CACHATTO COLUMNカチャットコラム

CACHATTO トップ>
CACHATTO COLUMN>
ランサムウェアの被害事例｜2024〜2025年の国内外12社から学ぶ対策のポイント

ランサムウェアの被害事例｜2024〜2025年の国内外12社から学ぶ対策のポイント

2026.03.13投稿、2026.03.13更新

2024年から2025年にかけて、国内企業のランサムウェア被害は小売・製造・医療・エンターテインメントなど多様な業界へ広がり、サービス停止や出荷停止、個人情報流出が相次いでいます。被害企業は業種や規模を問わず、どの企業も標的になりうる状況です。しかし、何が狙われているのか、どのような脆弱性が狙われているのかについては、まだ十分に認識されていません。
本記事では、国内外の最新事例を業界別に紹介し、各事例の感染原因と今すぐ取るべき対策を解説します。

ランサムウェアの基本情報については、次の記事も参考にしてください。

ランサムウェアとは？仕組みと感染経路を基礎から解説

ランサムウェアの被害事例｜2024〜2025年の国内外12社から学ぶ対策のポイント

国内のランサムウェア被害の現状
海外のランサムウェア被害の現状
事例から学ぶ対策のポイント
インターネットにVPN機器を公開しないという選択
事例から学ぶ：ランサムウェア被害を拡大させた本質要因とは

国内のランサムウェア被害の現状

国内では、企業規模や業種を問わず被害が拡大しています。最近の発生動向と影響の実態を俯瞰し、以降の事例理解の前提を整理します。

小売・サービス業界

アスクル株式会社（2025年10月）

被害の概要

2025年10月19日、オフィス用品通販大手のアスクルがランサムウェア攻撃を受け、法人向け「ASKUL」「ソロエルアリーナ」、個人向け「LOHACO」など主要サービスが全面停止する事態となりました。基幹システムが暗号化され、受注・出荷業務が完全に停止し、無印良品やロフトなど物流委託先企業にも深刻な影響が波及しました。

被害の影響

法人向け・個人向けすべてのECサイトで受注・出荷業務が停止
アスクル在庫商品の未出荷分は全てキャンセルとなり、直送品は注文ごとに出荷可否を確認
物流を委託していた無印良品とロフトのECサイトも停止
主に物流システム（WMS）に深刻な障害が発生
1日あたり約10億円から13億円の売上機会損失との試算

被害の原因

侵入経路は調査中ではあるが、VPN機器経由での侵入の可能性が指摘されている

この事例は、物流システムという事業継続の中枢が攻撃対象となり、委託先まで停止が波及した点が特徴です。サプライチェーン全体に影響が及ぶ構造的脆弱性が表面化したと言えます。また、アサヒグループの事案に続く大規模攻撃であり、日本企業を狙った攻撃が産業化していることをあらためて示しました。

株式会社イセトー（2024年5月）

被害の概要

2024年5月26日、印刷物・データプリントサービスを提供するイセトーがランサムウェア攻撃を受け、複数のサーバーや端末が暗号化されました。同社は金融機関や地方公共団体から情報処理業務を受託しており、被害は委託元に広範囲に波及しました。

被害の影響

約150万件の個人情報が漏洩
委託元54社（地方自治体・金融機関等）に被害が波及
攻撃者リークサイトにイセトー由来データが掲載
暗号化の影響により複数のサーバー、端末でシステム障害が発生し、受託業務の一部が停止
ISO27001/ISO27017認証が一時停止措置
和歌山県から1年間の指名停止処分を受ける

被害の原因

侵入経路は調査中ではあるが、VPN機器や脆弱なOSSなど複数の経路から侵入した可能性が指摘されている

この事例は、自社の事業継続だけではなく「預かった個人情報」そのものが攻撃対象となり、委託元に直接被害が波及した点が特徴です。データ処理・BPO系事業者の侵害は、単一企業内に留まらず、社会インフラとしての影響を持つことを示した事例といえます。

製造業界

アサヒグループホールディングス（2025年9月）

被害の概要

2025年9月29日、国内大手飲料メーカーであるアサヒグループホールディングスは、ランサムウェア攻撃によってサーバーが標的となるシステム障害を確認し、グループ国内子会社において「受注・出荷機能」「コールセンター/メール受付」などの主要業務が停止しました。調査のための緊急対応体制を発足し、攻撃によるデータの不正移転の可能性も認められています。

