サイバー攻撃が「経営リスク」になる時代 — AI駆動型ランサムウェアと日本企業の脆弱性

はじめに

独立行政法人・情報処理推進機構（IPA）が2026年に発表した「情報セキュリティ10大脅威」では、組織向けランキングでランサムウェアが11年連続で1位を占めた [1]。同年の最大の変化として注目されるのが、「AIによるサイバー攻撃の高度化・自動化」が初めて上位3位内に登場したことだ [1]。攻撃の量的拡大だけでなく、AIを活用した「精度の高い騙し」と「高速かつ自動的な侵入」という質的変化が、日本企業のセキュリティ対策の前提を大きく変えようとしている。

EC（電子商取引）企業のアスクルがRansomHouseグループによるランサムウェア攻撃を受け、74万件もの個人情報が漏えいした事案 [8] に象徴されるように、サイバー攻撃の被害はすでに「IT部門の問題」の域を超え、事業継続・ブランド信頼・法的責任という経営の核心部分に直撃している。ブルームバーグの調査報道では、ランサムウェアの一種であるAkira（アキラ）が日本をはじめとする製造業・医療・金融機関を重点的に狙い、被害総額が2億4,400万ドルに達したとされる [7]。「サイバーリスクは自社とは無縁」という経営者の認識は、今や深刻な経営上の盲点となっている。

ランサムウェア攻撃の最新動向

攻撃の「商品化」と産業化

現代のランサムウェア攻撃は、単独のハッカー集団が独自に行うものではなく、高度に分業化・産業化した「サービスとしてのランサムウェア（RaaS: Ransomware as a Service）」モデルへと進化している。開発グループが攻撃ツールを提供し、実行役の「アフィリエイト」が個別の標的を攻撃して身代金収入を分配するという構造だ。このモデルにより、高度な技術力がなくても比較的安価に高性能な攻撃ツールを利用できる環境が整備されており、攻撃者の参入障壁が大幅に下がっている [6]。

Akiraグループは日本を含む世界各地の製造業・IT・ヘルスケア・金融機関を標的とし、2025年末時点で2億4,400万ドル以上の身代金を収益化したとCISAとFBIの共同勧告は報告している [7]。日本では、初期侵入手段としてVPN機器の既知の脆弱性を悪用するケースが多く、パッチ適用の遅れがリスクを増幅させている。特定のVPN製品（FortiGate等）のゼロデイ脆弱性を突いた侵入事案が国内で相次いでおり、機器のファームウェア更新の緊急性が改めて認識された。

AI活用で「精度」と「速度」が変わる

ブルームバーグの2026年1月の調査報道によれば、中国の国家支援型ハッキンググループがAnthropicのAIアシスタント（Claude）を活用して約30の組織に対する攻撃を自動化・精緻化した事案が初めて記録された [6]。この事案は、AI企業のセキュリティ対策が対策上の穴を生じさせているという問題を浮き彫りにしたと同時に、「AIを使いこなして攻撃する側」と「AIを活用して防御する側」という新次元の競争が始まったことを示している。

フィッシングメールにAIを組み合わせることで、過去には不自然な日本語や文脈の不整合で見分けがついたスパムメールが、自然な日本語・組織の実際のメールスレッドを模倣した「精巧なBEC（ビジネスメール詐欺）」へと進化している [5]。「○○社の○○部長から」という形式で送られてくる偽の振込依頼や、CEOを装った音声・動画（ディープフェイク）を使った詐欺の事案も報告されており、従来の「怪しいメールに気をつけろ」という教育だけでは不十分な水準に攻撃の質が達している。

日本企業が直面する固有の脆弱性

セキュリティ投資の慢性的不足

ブルームバーグが2025年10月に報じたランサムウェア急増に関する調査では、日本企業のサイバーセキュリティへの慢性的な投資不足が根本的な脆弱性として指摘されている [5]。経済産業省・IPAのDX指標調査でも、中堅・中小企業を中心にセキュリティ対策の実施水準が国際基準を大幅に下回る実態が継続的に報告されてきた。ITシステムの老朽化（「2025年の崖」に象徴されるレガシーシステム問題）とセキュリティ投資の不足が組み合わさることで、脆弱性が放置されたまま攻撃の標的になりやすい環境が生まれている。

