サイバー・軍事・地政学 グローバル課題・地域紛争・平和維持

笹川平和財団
上席フェロー
大澤 淳

印刷印刷

 ここ数年、企業や社会基盤を狙うサイバー攻撃は、IT部門だけが気にしていればよい「技術的なリスク」の域を完全に超えた。とりわけ2024年から2025年にかけては、日本企業や重要インフラに対するインシデントが相次ぎ、2025年はサイバー攻撃が、「いつ起きてもおかしくない日常的なリスク」として認識される転換点となった年だったと言ってよいだろう。

 その象徴が、企業の事業継続を直接脅かすランサム攻撃と、金融・交通・通信といった社会基盤をマヒさせるDDoS攻撃である。いずれも単なるシステム障害ではなく、企業経営を揺るがすリスクとして、取締役会での議論を避けて通れなくなっている。

ランサム攻撃による業務停止のリスク

 ランサムウェアによるサイバー攻撃は、社内ネットワークに侵入した攻撃者が、機密情報を盗み出したうえでサーバー内のデータを暗号化し、「元に戻したければ身代金を払え」と迫る、いわばデジタル版の人質ビジネスである。身代金を払わなければ情報を暴露すると脅す「二重恐喝」も一般的になっている。

 トレンドマイクロの集計によれば、2024年に日本企業が被害を公表したランサムウェア事案は84件と過去最多となり、前年から2割以上増加した[1]。情報処理推進機構(IPA)が公表した「情報セキュリティ10大脅威2025」でも、企業や組織にとっての脅威の第1位にランサム攻撃が位置づけられている[2]。

 実際、2024年には大企業を中心に、事業継続に深刻な影響を与える事例が目立った。大手小売企業では、商品受発注システムが停止した結果[3]、店舗での欠品が相次いだ[4]。地方自治体や金融機関、クレジット会社の情報処理を担う企業では、サービス停止により業務が滞り、委託元の顧客の個人情報が流出し[5]、市民を巻き込んだ混乱が発生した。動画配信プラットフォームはランサムウェア攻撃を受け[6](「BlackSuit」を名乗るロシア系ハッカー集団によるもの[7])、約2か月にわたり配信停止に追い込まれている。電子商取引の物流代行を担う大手物流企業では、サーバーのデータが暗号化され[8]、全国的に荷物の出荷が止まった。

 海外の事例を見ると、そのインパクトの大きさがさらによく分かる。英国ではランサム攻撃により[9]、生鮮食料品や冷凍食品の供給が滞り、店頭に商品が並ばない状況が生じた。米国でも有機食品の小売企業が攻撃を受け[10]、店舗の棚が空になる[11]など、市民の日常生活に直結する形で影響が表面化した。航空関連会社が被害を受けて運航に支障が出たケースも報告されている[12]。

 2025年に入ると、サプライチェーン全体に長期の影響が波及するケースも現れている。英国の大手自動車メーカーはランサム攻撃によって製造ラインが6週間にわたり停止し、複数の部品メーカーを巻き込む形で大きな混乱が生じた[13]。日本でも同年9月、大手飲料メーカーが攻撃を受け、受発注システムの停止をきっかけに、製品の生産・出荷が止まった[14]。

 こうした事例が示すのは、「システムが止まる」ことは、もはや企業のIT部門が取り扱う問題の範囲を超えているという現実だ。長期の事業停止は売上減少や復旧コストといった直接的な損失だけでなく、ブランドイメージや信頼性の低下、顧客離れ、さらには株価への影響など、二次的な損害を雪だるま式に増幅させる。

 ランサム攻撃は「技術的なトラブル」ではなく、「経営リスク」になりつつある。被害前提でインシデント対応計画(IR/BCP)を整備し、代替手段や手作業での継続運用のラインを事前に設計しておくことが求められる。また、攻撃経路の多くが取引先や委託先を通じた侵入であることを踏まえれば、自社のセキュリティ対策だけでなく、サプライチェーン全体の安全性をどこまで要求し、どう担保するのかという、契約・調達レベルの見直しも避けて通れない。

