はじめに

2025年9月下旬、国内の大手企業においてサイバー攻撃が発生し、業務システムの停止や情報漏えいの可能性が公表されました。本記事では、この事案について公表されている情報をもとに、セキュリティ専業ベンダーの視点から技術的な背景や被害拡大の要因を整理します。

併せて、企業の情報システム担当者が同様のリスクを低減するために押さえておくべきポイントを、マルウェアの侵入から被害発生に至る攻撃プロセスに沿って解説します。

本記事を通じて、「社内運用だけでは対応が難しい領域はどこか」「自社のセキュリティ上の弱点はどこにあるのか」を見極める一助となれば幸いです。

なお、本記事は実際に公表された国内企業のランサムウェア被害事例を題材としていますが、特定企業への評価や責任の所在に言及することを目的とするものではありません。そのため、本文中では当該企業を「A社」と表記し、公開情報および一般的な攻撃手法の傾向をもとに、技術的な観点からの考察と再発防止に向けた教訓の整理に主眼を置いています。

INDEX

はじめに

国内企業で発生したサイバー攻撃事案の概要（公表情報に基づく時系列）

ランサムウェア攻撃の典型的な流れ

どうすればランサムウェア攻撃の被害を抑えられるのか？

ランサムウェアの被害を抑えるおすすめサービス 4選

ランサムウェア攻撃に備えて情シスが確認すべきチェックリスト

サイバー攻撃の拡大を防ぐ有効な一手はプロへの相談！

Q＆A

出典・参考資料

国内企業で発生したサイバー攻撃事案の概要（公表情報に基づく時系列）

2025年9月29日（第1報）

• サイバー攻撃の影響により、システム障害が発生したと公表
• 影響により、国内グループ各社における受注・出荷業務や、お客様相談窓口を含むコールセンター業務を停止
• 復旧の目処は立っておらず、影響範囲は日本国内に限られる旨を説明

2025年10月3日（第2報）

• 緊急事態対策本部を立ち上げて調査した結果、サーバがランサムウェア攻撃を受けたことを確認
• 重要データ保護を最優先とし、障害が発生したシステムの遮断措置を実施
• 情報漏えいの可能性を示す痕跡を確認（内容・範囲は調査中）
• 受注・出荷を含む各種業務への影響が継続し、社外からのメール受信ができない状況
• システムを用いた受注・出荷は停止を継続
• 手作業による受注を進め、順次出荷を開始

2025年10月8日（第3報）

• 調査の結果、当該企業から流出した可能性のある情報がインターネット上で確認されたと説明
• 流出が疑われる情報の内容・範囲は調査中であり、影響確認ができた場合は速やかに公表する方針
• 影響は日本国内のシステムに限られ、海外システムへの影響は確認されていないと説明

2025年10月14日（第4報）

• 影響範囲および内容の調査を進める中で、個人情報が流出した可能性があることが判明
• 情報漏えいが確認された場合は、該当者へ速やかに連絡し、法令に基づき適切に対応する方針を示す
• 影響は、日本で管理しているシステムに限られる旨を改めて説明

2025年11月27日（調査結果の公表）

• 攻撃者がグループ内拠点のネットワーク機器を経由してデータセンターのネットワークへ侵入し、ランサムウェアが一斉に実行されたと説明
• ネットワーク接続範囲で起動していた複数のサーバおよび一部PC端末のデータが暗号化されたことを確認
• データセンターを経由して、従業員に貸与されていた一部PC端末のデータ流出が判明
• データセンター内サーバに保管されていた個人情報について、漏えいが発生、またはそのおそれがあると公表

