ランサムウェアの事例 【2025年】

2025年も引き続き、日本国内外でランサムウェアによるサイバー攻撃が相次いでいます。製造業から医療機関、大学、行政機関に至るまで、被害の対象は広範囲にわたり、情報漏洩や業務停止といった深刻な影響をもたらしています。

本記事では、2025年に発生した主要なランサムウェア攻撃の事例を整理し、それぞれの被害内容や企業の対応状況を解説します。また、ランサムウェアグループが主張する犯行声明についても、信憑性に留意しながら紹介しています。

また主要なランサムウェアの事例は別の記事にまとめています。

ランサムウェアとは

ランサムウェアとは身代金を要求するコンピュータウィルスの一種で、ネットワークなどを通じて感染を広げるマルウェア（悪意を持ったソフトウェア）の一つです。「ランサム（Ronsom）」とは英語で身代金を意味します。

身代金の要求方法としては、PC等の端末を人質に取り、仮想通貨などを要求してきます。感染してしまうと、保存されているファイルが暗号化されてしまい復元できないケースや端末が起動しない、操作できない、などの状態になります。  

アサヒグループホールディングスのランサムウェア 被害

2025年9月29日、アサヒグループホールディングスはサイバー攻撃の影響で国内システムに障害が発生したと公表しました。この時点で個人情報や顧客データの外部流出は確認されていませんでしたが、11月27日、調査を進めた結果、約191.4万件分の個人情報が漏えい、または漏えいした可能性があることを公表しました。

なおシステム障害の影響で10月以降のビール出荷にも影響し、他社への発注が増加。同社のインシデントを受けて、キリンやサッポロ、サントリーなども飲食店向けの出荷を制限しました。

なお、2025年10月7日、ランサムウェア グループ Qilin（キリン）がダークウェブ上のリークサイトでアサヒグループホールディングスへのサイバー攻撃と不正アクセスを主張しています。

アスクルのランサムウェア 被害

アスクル株式会社は2025年11月11日、ランサムウェアによるサイバー攻撃に関連する情報流出について新たな事実を公表しました。10月31日に把握していた複数の情報区分で流出件数が拡大していることを確認したと説明し、詳細調査の継続と監視体制の強化を進める方針を示しました。現時点で流出情報の悪用被害は確認されていないものの、なりすましメール等への警戒を呼びかけています。

今回の公表では、事業所向けEC（「ASKUL」「ソロエルアリーナ」）の顧客からの問い合わせ情報の一部、個人向けEC（「LOHACO」）の顧客からの問い合わせ情報の一部、そして商品仕入れ先（サプライヤー）が商品関連システムに登録していた情報の一部について、10月31日時点の確認から流出件数が拡大しているとしています。同社は、該当情報の利用有無にかかわらず、不審なメールに添付されたファイルや本文内URLを開かないこと、心当たりのない連絡に反応しないことを利用者・取引先に求めています。なお、「LOHACO」の決済に関してはアスクル側でクレジットカード情報を受け取らない仕組みを採用しており、同社は個人のクレジットカード情報を保有していないと説明しています。

対応状況としては、外部専門機関の協力のもとでフォレンジック調査を継続しつつ、監視体制を強化して追加の流出可能性がないかを確認しています。個人情報保護委員会など関係当局への報告は完了しており、追加で公表すべき事実が判明した場合には速やかに告知するとしています。また、同社からの案内メールは社内ネットワークと独立した外部クラウドサービスを使用して配信しており、提供事業者側でのセキュリティ対策が施されていること、当該外部サービスでのランサムウェア感染や不正アクセスは確認されていないことも明らかにしました。サービス（Webサイト）は、セキュリティ対策を強化したうえで安全性を確認してから順次再開する方針です。

攻撃グループの動向としては、2025年10月30日にランサムウェアグループ RansomHouse（ランサムハウス）が犯行声明を発表し、11月8日頃に2回目のデータ公開を行ったと主張しています。セキュリティ対策Labで確認されたサンプルには、社員のメールアドレスリスト、社内フォルダリスト、初回声明と同様のサポート関連リストなどが含まれていました。ただし、これらのデータが実際にアスクルから流出したものかについて同社からの公式確認は出ておらず、現時点では真偽不明の扱いです。