 さらに、ランサム攻撃は、単なる金銭目的でないとの指摘も出ている。例えば、英国の自動車メーカーへのランサム攻撃では、サイバー攻撃が身代金目的ではなく、英国経済にダメージを与える目的で、ロシアが攻撃の背景にいるのではないか、という疑義が英国政府から出ている[15]。ランサム攻撃の一部は、身代金が要求されないなど、不可解な点が残る攻撃もあり、地政学的な要因が背景にある可能性も否定できない。

重要インフラを止めるDDoS攻撃の武器化

 ランサムウェア攻撃の他に、2024年に目立ったのが、金融・交通・通信など社会インフラを狙う分散型サービス妨害(DDoS)攻撃である。DDoS攻撃は、乗っ取られた多数のIT機器(ボット)から標的サーバーに一斉に大量の通信を送りつけ、処理能力を飽和させてサービスを停止させる手法だ。

 2024年5月には、キャッシュレス決済サービス企業が攻撃を受け、モバイルアプリのログインやチャージができない状態に陥った[16]。10月にはクラウド会計サービスが1時間ほど停止し[17]、さらに12月から翌年1月にかけては、オンラインバンキングや交通機関の予約サイトが相次いで大規模なDDoS攻撃を受け、数時間にわたり利用不可能となった[18]。利用者にとっては「ちょっと不便」で済む話ではなく、決済や移動の機会を失う深刻な影響となる。

 近年特徴的なのは、DDoS攻撃が地政学的な対立と結びつき、「サイバー空間における報復手段」として使われるケースが増えていることだ[19]。日本政府はロシアによるウクライナ侵攻を受け、ロシア関連団体の資産凍結や資本取引規制、輸出入禁止、役務取引の制限など、20回にわたり制裁を強化してきた。ウクライナ支援も継続しており、2024年2月には東京でウクライナ経済復興推進会議を開催している。

 こうした動きへの反発もあり、ロシア系ハッカーは2024年7月の日NATO共同演習や、10月の日米共同演習「Keen Sword」のタイミングに合わせ、日本の関連機関に対しDDoS攻撃を仕掛けている[20]。サイバー空間が、外交・安全保障上のメッセージの場として活用され始めていると言ってもよい状況だ。

 欧米でも同様のトレンドが見られる。特に欧州では、ロシアとの対立を背景とした金融機関へのDDoS攻撃が増加し、キャッシュレス決済やオンラインバンキングの停止が市民生活に影響を与えた[21]。攻撃側にとって、DDoSはインフラを人質に取る「デジタル報復」のような性格を帯びつつある。

経営リスクとなるサイバー攻撃への備えを

 ランサム攻撃とDDoS攻撃。形は異なるが、どちらの攻撃も企業に共通して突きつけている問いは、「システムが止まったとき、事業継続のシナリオを描けているか」である。

 第一に、経営層がサイバーリスクを、財務リスクや自然災害リスクと同じレベルで扱う姿勢が必要だ。どのシステムがどの事業にどれだけ重要なのか、止まると何がどこまで影響を受けるのかを棚卸しし、「許容できる停止時間」と「許容できない停止時間」を具体的に定義する。これがなければ、復旧やセキュリティ投資の優先順位は決められない。

 第二に、サプライチェーン全体を見渡したリスク管理である。取引先や委託先が攻撃を受け、自社の業務が止まるケースは今後さらに増えるだろう。セキュリティ要件を契約に明記する、第三者による評価を要求する、複数ベンダー(納入業者)構成で単一障害点を減らすなど、調達・契約のルールそのものを見直すことが欠かせない。

 第三に、地政学リスクとの接続を前提とした危機管理だ。どこの国・地域とビジネスをしているのか、自社がどのような制裁や政策の影響を受ける立場にあるのか。それによって、自社がどの程度「攻撃対象として狙われやすいか」の度合いは変わってくる。外交・安全保障のニュースを、単なる時事ネタではなく「自社のサイバーリスクのシグナル」として読み解く視点が求められる。