2026年1月7日（業務再開状況に関する告知）

• 2025年12月初旬より、システムを活用した受注・出荷業務を段階的に再開
• 2026年2月までに完全復旧を目指す方針を示す

以上が、公表情報に基づくA社のサイバー攻撃事案に関する時系列です。

ランサムウェア攻撃の典型的な流れ

A社の調査結果（2025年11月27日公表）によれば、ランサムウェアによる被害があったとされています。
しかし、具体的な侵入手段や攻撃方法は、2026年1月時点で非公表です。
そこで、ここでは一般的なランサムウェアの攻撃方法を解説します。

1.初期侵入

攻撃者はまず、以下に代表される社内ネットワークへ入る入口を作ろうとします。

• フィッシングメール：添付ファイルやURLからマルウェアを実行させる・認証情報を盗む
• 公開された機器・サービスへの侵入：VPN・FW（ファイアウォール）・ルーター・リモートアクセス等
• 漏えいしたID・パスワードの悪用：使い回しパスワード・過去流出した認証情報・弱いパスワードを突破
• サプライチェーン・委託先を経由：取引先や委託先のアカウント・接続経路を踏み台にする

2.足場固め

侵入後、攻撃者はすぐ暗号化するのではなく、多くの場合は永続化や追加ツールの投入などにより、継続的に操作できる状態（足場）を確立します。
ただし、環境や目的によっては侵入直後に暗号化へ移行するケースもあります。

• 端末・サーバ上で不審なプログラムを実行（PowerShell等の正規ツールを悪用するケースも）
• バックドアやスケジュールタスク等で再侵入できる仕組みを置く
• 侵入がばれにくいよう、ログ削除やセキュリティ機能の回避を試みる

3.権限昇格と認証情報の窃取

次に狙われやすいのが、管理者権限（特権）と認証情報です。

• 端末内のパスワードやトークン、ブラウザ保存情報を窃取
• AD（Active Directory）環境がある場合、管理者権限やドメイン権限の奪取を狙う
• 正しいIDでログインしているように見せることで検知をすり抜けやすくする

この段階に入ると、攻撃者は「1台の侵害」から「組織全体の侵害」へ攻撃を進めます。

4.内部調査と横展開情報の窃取

権限を得た攻撃者は、ネットワーク内を探索し、被害を最大化できる重要ポイントを探し始めます。

• どのサーバが重要か（業務システム/ファイルサーバ/バックアップ/監視/メール等）を探索
• 横展開の実行（別の端末/サーバへ侵入を拡大）
• 管理ツール（リモート管理/ソフト配布/運用ツール）のアカウントを侵害

ここで「ネットワーク的に各サービスがつながっている」「強い権限のアカウントが共通で使える」ほど、被害が大きくなりやすいです。

5.情報窃取

データの暗号化だけでなく、データを盗んで公開すると脅す（二重恐喝）が近年よく見られ、攻撃者はそのための準備を行います。

• 個人情報・契約書・設計資料・メール・認証情報などを収集
• 外部（攻撃者のサーバ等）へ持ち出し
• リークサイト等で公開・地下フォーラム等で売買・悪用されるケースも

このため、たとえデータが復元できても、情報漏えい対応が必要になる事案が増えているのが現状です。

6.暗号化の実行

そして攻撃者は準備が整うと、暗号化マルウェアを実行して暗号化を開始します。

• ファイルやデータベース、共有フォルダを暗号化
• サーバや端末を大量に暗号化し、業務を停止させる
• バックアップ削除、復元妨害（スナップショット削除等）を伴うことも

