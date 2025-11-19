

アサヒビールとアスクルが相次いで受けたランサムウェア攻撃は、単発の事件ではない。背後にあるのは国際的なサイバー犯罪エコシステムだ（写真：taa / PIXTA）

【グラフ】アサヒビールを攻撃したと宣言しているサイバー攻撃組織Qilin（キーリン）は、急激にその勢いを強めている

10月、アサヒビールとEC大手のアスクルが立て続けにサイバー攻撃に見舞われた。彼らを襲ったのは、どこかの個人の“ハッカー”ではない。背後で糸を引くのは、国家と犯罪組織が融合したサイバー攻撃連合だ。

データを人質に企業を屈服させようとする彼らの標的は、もはや個社ではなく「日本経済」そのものである。サイバー攻撃は今や戦争の新しい形となり、企業経営にその火の粉が降りかかっている。

日本企業に着弾する連続ランサムウェア攻撃

2025年、日本のサイバー空間は明らかに転換点を迎えている。

25年10月、アサヒビールとアスクルが相次いでランサムウェア攻撃を受けた。これらは単発の事件ではなく、背後に広がる国際的なサイバー犯罪エコシステムの一端と考えることができる。



両事件の背景にあるのは、ランサムウェア・アズ・ア・サービス（Ransomware as a Service、以下RaaS）として知られるRansomHouse（ランサムハウス）およびQilin（キーリン）と名乗る組織であり、いずれもロシア語圏を中心とするサイバー犯罪ネットワークに属している。

RaaSとは、マルウェアの開発者、配布者、運営者、交渉担当などが役割を分担し、攻撃インフラを「サービス」として提供する仕組みである。いわばサイバー攻撃のSaaS化であり、いまや攻撃は個人ではなく“産業”として運営されているのが実態である。

“交渉”を武器にする少数精鋭犯罪集団

アスクルを襲ったと宣言しているRansomHouseは、22年頃に活動を本格化させた比較的新しいRaaSグループである。

彼らは盗み出した情報を段階的に公開しながら、被害者に心理的圧力をかける「交渉型」戦略を採用している。自らのリークサイトで「支払えば削除、拒めば公開」という二者択一を突きつけ、経営層を直接交渉のテーブルへ引きずり出す。その手法は、まさに犯罪の企業化である。

RansomHouseの特徴は、中国語対応の交渉システムを持つなど、ロシア系グループでは珍しく中国も標的にしている点にある。また、他グループとの攻撃対象の重複が多く、他の攻撃グループで働いているメンバーのうちの1人が、個人事業的に攻撃をしているかのような動きを見せることがある。



2025年10月に入って被害組織が急増している（画像：筆者提供）

一方、アサヒビールを攻撃したと宣言しているQilinは、25年に最も急速に勢力を拡大したRaaSグループである。

彼らは暗号化＋情報窃取という二重脅迫モデルを用いるが、支払いを拒む企業に対してはサービス停止を引き起こす。いわばDDoS攻撃というネットワーク型の攻撃をしかける機能も保有しており、三重脅迫モデルを実施することも可能だ。23年1月から25年10月までの間、世界で1000以上の組織を攻撃したと宣言しており、そのうち22社が日本企業である。

Qilinはまた、自らを「祖国を愛する理想主義者であり、祖国の自由を勝ち取るために戦っている。金は目的ではなく手段である」と宣言しており、単なる金銭目的の枠を超えた政治的・イデオロギー的動機を有している。

加えて、通常RaaSグループが避ける医療機関に対しても容赦なく攻撃を行う。24年6月には、英国の大手血液検査プロバイダーをランサムウェア攻撃によって麻痺させた。ロンドンの複数の病院で手術や検査が延期になった結果、死者まで発生させたこの事件だが「後悔はない」と公言している。

さらに自分たちのターゲットは偶発的ではなく、周到に選んでおり、祖国の敵である国を支援する企業を狙っているとまで述べている。つまり、ロシアに経済制裁を行うわが国に税金を納めている全日本企業が、ターゲットになってもおかしくないわけだ。

倫理や抑止が一切通用しない、国家支援型サイバー攻撃と民間犯罪の融合体である。

RaaS三社連合の影に見える地政学的な影響

さらに注目すべきは、Qilinを中心に形成されたRaaS三者連合の存在だ。25年3月、RaaSグループのDragonForce（ドラゴンフォース）が当時もっとも活動的だったRansomHub（ランサムハブ）とBlackRock（ブラックロック）を統合し、9月にはQilinとLockBit（ロックビット）を含む連携体制を発表した。



ランサムウェアグループが連携することで活動が活発に（画像：筆者提供）

従来、RaaSグループ同士は競合関係にあったが、この“合従連衡”により攻撃者側は国家規模の分業体制を獲得した。

当局による摘発やメンバーの逮捕によりLockBitの活動が沈静化した一方で、DragonForceに吸収されたRansomHubも含めた優秀なリソースがQilinへと集約されたことにより、同年10月以降にQilinの攻撃件数が急増したように思えてならない。

このようにランサムウェア攻撃の背後には、経済制裁や外交摩擦といった地政学的要因が色濃く存在する。ロシア系ハッカーの多くは、マルウェアに「ロシア語環境では実行しない」コードを組み込み、国家から活動を黙認される代わりに、諜報活動への協力を暗黙の条件としている。