レゾナック・ホールディングスのランサムウェア 被害

2025年5月20日、レゾナック・ホールディングスのグループ会社を含む一部サーバーが外部からのサイバー攻撃を受け、ランサムウェアに感染したことが同社から発表されました。

侵入確認後、同社は即座に緊急対策本部を設置し、ネットワーク遮断や感染拡大防止策に着手。その結果、業務に一時的な支障を生じつつも、被害を最小限に抑えつつ対応。

その後の調査で、6月3日時点において個人情報の流出は確認されておらず、サービスの提供や生産活動も段階的に復旧しているとの報告がありました。

レゾナック社は、全社に対するウイルススキャン、パスワード再設定、早期検知ツールの導入、インシデント監視体制の強化、そして従業員向けのセキュリティ教育といった再発防止策を即時進めています。

大日本印刷の海外子会社CMIC CMO USAへ不正アクセス、Qilin がサイバー攻撃を主張

大日本印刷（DNP）の子会社であるCMIC Holdings USAが、ランサムウェア攻撃の標的となったとされる事案が2025年5月に発覚しました。

なお、ランサムウェアグループ「Qilin」がダークウェブ上で同社への犯行を主張しており、米国内の同社サーバーから企業情報や財務データ、従業員関連資料を含むとされる約45GBのデータを窃取したと述べています。

ただし、現時点でCMIC USAや親会社であるDNPから公式な声明は発表されておらず、情報漏洩の真偽についても確認されていません。

株式会社コバヤシ　不正アクセスによる情報窃取を確認、World Leaksが犯行声明

株式会社コバヤシは、同社サーバーに対する第三者の不正アクセスによりサーバー内情報が窃取された事実を、2025年11月4日に確認しました。11月6日付の公表では、今回の事案でランサムウェアによる暗号化やシステム停止は発生しておらず、受発注・出荷を含む通常業務への影響は確認されていないと説明しています。同社は外部のセキュリティ専門会社と連携して事実関係の精査を進め、警察および個人情報保護委員会へ報告を行っています。

現時点で、流出した情報の不正利用事象は確認されていません。一方で、窃取データを悪用したフィッシングメールや不審な連絡が発生する可能性があるとして、同社は関係者に注意を呼びかけています。調査は継続中であり、詳細が確定し次第、同社ウェブサイトや個別通知で速やかに案内するとしています。

2025年11月4日頃、ハッカーグループ「World Leaks」が犯行声明を発表し、3.2TBのデータを窃取したと主張してリークサイト上で公開しました。もっとも、ハッカーやランサムウェアグループが自らの功績を誇張する例は少なくなく、本犯行声明の内容が事実かどうかについては慎重な検証が必要としています。

World Leaksは、2025年1月に「Hunters International」から改名し、その後はデータ窃取と恐喝に特化した攻撃を継続しているとされています。これまでに49の組織からデータを公開しており、その一部ではSonicWall社製の旧型VPN機器「SMA 100」の既知脆弱性を悪用して侵入した事例が確認されています。Googleの脅威インテリジェンス部門やマクニカなどのセキュリティベンダーも、同グループの活動に関する調査を進めています。

エネサンスホールディングス：ランサムウェア被害を確認、Qilinが犯行声明

株式会社エネサンスホールディングスは、2025年10月21日に発生したシステム障害について、外部専門家の調査によりランサムウェアによる被害であることを確認したと発表しました。事案発生直後に緊急対策本部を設置し、原因究明と復旧対応を継続しています。同社はQilin（キリン）のダークウェブ上のサイトで自社名とロゴの掲載を確認しており、この状況も踏まえて被害の公表に踏み切っています。

10月30日時点では、被害拡大を防ぐために外部接続を速やかに遮断し、その後は被害ネットワークから隔離したクリーン環境でシステムを再構築して業務を再開しています。現時点で情報漏えいが発生したと考えられる事案は確認されておらず、関係者からの二次被害報告もありません。今後、原因の特定や漏えい可能性、影響範囲が判明し次第、同社は追加の報告を行う方針です。