7.身代金要求

最後に、ランサムノート（身代金を要求するドキュメント等）によって金銭を要求します。

• 復号鍵（暗号化の解除キー）の提供と引き換えに支払いを要求
• 短い交渉期限や段階的な値上げで焦らせる
• 窃取データの公開を盾に追加要求（二重恐喝）

身代金要求に対して支払いを行っても、復号や窃取データの削除が保証されるわけではありません。

攻撃されてしまったら、必要に応じて感染端末の隔離や通信制御などの封じ込めを実施したうえで、外部の専門事業者や関係機関（警察等）への相談を検討しましょう。

どうすればランサムウェア攻撃の被害を抑えられるのか？

ここからは、前述の攻撃方法をもとに「入口/検知/横展開/復旧」の4観点から、一般企業が再現性高くセキュリティを強化できるポイントを整理します。

どれも「これだけやれば大丈夫」という話ではありません。

4つのどれかが欠けると、被害が一気に大きくなりやすいのが事実です。

なお、以下は一般論であり、実際の最適解は、「業種/規模/拠点数/クラウド比率」などで変わりますので注意してください。

1.入口を減らす（外部公開資産/認証情報/設定ミスをなくす）

情シスの台帳にないサブドメイン・テスト環境・放置された機器が、サイバー攻撃の入口になることは珍しくありません。
そのため、この段階で攻撃者から見えている自社のシステムを把握する必要があります。

ここで有効なのが「ASM（Attack Surface Management：攻撃対象領域の管理）」という考え方です。
外部から見える資産を継続的に洗い出し、危ないものを優先度付けして直していきます。

• DNS（サブドメイン）・IP・証明書・クラウド資産などを定期的に収集
• クラウドストレージ・セキュリティグループ・WAF・Firewallの設定などを定期点検
• 共有アカウントの廃止・MFA必須化・漏えいパスワードの検知を実施

上記の例をもとに不要な入口を見つけ、一つずつ減らすことが最終的に監視の負荷とコストを下げます。

関連記事：ASMとは？（Attack Surface Management）　最新ガイドと企業のセキュリティ対策

2.侵入を早期発見する（ログ/監視/夜間対応）

次は、侵入されたときに備えて、早期に検知し封じ込めにつなげるための運用体制を整える対策です。

• 攻撃を検知するためのログ収集と優先度付きアラート運用
• ログとアラートを営業時間中（できれば24時間365日）監視する体制
• アラート発生時や攻撃を受けたときの連絡網・対応手順の作成

しかし情シスが少人数の場合、こうしたアラート運用や常時監視は大きな負荷になります。そのため、ログの収集・相関分析と端末側の検知を組み合わせ、検知後のトリアージ（対応と判断）と対応手順まで含めたSOC機能を外部で用意することが有効です。

SOC（Security Operation Center）は、検知・分析した内容をもとに初動判断を行い、IR/情シスと連携して封じ込めや復旧作業につなげるチームや集中管理機能を指します。

SOCチームで組織の環境を継続監視し、脅威を迅速に検出・優先度付けすることで、被害の拡大を抑えます。

3.横展開を止める（権限/ネットワーク分離/端末対策）

侵入した攻撃者の次のアクションは、社内を渡り歩く（横展開する）ことです。
横展開を許すと、基幹・ファイルサーバ・認証基盤など、止まると痛い場所が次々に巻き込まれます。
企業が行うべき対策はシンプルで、企業側が以下の3点を地道に行うことで攻撃の成功率を下げることができます。

1. 権限を最小化する（管理者権限を濫用しない）
2. 重要範囲を分ける（ネットワーク分離）
3. 端末を守る（アカウント/パソコン/サーバの監視）

米国CISA（Cybersecurity and Infrastructure Security Agency）のガイダンスでも、ネットワーク分離が拡散防止に有効であると推奨されています。

「うちは大企業じゃないから狙われない」と油断すると、攻撃者から見ると守りが薄い会社に映ってしまいます。
横展開を許してしまうと何ヶ月も業務が不能になる恐れがありますので、日頃からしっかりと対策しておきましょう。

4.暗号化されても戻せる環境へ（バックアップ/復元訓練）

最後は、万が一攻撃を受けた際の迅速な復旧対策です。

• 重要データは複数世代・複数媒体で保持
• 復旧の優先順位と目標（RTO/RPO）を決め、復旧手順を手順書化
• 定期的な復元テストの実施

ランサムウェア被害で一番つらいのは、データを戻せずに業務が止まり続ける状態です。

IPA（情報処理推進機構）も対策として、バックアップの取得・保管に加えて復旧訓練の重要性を明記しています。
バックアップは“ある”だけでは意味がなく、“戻せる”ことで真の価値が生まれます。
バックアップが機能しているか、そのバックアップで環境を再構築できるかは必ずチェックしてください。