さらに西欧諸国とロシアにおける囚人の身柄交換の中に、ロシアの民間ハッカーが入っていることも注目に値する。24年8月にはクレジットカード窃取で名高いハッカー、また攻撃演習サービスを提供しているロシアセキュリティ企業のオーナーがロシア政府によって指名され、身柄交換でロシアに帰国している。

今年に入ってからも、仮想通貨取引所のオーナーが同じように身柄交換でロシアに帰っている。サイバー攻撃でマネーロンダリングさせるにはうってつけの人物だろう。つまり、ロシア政府が民間ハッカーの力に頼っているのはこれらのことから明白なのだ。

このような事態の中、それぞれのランサムウェア攻撃を単なる個々のサイバー犯罪としてみるべきではない。視点を転換してもはや国家安全保障上の脅威としてとらえるべきだ。

つまり、ランサムウェアは単なる犯罪ではなく、国家安全保障を揺さぶる新しい戦争の形となっているのである。

セキュリティを後回しにしてきた日本企業の構造的課題

日本企業の多くは、長年「コストダウン」を最優先にシステムを構築してきた。結果として、巨大かつ複雑な業務システムが単一のフラットなネットワーク上に存在し、セグメンテーションもマイクロサービス化もなされていない構造が一般的である。そこには「安全」という思想が初めから欠落していたと言ってよい。

日本のシステム開発において最も重視されるのは「仕様書通りに動くこと」、次に「ユーザーが使いやすいこと」である。安全性はその後回しにされる傾向が強い。運用段階でもこの発想は根深い。

業務を止めることへの抵抗が強く、たとえ脆弱性が判明しても、パッチ適用のためにシステムを停止することは“業務優先”の名の下に先送りされる。結果として、サイバー攻撃に対して脆弱な状態が長期にわたって放置されてしまう。

インシデント対応においても同様だ。被害を最小限に抑えるためにはネットワークの即時隔離が基本であるが、「業務に支障が出る」という理由で実施をためらう企業が少なくない。業務部門がIT部門よりも強い権限を持つ日本企業特有の構造が、迅速な対応を阻んでいる。

災害を想定したBCPとサイバー対策は異なる

多くの企業が「BCP（事業継続計画）を考慮したバックアップ」を行っているが、その多くは地震や災害を想定したものである。サイバー攻撃への備えとは本質的に異なる。例えばオンライン上にバックアップを置いていた場合、攻撃者によりその領域ごと暗号化されれば意味をなさない。

真に有効な対策とは、ネットワークを分離した場所、あるいはクローズド環境にバックアップを保持することである。また、復旧時に「どの時点のイメージに戻すのか」を判断できなければ、感染前の健全な状態を再現することもできない。

つまり、セキュリティを前提とした設計思想が求められている。ERPなどの巨大システムを構築する際にも、データ連携の利便性を多少犠牲にしてでもネットワークをセグメンテーション化するなど、安全性を織り込んだ設計が不可欠である。クラウドを利用する場合にも、マイクロサービス化して、複数のサービスを安全に連携させる設計思想が問われる。

さらに、インシデント時に誰がネットワーク隔離の判断を行うのかという体制も重要だ。権限や指揮命令系統が明確でなければ、迅速な対応は不可能である。

経営関与が成熟度を高める

この1カ月で経営層のセキュリティ意識が高まったのを感じる。朗報なのは、経営層の関与が大きいほど企業のセキュリティ成熟度が高まる、という調査結果が示されている点である。逆に、経営から切り離された情報システム部門だけにセキュリティを委ねる構造では、迅速かつ戦略的な対応は期待できない。



日本のCISOの設置率は他国に比べて低い（画像：筆者提供）

しかし日本では、経営層がCISO（Chief Information Security Officer）を専任として置く割合はわずか2.5%にすぎない。兼務を含めても30%程度である。対照的に、米国では71%以上、オーストラリアでは67%近くの企業が経営層をCISOに任命しており、この差がそのまま危機対応力の差につながっている。

非経営層がセキュリティを牽引する場合、経営判断を伴う迅速な意思決定が難しい。結果として、インシデント発生時の対応が遅れ、再発防止策も形式的なものに終わるリスクが高まる。

セキュリティ担当役員や要員の地位向上も急務である一方で、CISOやセキュリティ担当者の「燃え尽き症候群」が世界的に深刻化している。プルーフポイントの調査「2025 Voice of the CISO」によると、過去1年間に燃え尽きを経験したCISOは63%に達するとの報告もある。

インシデントが起きなければ評価されず、発生すれば責任を問われる--そんな構造が彼らを追い詰めている。経営陣には、セキュリティ担当者の心身のケアやキャリアパスの明確化、組織としての支援体制の整備が求められる。

サイバーセキュリティは、もはやIT部門の課題ではない。経営の意思と文化が問われる経営責任そのものである。

安全を犠牲にした効率追求の時代は終わった。これからの日本企業に求められるのは、「業務を守るために業務を止める勇気」だ。

（増田 幸美 ： 日本プルーフポイント チーフエバンジェリスト）