脅威アクターの動向としては、10月29日頃にランサムウェアグループQilinが犯行声明を公表した一方、10月30日時点で同グループのリークサイトから同社名が一時削除されました。11月6日には社名が再掲載されていますが、引き続きサンプルデータなどの具体的な裏付けは提示されておらず、侵害を直接的に証明する内容は確認できません。一般にランサムウェアグループは自らの関与や成果を誇張する場合があるため、同社は慎重に事実関係の検証を進めています。

メディアリンクスの米子会社のランサムウェア被害 Playが犯行声明

2025年6月4日、東証スタンダード上場の株式会社メディアリンクス（本社：神奈川県川崎市）は5月21日に米国グループ会社「MEDIA LINKS, Inc.」が、ランサムウェアによるサイバー攻撃を受けたことを発表しました。

なお、ランサムウェアグループ「Play」が同社への犯行声明を発表しており、彼らはダークウェブ上で同社から窃取したとされる人事関連データを公開し、従業員の個人情報を含む複数のファイルを「証拠」として掲示しました。

公開された情報には、従業員のパスポートコピー、住所、連絡先情報、給与情報などが含まれていたとされております。

株式会社テインのランサムウェア 被害 Warlockが犯行声明

株式会社テインは2025年11月7日、同社本社サーバーで発生したシステム障害について第2報を公表し、10月31日の初報後に実施した調査の結果、ランサムウェアによるサイバー攻撃であることを正式に確認したと明らかにしました。現在は、被害の全容把握と復旧作業を並行して進めつつ、平常業務の再開に取り組んでいます。なお、11月6日にはランサムウェアグループ「Warlock」が犯行声明を発表しています。

生産活動については、子会社の中国工場（天御减振器制造〈江苏〉有限公司）が11月3日から1週間の停止、本社工場は1日の停止が発生しました。同社は週末稼働などによる振替生産を計画しており、生産面での大きな影響は見込んでいないとしています。資材調達はサプライヤーと個別に調整を行っており、概ね通常どおりの運用です。影響の具体的な内容は、取引先各社へ個別に連絡を進めています。

営業・受注については、受注システムが別サーバーで運用されているため直接の影響は回避されました。社内システム停止の影響により一時的な処理遅延は発生しましたが、現在は受注・出荷・納品を通常どおり実施しています。

資金決済への影響は確認されておらず、通常運用を継続しています。外部との連絡は電話とメールで対応しており、メールは安全確認済み端末のみで送受信する運用に切り替えています。このため、一部の問い合わせについては回答に時間を要する場合があるとしています。

個人情報や顧客データの外部流出を含む影響は、現時点では確認されていません。詳細については引き続き調査を行い、確定次第、関係各所への通知とあわせて速やかに案内する方針です。

エネクラウド株式会社、削除型ランサムウェアの被害

2025年5月、エネクラウド株式会社は、自社が利用していたクラウドストレージに対するランサムウェアによるサイバー攻撃の被害を公表しました。本攻撃により、Amazon S3に保存されていた45件のバケットが削除され、重要な取引先情報・個人情報が含まれていた可能性があるとのことです。

社内で一部ファイルの消失が確認された際に、ただちに外部のフォレンジック調査会社へ調査を依頼。調査の結果、今回の攻撃は、データを暗号化するのではなく、直接削除することで復旧の対価を求める「削除型ランサムウェア」であることが判明しました。

トライアルホールディングス／西友：Blue Yonder「WFM」への不正アクセスで従業員情報が漏洩

2025年10月30日、トライアルホールディングスは、子会社の西友が利用するBlue Yonder社のSaaS「Work Force Management（WFM：シフト作成ツール）」に対し、2024年10月15日～24日に外部から不正アクセスが発生し、西友の従業員情報の一部が漏洩したと公表しました。対象は在職者・退職者を含む30,508名（10月28日時点・暫定）で、一般顧客情報は含まれていません。なお、西友は2025年にトライアルの完全子会社となっており、本件はグループとしての公表です。