ランサムウェアの被害を抑えるおすすめサービス 4選

ここからは、具体的に何をするべきか迷っている情シス担当者の方へ向けて、社外サービスを活用して実施できる対策方法をご紹介します。

当社（セキュアイノベーション・SIV）が提供するサービスの中から、ランサムウェア被害の抑止・低減に寄与するものを4つ取り上げ、活用ポイントを整理します。

情シスの役割は、セキュリティ対策を列挙することではなく、運用可能な形に落としこむことです。

社内のリソースだけでは回しきれない領域は、必要な部分に絞って外部の支援を取り入れるのも、現実的な選択肢です。

※特定企業の状況を前提にした提案ではなく、同種インシデントで一般に有効な支援例です。

1.ASMで攻撃リスクを低下！（外部公開資産の可視化/リスク管理）

当社セキュアイノベーションがサービス提供するSIV-ASMは、ドメインを起点にサーフェスウェブ（一般的な表面のインターネット）だけでなくダークウェブ上の漏えい情報も収集します。
ASMを実施すれば、攻撃者が最初に足掛かりにしやすい外部公開資産（リモート管理画面/公開ポート/放置サブドメイン等）を分析できます。
つまり、設定不備や既知の脆弱性が疑われる箇所を洗い出して是正の優先順位を付けられるのです。

実際の事例では、拠点側の境界機器が外部からどう見えているかが把握でき、攻撃者が踏み台にできる入口を潰す目的でASMが直接役に立ちます。

さらに、ダークウェブ上の漏えい情報の収集によって、VPNやメール等の認証情報流出の兆候を早期に発見することも可能です。
そのため、パスワード変更・MFA強制・アクセス制御の見直しを前倒しでき、侵入リスクを下げられます。

また、SIV-ASMはワンショットサービスとして、1ドメイン（50サブドメインまで）を調査対象とし、大きな費用をかけずに俯瞰して自社の状況を確認できます。

セキュアイノベーション：ASMサービス「SIV-ASMサービス」

2.SOCで早期発見！（SIEM運用/EDR監視/インシデント対応の初動）

SOCは、ログと端末のアラートを24時間体制で監視し、異常を見つけたら優先度付けして初動対応につなげる仕組みです。

サイバー攻撃の発生をゼロに抑えることが不可能である以上、攻撃の発生にどれだけ早く気付けるか、初動の速さと正確さが被害の大小を左右します。

実際の事例でも、侵入後にデータセンター側でランサムウェアが一斉に実行され、複数サーバや端末の暗号化へ波及しています。

こうしたケースでは、不審なログイン・権限昇格・横移動の兆候・暗号化前の挙動を早い段階で掴めるほど、封じ込めや被害範囲の最小化に繋げやすくなります。
ただ、少人数の情シスでは「夜間に鳴るアラートには対応できない」「判断に迷う」「対応手順が属人化する」という壁にぶつかりがちです。

だからこそ、外部サービスを活用する企業は少なくありません。

SIV-SOCでは、こうしたSOC機能を24時間365日（対象範囲は要件による）で提供し、監視・運用対象を組織の要望に合わせて調整・提供しています。
夜間・休日の人員配置が難しい組織でも、外部サービスの活用により安定かつ効果的なSOC運用を実現できます。

セキュアイノベーション：SIV-SOCサービス

3. フォレンジック/漏えい調査で原因を特定！（影響範囲の把握）

フォレンジックは、何が起きたのかを証拠に基づいて説明できる状態にする調査です。

インシデント後は、原因や影響範囲（どこまで侵入されたか/どのデータが触られたか/漏えいの有無）を整理できないといけません。
なぜなら、社内の意思決定（復旧方針/再発防止）も、社外対応（取引先説明/公表判断/個別連絡）も前に進まなくなるからです。