被害の影響

国内の受注・出荷システムが全面停止
受注を電話・FAXによる手作業運用へ切り替え
ギフト商品の販売が一部休止
「スーパードライ」など主力商品の生産・出荷が停止
Active Directory（AD）および仮想基盤（vCenter/ESXi）が暗号化
情報漏洩の可能性があり、流出したとみられるデータがインターネット上で確認
決算発表が延期

被害の原因

侵入経路は明らかにされていないが、VPN機器を経由した侵入の可能性が指摘されている

この事例は、製造・出荷が中核となる企業において、受注・出荷を止められることが即時の事業影響につながることを示した代表例です。システム停止＝売上機会損失の連動性が極めて高い業態では、初動の遅れがそのまま経営インパクトへ直結するリスクが顕在化しました。

レゾナック・ホールディングス（2025年5月）

被害の概要

2025年5月20日未明、半導体材料や化学素材メーカーのレゾナック・ホールディングスおよび同社グループの一部サーバーが外部からの攻撃を受け、ランサムウェア感染が確認されました。同社は直ちに緊急対策本部を設置し、ネットワークの遮断等の措置を実施しました。

被害の影響

グループ内システムが一部使用不能となり、業務の一部が停止
影響範囲を確認しつつ、安全確認できた事業から順次再開
最終的に個人情報の流出は確認されず

被害の原因

侵入経路は公表されていないが、VPN機器などリモートアクセス経路が狙われた可能性が指摘されている

この事例は、初動のネットワーク遮断によって被害範囲を局所化し得たケースといえます。製造系企業であっても、ランサムウェア攻撃では「まず止める」判断が結果に直結することを示した事例であり、早期判断の重要性がより鮮明になりました。

株式会社トーモク（2025年5月）

被害の概要

2025年5月3日、包装資材・紙器メーカーのトーモクは、同社グループの一部サーバーに対するランサムウェア攻撃を公表しました。オンライン受注システムに障害が発生し、以降警察および外部専門家と連携しながら調査および復旧対応を継続しています。

被害の影響

同社グループの一部サーバーがランサムウェアにより暗号化
オンライン受注システムに障害が発生し、利用制限/遅延が発生
従業員の氏名・住所・電話番号・メールアドレスなどの個人情報が外部に流出した可能性
業務関連情報も外部へ流出した可能性
2025年7月時点で不正利用などの二次被害は確認されていない

被害の原因

侵入経路は明らかにされていないが、Linux環境を狙うランサムウェア（Gunra系）による攻撃の可能性が指摘されている

この事例は、製造・包装系企業に対してもLinux系ランサムウェアが直接的に狙いを付けていることを示したものです。クラウド/Windowsだけを想定した対策では防ぎきれない攻撃面が顕在化しており、製造業においてもLinux基盤を含めた一体管理での防御が必須であることを示唆しています。

医療業界

宇都宮セントラルクリニック（2025年2月）

被害の概要

2025年2月10日、栃木県の医療施設である宇都宮セントラルクリニックがランサムウェア攻撃を受け、電子カルテを含む院内システムが使用不能状態になりました。クリニックは2月18日付で「サーバーへの不正アクセスおよび情報漏洩の可能性」を公表し、調査および業務制限を実施しています。

被害の影響

最大約30万人分の患者情報が流出した可能性（氏名・生年月日・性別・住所・電話番号・メールアドレス・診療情報・健康診断情報等）
電子カルテを含む院内システムが使用不能となり、診療業務の一部に制限が発生
改善までの期間、検査・画像診断等の対応に遅延が発生
予約・受付・電話対応など院内オペレーションにも影響が拡大
がん放射線治療は別システムのため一部制限にとどまる

被害の原因

侵入経路は明らかにされていないが、Qilin（キリン）系ランサムウェアによる攻撃の可能性が指摘されている

この事例は、医療現場では電子カルテなどの院内システム停止が、診療提供そのものの遅延につながるという特有のリスクを浮き彫りにしました。医療機関においては、可用性低下が即、患者対応の遅延に直結するため、医療情報システムを前提とした事業継続策の強化が急務であることを示しています。

出版・エンターテインメント業界

株式会社サンリオエンターテイメント（2025年1月）

被害の概要

2025年1月21日、サンリオピューロランドなどのテーマパークを運営するサンリオエンターテイメントがランサムウェア攻撃を受けました。攻撃発覚後、外部専門機関による調査が行われ、2月7日に最大約200万件の個人情報および機密情報が外部に漏洩した可能性が公表されました。