Blue Yonderはパナソニック コネクトの米国100%子会社で、流通・小売を中心に広く使われています。2024年11月にはBlue Yonder自体へのランサムウェア攻撃が報告され、同年12月にランサムウェアグループ「Termite」が不正アクセスとデータ窃取を主張する犯行声明を出しています。今回の西友の件は「不正アクセスによるSaaS側でのデータ漏洩」であり、同社（西友）側の決済情報・顧客情報は含まれないものの、従業員IDや氏名等の組み合わせがフィッシングやなりすましの足掛かりになり得るため、関係者には不審メールの警戒が呼びかけられています

株式会社トキハインダストリー（複数サーバーでランサムウェア被害）

2025年5月中旬、大分県で総合スーパーを運営する株式会社トキハインダストリーは、複数の社内サーバーに対するランサムウェア感染が判明し、業務停止に直面しました。

初動対応として、影響を受けたサーバーを即時隔離し、外部のセキュリティ専門家と連携してフォレンジック調査を実施。加えて、被害の深刻化に備え、重要取引先やパートナー企業へも現状共有を開始しています。

発表によれば、財務データや設計仕様書など業務に関わるファイルが暗号化されたとされます。

トーモク、ランサムウェアの被害を発表（「Gunra」による攻撃の可能性）

2025年5月、東証プライム上場企業である株式会社トーモクが、ランサムウェアの被害を発表しました。セキュリティ対策Labがダークウェブで調査していたところ、このサイバー攻撃にはランサムウェアグループ「Gunra（グナー）」関わっている可能性があります。

Gunraは自らのリークサイトにおいて、同社の機密情報を含むと見られるフォルダ構成を公開し、攻撃の成功を主張しました。これには、経営計画や営業資料、人事・総務関連文書などが含まれていましたが、実際にデータが漏洩しているかについては確認されておらず、慎重な対応が求められています。

同社は5月8日付で、グループ内の一部サーバーがランサムウェアによって暗号化され、オンライン受注システムに障害が発生していることを正式に発表しました。攻撃は5月3日に発生し、現在は警察および外部のセキュリティ専門家と連携し、原因究明と復旧作業が続けられています。なお、WEB経由やFAX・Eメールを利用した受発注業務は通常通り行われており、生産体制にも影響はないとしています。

Gunraは2025年4月に登場した比較的新しいランサムウェアグループで、世界各国の企業や団体を標的とし、盗んだとされる情報を公開すると脅す「二重脅迫型」の攻撃手法を用いています。彼らの攻撃対象は日本に限らず、ブラジルやイタリア、アルゼンチンといった国々にも及んでおり、その活動は国際的な広がりを見せています。

保険見直し本舗グループ、ランサムウェアによるサイバー攻撃で約510万件の個人情報漏洩の恐れ

2025年2月16日の攻撃確認後、同グループは迅速に該当サーバーをネットワークから切断しました。その後も専門家による調査を継続。その結果、3月末時点で、暗号化されたデータ内に顧客の保険契約情報や相談履歴を含む個人情報が含まれていたことが判明しています。

第四報によると、グループ内各社において合計約510万件にのぼる可能性がある情報が暗号化されたとされています。

現時点では、マイナンバーやクレジットカード情報等の決済情報は含まれておらず、また情報流出や公開の事実も確認されていないとのことです。

原田工業、ランサムウェアの被害の可能性

2025年5月時点で、ランサムウェアグループ「Qilin（キリン）」が、東京都品川区に本社を構える東証スタンダード上場企業・原田工業株式会社に対する不正アクセスと大規模な情報窃取を主張しています。Qilinはダークウェブ上に犯行声明を掲載し、942GBに及ぶとされる内部データを外部に持ち出したと主張。

現在のところ、同社からは正式なリリースは確認されておらず、情報漏えいの事実関係は明らかではありません。ランサムウェアグループの声明は誇張を含む場合もあるため、真偽の確認が取れるまでは慎重な対応が求められます。