セキュアイノベーションのデジタルフォレンジックサービスでは、コンピュータやネットワーク等から情報を収集・解析し、侵入経路や被害の実態を整理します。

ランサムウェア事案では、暗号化だけでなく窃取したデータ公開をちらつかせる二重恐喝が問題になりやすいです。
漏えいの事実確認と説明責任の観点で、この確認プロセスは特に重要になります。
復旧と説明を同時に進めなければならない局面ほど、フォレンジック・漏えい調査を外部に委ねると、結果として対応全体を早めます。

セキュアイノベーション：デジタルフォレンジックサービス

4. バックアップで被害を最小限に！（復旧手順の確立/リストアの現実性）

バックアップは、サイバー攻撃で暗号化や削除されても、復旧できる可能性を残すための最後の砦です。

例えば、EASYクラウドバックアップでは、ファイル単位だけでなく、OSまるごとのイメージバックアップなど複数形式に対応しています。
クラウド保管・リストア（データの復旧）までを一元的に扱えることが特徴です。

EASYクラウドバックアップのように機器の準備なしで導入できるサービスは、初期費用を抑えやすい利点があります。
ただ、ランサムウェア攻撃では、バックアップ自体が攻撃対象になるため、削除・改ざんへの耐性（保持設定/権限分離/管理アカウント保護など）も含めて設計することが重要です。

そのため、ネットワークから切り離されたオフラインのバックアップや削除が困難なコピーも合わせて保有しておきましょう。

クラウドとオフラインを併用することで、役割分担により、復旧する可能性を高めつつ運用負荷の調整も可能です。

セキュアイノベーション：EASYクラウドバックアップ

ランサムウェア攻撃に備えて情シスが確認すべきチェックリスト

ここでは、ランサムウェア攻撃に備えて、情シスが社内で確認するべきチェックリストをご紹介します。

全部いっぺんに完璧を目指すのではなく、できるところから行動してみてください。

チェック内容	対策サービス・製品
外部公開資産：自社ドメイン配下に何があるか（古い環境が残っていないか）	ASM（Attack Surface Management：攻撃対象領域の管理）
認証：重要システムに多要素認証が入っているか	セキュリティ基盤/IAM
権限：管理者権限が日常的に使われていないか（最小権限か）	IAM/AD運用
ネットワーク：重要系と一般端末が分離できているか	ネットワークセキュリティ
ログ：どのログがどこに残っていて、過去何日分見られるか	SOC（Security Operation Center）
監視：アラートを誰が見て対応するか（夜間・休日はどうするか）	SOC（Security Operation Center）
連絡体制：社内の報告ルートと、外部の相談先が決まっているか	IR体制
端末：EDR等のログ調査で感染後の挙動を掴めるか	SOC/IR
バックアップ：対象・頻度・保管先・世代数・オフライン性の有無	バックアップ
復元訓練：四半期に一度でもバックアップのテストをしているか	バックアップ

特に「バックアップ」や「復元訓練」を重要な対策として、IPAも挙げています。
チェック項目のすべてができないときでも、上記2つは優先度高く対応しましょう！

サイバー攻撃の拡大を防ぐ有効な一手はプロへの相談！

「セキュリティ対策の人手が足りない…」「何から手を付ければいいか分からない…」

そんな状態のときこそ、セキュリティのプロへ相談する価値があります。
情シスが少数、または兼務だと、調査・対策・運用まで全部抱えるのは現実的ではありません。

おすすめは、最初から大きな案件にせず、入口（ASM）・夜間監視（SOC）・復旧（バックアップ）など、どれか一つを起点に小さく始めることです。

やってみて上手く回らない場合には、次の対策を足していけばさらに強固な防衛になります。

またセキュアイノベーションでは、セキュリティ事故（インシデント）対策の問い合わせ窓口を設け、急ぎのご相談にも対応しています。状況が切迫しているときは、まず現状整理から一緒に進めるほうが早いです。

