的になりやすい。

政府は2025年に入り、重要インフラ企業を中心にセキュリティ強化策を促しているが、実効性は道半ばだ。
ある専門家は「大企業だけでなく、取引先の中小企業を経由して侵入するケースも多く、サプライチェーン全体での対策が不可欠」と指摘する。

投資家目線でも無視できない「サイバーリスク」

サイバー攻撃は、企業の株価や信用にも直結する。
特に上場企業では、攻撃の影響による営業停止・損失計上・株価下落が避けられず、株主や投資家への説明責任も問われる。

金融機関や製造業、小売業など、あらゆる業種が潜在的なターゲットになり得るため、「自社は関係ない」では済まされない
セキュリティ投資は「コスト」ではなく「企業価値の維持・向上のための戦略」と捉える必要がある。

まとめ:ランサムウェアは“他人事”ではない

  • 日本企業の平均身代金支払い額は 約1億円超
  • 世界では 6億円規模 の被害が常態化
  • VPN経由の侵入・AI活用など、攻撃は高度化
  • 支払い拒否=情報公開の「二重恐喝」リスク
  • サプライチェーン全体の防御体制が急務

サイバー攻撃は、いまや企業規模や業種を問わない。
セキュリティ対策を後回しにしたツケは、想像以上に大きい。
「備えるか、狙われるか」――その選択を迫られる時代が到来している。

コメント

タイトルとURLをコピーしました