ダークウェブ上に掲載された内容には、同社の仕入先関連情報や製品設計書、予算管理資料、従業員の身分証明書情報を含む多岐にわたるファイルの存在が確認されており、特に英語で記述されたドキュメントやメールが目立っていたことから、海外拠点や関連子会社を含む広範な範囲への不正アクセスが推察されています。

さらに、声明では流出したとされる機密情報の詳細が記載されており、契約書や2D/3D図面、顧客データ、財務情報、サプライチェーンの詳細、製品開発資料、従業員の個人情報、パスポートやビザ申請書類、乳児に関する書類、報告書、組立てノート、製品の仕様書やロードマップ、SWOT分析、新施設関連のデータ、さらには「機密」指定された文書まで含まれていたとしています。

この中には、ホンダ、マツダ、トヨタ、テスラ、フェラーリ、ハーレーダビッドソン、BYDといった自動車メーカーに関連するデータも含まれているとされ、もし内容が事実であれば業界全体にも波及する深刻な影響が懸念されます。

犯行声明では、Qilinは原田工業とのやり取りの過程で十分な対応が得られなかったと主張し、データ公開に踏み切ったとしています。また、同社の日本に拠点を置く経営陣が従業員やプライバシー保護に無関心であると非難し、原田工業との取引を避けるよう注意喚起するなど、挑発的なメッセージも含まれています。

なお、現時点で原田工業は本件に関する公式発表を行っておらず、サイバー攻撃の実態やデータ流出の有無については確認されていません。今後の同社の対応と調査結果が注目されます。企業や関係取引先においては、過剰反応を避けつつも、万が一の情報流出を想定したリスク管理の強化が求められる状況です。

近鉄エクスプレス（基幹システム停止に至るランサムウェア攻撃）

2025年4月23日の未明から、貨物輸送において全国的な混乱を招いた近鉄エクスプレスのランサムウェア被害。JALも関連サービスに影響を受け、物流全体に支障をきたしました。

被害発覚後すぐに緊急対策本部を設置し、外部専門家および警察と協調しながら被害範囲の特定と復旧対応を進行しましたがゴールデンウイークの物流に大きく影響が発生しました。

5月6日には基幹システムがほぼ復旧し、貨物輸送も順次再開されました。現時点では暗号化被害を受けたサーバーが限定されており、人的情報漏洩の有無は未確認です。

日本セラミックス（「Nightspire」が犯行声明）

2025年4月初旬、国内老舗セラミックス製造会社が夜間にビジネスプロセスを担う社内システムを攻撃されました。

同月「Nightspire（ナイトスパイア）」を名乗るグループが同社へのサイバー攻撃を主張しており

被害内容には在庫管理・生産ライン運用のファイル暗号化と、300GB以上の設計データの窃取が含まれるとされます。

同社は即時に防御ラインを設け、感染端末をネットワークから切断しつつ、EDRおよびIDSによる流入経路の分析を実施。また、顧客への影響を最小限に抑えるため、即応体制で業務再開に努めており、並行してセキュリティ管理体制を抜本的に見直す方針です。今後はサードパーティへの環境診断や、従業員のセキュリティ研修強化にも取り組む意向です。

サンリオエンターテイメント（ピューロランド）：約200万人分の個人情報漏洩おそれ

2025年1月21日、サンリオエンターテイメントは運営するピューロランドのオンラインシステムがランサムウェアに侵害された可能性を発表しました。この攻撃では、最大で約200万人分の個人情報（氏名・住所・電話番号・マイナンバー等）が外部へ流出したおそれがあるとされ、2月7日にはその詳細が追加公表されました。

クレジットカード情報の漏えいは否定されたものの、不正アクセスによるID・パスワード情報の悪用リスクは依然高く、対象者には個別の通知とサポート窓口の整備が行われました。

宇都宮セントラルクリニック（ランサムウェア　グループ “Qilin”が犯行声明）

2025年2月18日、栃木県・宇都宮セントラルクリニックが、自身のサーバーがランサムウェアに感染し、最大30万人分の個人情報が漏洩した可能性を発表しました。

同月、ダークウェブ上でランサムウェアグループ　Qilinが犯行声明を発表しました。ただし、その内容はあくまで「自称」であり、同院は情報漏えいの有無を明言していません。