最後にもう一度だけ強調します。サイバー攻撃を100%防ぐのは難しいです。
それでも、サービスを頼ることで「攻撃しにくい/被害を抑えやすい/復旧しやすい」状態にすることができます。

セキュアイノベーション：お問い合わせ

A社 サイバー攻撃 Q＆A

A社はどのくらいの被害を受けましたか？

主な被害は「業務停止（受注/出荷/コールセンター等）」と「個人情報の漏えい（またはそのおそれ）」です。公表された情報をまとめると以下になります。

業務影響：受注・出荷業務/コールセンター業務の停止（当初公表）
情報漏えいが発生またはそのおそれがある個人情報（2025年11月27日時点の調査結果）

• お客様相談室等に問い合わせたことのある方：152.5万件
• 慶弔対応の社外関係者：11.4万件
• 従業員（退職者含む）：10.7万件
• 従業員家族：16.8万件
• 合計 191.4万件（※「クレジットカード情報は含まれていない」と記載あり）

A社のシステム障害はなぜ復旧に時間がかかりましたか？

A社の説明としては「被害拡大防止（封じ込め）」「安全性確認（フォレンジック・健全性検査）」「再発防止のセキュリティ強化を並行し、確認できた範囲から段階復旧」を優先したためだとされています。

具体的には、被害最小化のために、2025年9月29日にネットワーク遮断・データセンター隔離を実施しているようです。

また、2025年11月27日の説明では、約2ヶ月にわたり「封じ込め・復元作業・再発防止」の強化を行っていました。
フォレンジック調査や健全性検査、追加対策を経て安全性が確認されたものから段階的に復旧させていることで時間がかかっています。

A社の現在（2026年1月時点）はどうなりましたか？

A社は 2026年1月時点で、完全な復旧には至っていません。

しかし、2025年12月3日（12/8出荷分）から基幹システムを用いた受注業務を再開するなどシステムを活用した受注・出荷を再開しており、2026年2月までに順次復旧する予定としています。

攻撃を行ったとされるハッカー集団は？

2025年10月7日にランサムウェア集団「Qilin」が、A社から9,300件以上（約27GB相当）のデータを盗んだなどとする犯行声明を出しました。
次項の犯行声明もありますが、公開文書の真正性は独立検証されていません。
Qilinはランサムウェア集団として言及される一方で、RaaS（Ransomware as a Service）型で運用されるランサムウェアの名前としても知られています。

RaaSとは、ランサムウェアの開発者・運営者が、マルウェアや運用基盤をサービスとして提供するものです。アフィリエイト（実行役）が攻撃を実行して身代金を得るサイバー犯罪のビジネスモデルとなっています。

出典・参考資料

・国内企業によるサイバー攻撃に関する公式発表（2025年9月〜11月）
A社：サイバー攻撃によるシステム障害発生について 2025/09/29
A社：サイバー攻撃によるシステム障害発生について（第2報）2025/10/03
A社：サイバー攻撃によるシステム障害発生について（第3報）2025/10/08
A社：サイバー攻撃によるシステム障害発生について（第4報）2025/10/14

・A社による調査結果公表資料

A社：サイバー攻撃による情報漏えいに関する調査結果と今後の対応について 2025/11/27
A社：商品出荷状況について 2026/1/7

・関連する報道記事

CISA：StopRansomware Guide
日本経済新聞
朝日新聞
MITRE：Qilin
IBM：ランサムウェア・アズ・ア・サービス（RaaS）とは何か？
IPA：情報セキュリティ10大脅威 2025（組織編）
IPA：新5分でできる！情報セキュリティ自社診断