 そして最後に、インシデント発生時の「初動」と「説明責任」をどう果たすかである。技術的な復旧だけでなく、顧客や取引先、株主、規制当局に対して、どのタイミングで何を説明するのか。経営トップがどの段階で前面に出るのか。これらは平時からシナリオを用意し、訓練しておかなければ、いざというときに機能しない。

 サイバー攻撃はこれからも巧妙化し続けるだろう。完全に防ぐことは難しい。しかし、「攻撃されること」を前提に、レジリエンスをどこまで高められるかは、経営の意思と準備に大きく左右される。ランサム攻撃とDDoS攻撃が浮き彫りにしているのは、サイバーセキュリティがもはやIT投資ではなく、企業の存続戦略そのものだという現実なのである。

(2026/02/05)

脚注

  1. 1 「2024年サイバーリスク動向総括」Trend Micro、2025年1月8日。
  2. 2 「情報セキュリティ10大脅威2025」情報処理推進機構(IPA)、2025年7月24日。
  3. 3 「第三者によるランサムウェア感染被害および経過に関するお知らせ」(プレスリリース)、株式会社イズミ、2024年2月22日。
  4. 4 「ゆめタウンなど展開「イズミ」サイバー攻撃で障害一部商品が品薄に」日テレNEWS2024年2月23日。
  5. 5 「不正アクセスによる個人情報漏えいに関するお詫びとご報告」(プレスリリース)、株式会社イセトー、2024年10月4日。
  6. 6 「ランサムウェア攻撃による情報漏洩に関するお知らせ」(プレスリリース)、株式会社KADOKAWA、2024年8月5日。
  7. 7 「ハッカー集団が犯行声明KADOKAWAへのサイバー攻撃」日本経済新聞オンライン2024年6月28日。
  8. 8 「当社におけるサイバー攻撃によるシステムの停止事案発生のお知らせ」(プレスリリース)、株式会社関通、2024年9月28日。
  9. 9 “Cyber Incident,” Co-op(UK), Accessed December 13, 2025.
  10. 10 “UNFI Systems Update,” UNFI, June 26, 2025.
  11. 11 “Empty shelves plague some Whole Foods after distributor knocked offline,” CNN, June 10, 2025.
  12. 12 Sean Lyngaas “Rampant cybercriminal group targets US airlines,” CNN, June 28, 2025.
  13. 13 Joe Tidy “JLR hack is costliest cyber attack in UK history, say analysts,” BBC, October 22, 2025.
  14. 14 「サイバー攻撃による情報漏えいに関する調査結果と今後の対応について」アサヒグループホールディングス株式会社、2025年11月27日。
  15. 15 Ben Riley-Smith “Russia may have been behind Jaguar Land Rover cyber attack,” The Telegraph, October 11, 2025.
  16. 16 「モバイルSuicaシステム等の障害について」(記者会見)、国土交通省、2024年5月14日。
  17. 17 「『奉行クラウド』『奉行クラウドEdge』2024年10月7日・8日の障害発生のお詫びとご報告」株式会社オービックビジネスコンサルタント、2025年12月13日アクセス。
  18. 18 「年末年始の企業「DDoS攻撃」、異例の広範囲「絨毯爆撃型」」読売新聞オンライン、2025年2月4日。
  19. 19 大澤淳「外交・安全保障と連動するサイバー攻撃・偽情報―G7サミット期間に発生したDDoS攻撃」国際情報ネットワーク分析IINA、2024年8月28日。
  20. 20 大澤淳「サイバー安全保障の現在〜地政学リスクを加味したサイバー情勢と政策の動向」中曽根平和研究所『NPI Quarterly』第16巻第4号、10-11頁。
  21. 21 大澤淳「サイバー攻撃で狙われる金融サービス―地政学的環境の変化とDDoS攻撃の増加」国際情報ネットワーク分析IINA、2024年6月3日。