現在、同クリニックはサーバー隔離と緊急セキュリティ対策を実施、外部フォレンジック会社と連携し状況の特定を進める一方、患者と関係各所への注意喚起も実施しています。医療情報という高い秘匿性を持つデータが含まれるとされ、今後の調査結果次第では法的・行政的対応を含む包括的な対応が待たれます。

光精工にランサムウェア攻撃の疑い、Qilinが犯行声明

2025年1月19日、三重県桑名市に本社を置く精密自動車部品メーカー、光精工株式会社へランサムウェアグループ　Qilinが犯行声明を発表しました。

声明内では、同社の製品設計図や限定アクセス仕様の図面、メールデータ、人事情報、報告書、梱包・品質情報、コスト管理資料などが流出対象とされ、顧客企業としてアイシン、BYD、Ford、Hondaなどが名指しで挙げられています。Qilinは同社のネットワークに侵入し、データ窃取およびシステム暗号化を行ったと主張しており、経営陣に対して度重なる交渉を試みたものの、一切の返答がなかったと強調しています。

現在、光精工から公式発表はなく、当該データの実態確認や流出の真偽は判明していません。

ランサムウェア グループ Cicada3301がＤＴＳのグループ会社、デジタルテクノロジーへの不正アクセスを主張

2025年2月上旬、株式会社ＤＴＳは同社のグループ会社であるデジタルテクノロジー株式会社が、標的型ランサムウェア攻撃に遭い、同社の重要な業務データが暗号化されたと報告しました。

直後、ランサムウェアグループ「Cicada 3301」がダークウェブ上で犯行声明を出し、盗取ファイルの一部を掲載。同社は被害確認後即時に全社IT環境を遮断し、外部セキュリティ専門会社を導入しながら被害範囲の特定に着手しました。

現在、復旧は進められているものの、事業体制への影響や顧客へのサービス停止が一部発生しており、復旧後にはセキュリティ体制・ネットワーク体制の全面見直しも検討中です。

株式会社ベル・データ、ランサムウェアで約4万7千件個人情報漏洩の可能性

2025年3月18日、ベル・データは2024年9月19日（木）に発生したランサムウェアで社内システムに保存されていた47,359件の情報が漏洩した可能性を発表しました。攻撃自体は標的型ではなく、脆弱性を突いた侵入と推測され、同社内部の顧客マスタ情報や技術資料が流出。さらに一部には社員の身分証明書コピーなど機微情報が含まれていた可能性があります。

企業は即時にセキュリティ専門家と連携し、流出経路や暗号化された範囲を調査しながら、半月かけて自社サイトと顧客サービスを段階的に復旧しました。

Cl0pがOracle E-Business Suite（EBS）利用企業を狙った恐喝キャンペーンを展開（2025年9月以降）

2025年9月下旬、複数企業の経営層宛てに恐喝メールが一斉送信され、その後、ランサムウェア／データ恐喝グループのCl0pが運営するダークウェブ上の流出サイトに、Oracle E-Business Suite（EBS）利用企業を標的とした最近の攻撃の被害社として約30組織の名称が掲載されました。本件の活動実行主体は、金銭目的クラスターのFIN11に紐づけられており、Cl0pはCleo／MOVEit／Fortra等のファイル転送製品を狙った広範な攻撃で知られています。

掲載状況として、Cl0p側は29社を列挙しており、その一部についてはトレント経由のデータ公開に踏み切ったと主張しています。具体例として、WOODPLC.com、KIER.co.uk、LOGITECH.com、INTERNATIONAL.com、MKS.com、KIRBYCORP.com、DARTMOUTH.edu、WASHINGTONPOST.com、ZANACO.co.zm、LV.com、MASTEC.com、DAVIDYURMAN.com、COXENTERPRISES.com、PANAMERICANSILVER.com、HRSD.com、SE.com（Schneider Electric）、CSCGLOBAL.com、AUSENCO.com、LKCORP.com（LKQ）、MILGARD.com、COPELAND.com、EMERSON.com、WITS.ac.za、AA.com（American Airlines）、HARVARD.eduが「公開済み案件」として挙げられています。加えて、RHEEM.com、TRIMBLE.com、GLOBALLOGIC.comには「PAGE CREATED」等の予告表示（連絡要求を含む）が付され、ELSEWEDEYELECTRIC.com、INFORMA.comは「UNDER REVIEW…」として精査中表示が行われています。なお、これらはCl0p側の一方的な掲示であり、各社が侵害を正式に認めたわけではありません。被害の有無や範囲は現時点で未確定です。