被害の影響

最大約200万件の個人情報および機密情報が外部に流出した可能性
ファンクラブ会員や年間パスポート購入者の個人情報が外部へ漏洩した可能性
従業員や取引先のマイナンバーを含む契約情報が外部へ流出した可能性
来場予約システムや年間パスポート購入など、一部サービスが約1カ月利用不可
サンリオピューロランド公式Webサイトが長期間アクセス不可
攻撃者側リークサイトによる脅迫投稿を確認

被害の原因

侵入経路は明らかにされていないが、Qilin（キリン）系ランサムウェアによる攻撃の可能性が指摘されている

この事例は、テーマパーク運営企業においても、ランサムウェア攻撃によるデータ漏洩とサービス停止が同時に発生しうることを示しました。顧客向けサービスと情報管理基盤が密接に結び付いている企業では、一度の侵害が事業継続・ブランド毀損・風評の3方向に影響を与え得る点に注意が必要です。

株式会社KADOKAWA（2024年6月）

被害の概要

2024年6月8日、出版大手のKADOKAWAグループが大規模なランサムウェア攻撃を受け、「ニコニコ動画」などのサービスが長期間停止する事態となりました。攻撃はBlack Suit（ブラックスーツ）と呼ばれるランサムウェアグループによるもので、国内最大級の被害となりました。

被害の影響

約25万件の個人情報が流出（ドワンゴ社員、取引先クリエイター、N高等学校など教育関連施設の在校生・卒業生等）
「ニコニコ動画」「ニコニコ生放送」など一連のニコニコサービスが停止
サービス復旧までに約4カ月を要した
書籍の受注停止や物流の遅延が発生
2025年3月期に売上高84億円の減少、特別損失36億円（復旧費用・クリエイター補償）を計上
攻撃者 BlackSuit側リークサイトにて大量データ窃取が主張された

被害の原因

侵入経路は明らかにされていないが、暴露型ランサムウェア BlackSuitによる攻撃の可能性が指摘されている

この事例は、国内大規模サービスにおいて、長期停止・大規模データ流出・巨額損失という3軸の影響が同時に発生し得ることを示した代表例です。特に利用者規模が大きいサービス運営企業では、停止による社会的影響とブランド毀損のインパクトが極めて大きく、平時から「長期停止を前提とした事業継続体制」を設計しておく必要性を浮き彫りにしました。

金融・保険業界

東京海上日動あんしん生命保険（2024年6月）

被害の概要

2024年6月4日、東京海上グループの業務委託先である税理士法人髙野総合会計事務所がランサムウェア攻撃を受け、委託元である東京海上グループに被害が波及しました。この事例は、委託先のセキュリティ管理が委託元のリスクに直結することを示しました。

被害の影響

東京海上日動あんしん生命で約27,824件の個人情報が漏洩した可能性
東京海上グループ全体では約63,200件の情報が流出した可能性
保険契約者の氏名・住所・電話番号に加え、保険事故の相手方情報も含まれる可能性
グループ現社員の情報が約15,900件漏洩した可能性

被害の原因

侵入経路は明らかにされていないが、委託先サーバーに対するランサムウェア攻撃を受けた可能性が指摘されている

この事例は、委託先のランサムウェア被害によって自社契約者の情報が影響を受ける「サプライチェーン型リスク」の顕在化を示したケースです。自社の対策強化だけでは防ぎ切れない領域が存在することが明確化し、委託先を含めたガバナンス・監査・可視化の重要性が浮き彫りになりました。

海外のランサムウェア被害の現状

海外では社会インフラや大規模クラウド基盤を巻き込む事案が目立ちます。被害の広がり方や影響の大きさを国内との対比で把握します。

医療業界（アメリカ）

Change Healthcare（2024年2月）

被害の概要

2024年2月、米国の医療決済サービス大手Change Healthcareがランサムウェアグループ「ALPHV/BlackCat」による攻撃を受けました。同社は2,200万ドル（約35億円）という巨額の身代金を支払いましたが、サービス停止は長期化し、米国の医療業界全体に深刻な影響が及びました。

被害の影響

米国人の約3分の1に相当する約1億人分の医療情報が流出した可能性
全米7万カ所の薬局のうち90%以上で電子請求処理が停止
患者が処方薬を受け取れない事態が発生
親会社 UnitedHealth Groupの2024年第1四半期の損害額は8億7,200万ドルと公表
通年での損害予測は13億5,000万ドルから24億5,000万ドルにのぼる見込み