侵入経路については、EBSの具体的な脆弱性は未特定ながら、候補としてCVE-2025-61882およびCVE-2025-61884が挙げられています。いずれも認証不要でリモート悪用が可能とされ、特にCVE-2025-61882はパッチ公開の少なくとも2か月前からゼロデイとして悪用が始まっていた兆候があります。9月下旬の経営層宛て恐喝メールは、侵入・窃取後の圧力段階に位置づけられ、流出サイトでの社名掲載やトレント公開をテコに支払いを迫る、典型的なデータ恐喝型の流れが確認できます。

企業側の公表状況は総じて限定的で、多くの組織がフォレンジック調査中とみられます。過去のCl0p事案と同様に、注目回避を優先して沈黙を保つケースも想定されます。EBSユーザーについては、被害の有無にかかわらず、次の標準プロセスを直ちに実施すべきです。第一に、当該CVEを含む最新パッチの適用状況を棚卸しし、外部公開しているEBSコンポーネント（例：iStore、iSupplier、Self-Service等）の露出点を洗い直します。第二に、WAF／リバースプロキシ配下での振る舞いログ、EBSアプリケーションログ、DB監査ログ、オブジェクトアクセスログを突合し、大量エクスポートや不審なエージェント文字列、時間外アクセス、権限昇格の痕跡を確認します。第三に、EBSアプリ・DB・統合用（API／バッチ／ETL）の資格情報とOAuth相当トークンの一斉ローテーションを行い、古い統合エンドポイントは停止またはネットワーク的に隔離します。第四に、インターネット向け公開パスの一時遮断（可能な場合）と、CDN／WAFでの仮想パッチ適用、危険リクエストのブロックを行います。最後に、恐喝メールへの金銭対応を行わず、法執行機関と連携しつつ、影響可能性のある取引先・顧客への段階的な通知準備を進めます。被害の確証が得られるまでの間も、二次被害（標的型メールやなりすまし）に備え、送信ドメイン認証（SPF／DKIM／DMARC）設定の再点検、監視ルールの強化、関係者への注意喚起を並行して実施してください。

ランサムウェア対策の基本方針

予防（侵入させない）

• OS・ソフトウェアの脆弱性対策（パッチ適用）

• メールやWeb経由のマルウェア対策（添付ファイルの無害化、URLフィルタリング）

• 社員へのセキュリティ教育（疑わしいリンクを開かない、報告体制の徹底）

検知（侵入を早期に発見する）

• EDR（Endpoint Detection and Response）やNDRなどの導入

• ファイル変更の兆候、異常な振る舞いを検知するログ監視

対応（感染時の被害を最小化する）

• ランサムウェア感染時の初動対応手順書の整備

• ネットワーク分離や端末隔離の即時対応体制

• CSIRTや外部専門機関との連携フローの構築

復旧（データの迅速な復元）

• オフラインバックアップの定期取得とリストア手順の訓練

• バックアップデータの多層化（ローカル・クラウド・テープ等）

最近の傾向と注意点

• 攻撃対象は大企業だけでなく、中小企業や教育機関、医療機関にも拡大

• 海外グループによる攻撃が日本語環境を標的とする事例が増加

• ダークウェブでの情報拡散や身代金支払いの可視化が加速

最後に

ランサムウェアは「いつ自社が被害に遭ってもおかしくない」現実的な脅威です。技術的対策とあわせて、組織的・人的対応能力の強化が不可欠です。情報システム部門としては、経営層と連携し、全社的なサイバーレジリエンス強化に取り組むことが求められます。