被害の原因

外部向けシステムにはすべて多要素認証（MFA）を有効にするポリシーがあったにもかかわらず、Change Healthcare Citrixポータルには実際にはMFAが導入されていなかった
攻撃者は流出した認証情報を利用してCitrixポータル経由で侵入
数週間にわたりネットワーク内に潜伏した後、ランサムウェアを展開

この事例は、米国の医療決済基盤という社会インフラレベルの領域で「1点の設定不備（MFA未実装）が巨大被害に直結した」典型例です。単一システムの設定不備が、薬局決済・医療提供体制・保険支払いまで連鎖し、被害規模と回復期間の桁が国内事例と比較して突出した事例となりました。

公共機関（イギリス）

英国法務支援庁（2025年4月）

被害の概要

2025年4月、英国の法務支援庁（Legal Aid Agency）がランサムウェア攻撃を受け、同庁の業務システムが侵害されました。政府は5月19日に「個人データが外部にアクセスされた可能性がある」と公式に公表しており、2010年以降の法務支援申請者を含む、長期間にわたるデータが影響範囲となり得ることが懸念されています。

被害の影響

弁護士・法律事務所への支払い処理システムが停止
法務支援申請のオンライン処理が停止し、審査・支払に大幅な遅延が発生
全国多数の法律事務所の業務が滞留し、実務負荷が増大
法的支援を必要とする市民へのサービス提供に遅延が発生

被害の原因

侵入経路や実際の感染手法は英国政府発表時点で詳細は公表されていない
一方、英国公共機関全体でセキュリティ投資の遅れ・レガシー環境維持が課題とされており、同庁も同様の構造的脆弱性を抱えていた可能性が指摘されている

この事例は、英公共機関全体に共通する構造的なセキュリティ投資不足・レガシー依存が攻撃対象面を広げていることを象徴する事案です。特定企業単体だけの防御ではなく、国家全体での公共機関セキュリティ標準化と強制力あるアップデートサイクルの必要性が浮き彫りになりました。

IT・ソフトウェア業界（アメリカ）

Blue Yonder（2024年11月）

被害の概要

2024年11月、サプライチェーン管理ソフトウェア大手のBlue Yonderがランサムウェア攻撃を受け、クラウドサービスの一部が停止しました。Blue Yonderは世界の小売・物流企業に広く採用されており、その結果、複数の大手小売・物流企業で、サプライチェーン業務に遅延や混乱が生じる事態となりました。

被害の影響

世界中の小売業や物流企業に影響が波及
大手小売チェーンを中心に、在庫管理や従業員のシフト管理で遅延・混乱が発生
感謝祭・ブラックフライデーといった繁忙期と重なり、小売業へのビジネス影響が増幅
クラウドサービスプロバイダーへの攻撃が、その利用企業へ一斉に影響を及ぼす「一対多」のリスクが顕在化

被害の原因

Blue Yonder クラウド環境に対する侵害が発生し、ランサムウェアが実行された
侵入経路・初期侵害手法については、公開情報ベースでは確定情報が公表されていない

この事例は、単一のクラウドサービスプロバイダーが侵害されることで、多数の利用企業に同時に影響が波及し得るという「マルチテナント型SaaS特有の一対多リスク」を顕在化させました。サプライチェーン管理基盤をクラウドに依存する企業では、自社対策だけでは防ぎ切れない“サービス提供側のセキュリティ品質”がビジネス継続の前提条件となることを示した事案と言えます。

事例から学ぶ対策のポイント

国内外の事例を横断的に分析すると、ランサムウェア被害を引き起こした脆弱性には明確な共通点があります。

事例から見えた “共通の弱点”

VPN・リモートアクセス機器の脆弱性

もっとも侵入されやすい入口は、テレワーク初期に急設したVPN機器や、保守用途で残存した古いネットワーク機器です。既知脆弱性であるケースが多く、攻撃者は検索エンジン等から機器を特定し、公開済みExploitを用いて社内ネットワークに直接侵入します。

多要素認証の未導入・不完全な導入

MFAポリシーが存在していても、Citrixや旧自社ポータル、外部委託者アカウント等で例外設定が残存していると突破口になります。ID奪取→外部公開システム→内部侵害という流れが典型であり、「原則MFA」ではなく「例外ゼロのMFA実装」が重要です。

バックアップとログ管理の不備

バックアップがオンラインで同一ネットワーク上に存在する場合、ランサムウェアの暗号化に巻き込まれ、復旧不能状態に至るリスクがあります。加えてログが短期間ローテーションや欠損状態だと、侵害経路の確定や再発防止策の精度を下げ、被害の長期化につながります。

サプライチェーン全体のセキュリティ管理

委託先経由の侵害や、クラウドサービス側の侵害では、一社の侵害が複数企業に同時波及します。自社内の対策だけでは防ぎ切れない攻撃面であり、委託契約・監査・SaaS選定時に求めるべきセキュリティ基準そのものを事前に定義しておく必要があります。

今すぐ実施すべき対策

VPN・リモートアクセスのセキュリティ強化

すべてのVPN機器・リモートアクセスツールについて、最新パッチ適用状況を棚卸しし、未適用を解消します。デフォルトパスワードや推測可能なパスワードを排除し、強度要件を満たしたパスワードポリシーを適用します。併せて、IP制限などのアクセス元制御を設定し、不要な接続元は遮断します。

多要素認証の全面実装

外部アクセスが可能なシステムは例外なくMFAを必須化します。できる限りFIDO2準拠のハードウェアキー/パスキーなど、フィッシング耐性の高い方式を採用します。「MFAポリシーがある」ではなく「例外ゼロで実装されている」状態まで運用統制します。

バックアップとログの適切な管理

バックアップは別セグメントまたはオフライン保管とし「3-2-1ルール」を遵守します。また、復旧可能性確保のため、定期的にリストアテストを実施します。侵入調査に必要な期間のログ保管容量を確保し、ローテーションによる早期欠損を防ぎます。

サプライチェーンセキュリティの強化

委託時点で求めるセキュリティ要件を契約に明記し、第三者認証取得および定期診断を求めます。データ管理ルールを厳格に規定し、業務終了後のデータ削除とその証跡取得までを必ず担保します。

ランサムウェアの感染経路と対策についての詳細は、次の記事も参考にしてください。

ランサムウェア対策｜感染を防ぎ、被害を最小化する方法

インターネットにVPN機器を公開しないという選択

ランサムウェア攻撃の多くはVPN機器などのリモートアクセス環境を起点として侵入しています。ここで重要なのは、攻撃者に狙われやすい構造そのものを見直す視点です。

従来型VPNは、リモートアクセスを実現するために機器をインターネット上に公開する構成を取ります。しかし、この「公開構造」が攻撃対象を生み出し、スキャンや脆弱性攻撃の起点となる大きなリスク要因となっています。パッチの未適用や設定不備など、いわば「入口の脆弱性」が突かれることで、侵入を許すケースが後を絶ちません。

このような背景から、近年ではVPN機器をインターネットに公開しない構造を採るという選択が注目されています。機器を外部に直接晒さず、内部からの発信やクラウド中継などで通信を成立させる構成を取ることで、攻撃者がスキャンによって機器を特定・攻撃することを物理的に困難にできます。

事例から学ぶ：ランサムウェア被害を拡大させた本質要因とは

2024〜2025年の国内外のランサムウェア事例を通して明らかになったのは、「どの企業も標的になり得る」という現実です。大企業・中堅企業・医療機関・公共機関といった業種の違いにかかわらず、攻撃者は「侵入しやすい構造」を狙っています。

多くの事例で共通していたのは、VPN機器の脆弱性放置や多要素認証の未導入、バックアップ管理の不備など、基本対策の欠落でした。これらはいずれも「防げなかった攻撃」ではなく、「防げたはずの侵入を許した」事例です。

なかでもVPN機器の脆弱性を突かれたケースは顕著です。攻撃者が最初に狙うのは、インターネット上に公開されたVPN機器やリモートアクセス装置です。ここが侵入の足がかりとなり、内部ネットワーク全体への被害拡大につながっています。こうした構造的リスクを回避するためには、VPN機器をインターネット上に公開しないという設計思想が有効です。

e-Janネットワークスが提供する「ニンジャコネクトVPN」は、VPN機器をインターネットに公開しない設計により、VPN機器の脆弱性を狙ったランサムウェア攻撃のリスクを極小化できるクラウドVPNサービスです。VPN機器は社内ネットワーク内に設置し、外向きのHTTPS通信のみを行うため、従来型VPNと比較してセキュリティリスクが大幅に低減されます。また、脆弱性対策の更新が不要なため、管理負荷も軽減できます。