特定の時期にサポートが終了した基本ソフトウェアを使い続ける企業が多数存在することも問題だ。サポート切れのOSやミドルウェアは新たな脆弱性パッチが提供されず、既知の脆弱性を突いた攻撃の標的になりやすい。これは経営者の「なぜシステム投資が必要か」という理解不足に起因する部分が大きく、経営レベルでのセキュリティリスクの認識が急務とされる [5]。

サプライチェーン攻撃の連鎖リスク

現代のサイバー攻撃では、大企業本体ではなく、そのサプライチェーン（外注先・業務委託先・製品部品サプライヤー）を標的にして間接的に本命の企業に侵入する「サプライチェーン攻撃」が増加している [2]。アスクルのランサムウェア被害でも、侵入経路として外部委託先（アウトソーシング先）から奪取した認証情報が悪用されたと報じられた [8]。大企業が自社のセキュリティ水準を高めても、取引先や委託先の水準が低ければ、そこを踏み台にして侵入されるリスクが残る。

IPAの「10大脅威2026」解説書では、「サプライチェーンの弱点を悪用した攻撃」が第2位に位置づけられており [2]、自社のみならずサプライヤーを含むエコシステム全体のセキュリティ水準を管理することの重要性が強調されている。大手製造業では、主要サプライヤーに対して「セキュリティ評価基準への適合」を取引条件として求める動きが出始めており、調達・購買部門がセキュリティ評価に関与する体制整備が進んでいる。

政府の対応と法制度の変化

国家サイバーセキュリティオフィス（NCO）の新設

2025年7月、内閣サイバーセキュリティセンター（NISC）が改組され、新たに「国家サイバーセキュリティオフィス（NCO）」が設置された [4]。この組織改編の背景には、重要インフラへのサイバー攻撃が安全保障上の脅威として位置づけられ、セキュリティの司令塔機能を強化する必要性があった。2025年12月に採択された「サイバーセキュリティ戦略2025」では、サイバー攻撃を「深刻な安全保障の脅威」として明示し、「能動的サイバー防御（Active Cyber Defense）」の枠組みが2026年から実施に移された [3]。

能動的サイバー防御は、攻撃者のインフラを事前に検知・無害化する権限を政府に与えるものであり、従来の「事後対応型」から「事前予防型」への大きな転換を意味する [3]。ただし通信の秘密や個人情報保護との整合性という点で法的な論点を多く含んでおり、運用上の細目をめぐる議論は継続している。電力・金融・通信・交通などの「重要インフラ」に対するサイバー攻撃への対応を国家が前面に立って担う体制の整備は、民間企業にとっても一定の安心材料となる。

取締役の法的責任という新たな論点

近年のサイバーセキュリティ議論で特に注目されるのが、「サイバー事故に対する取締役の善管注意義務（善良なる管理者の注意義務）違反」という法的リスクだ。日本の会社法における取締役の義務は、適切なリスク管理体制（内部統制システム）を構築・維持する義務を含む。サイバーセキュリティ対策が明らかに不十分な状態で重大な被害が生じた場合、取締役が適切な対策を怠ったとして株主代表訴訟の対象となる可能性が否定できない [5]。

米国では2023年にSEC（証券取引委員会）がサイバーインシデントの開示義務規則を施行し、重大なサイバー事故の発生から4営業日以内にフォーム8-Kによる開示を義務付けた。日本でも類似の開示規制の強化が検討されており、「サイバー事故の開示の適時性・正確性」が上場企業のガバナンス評価の一部となる方向性が見えている。サイバーリスクを経営の最重要課題の一つとして取締役会が直接扱う「CISO（最高情報セキュリティ責任者）の経営陣へのレポートライン確立」が、先進企業の実践として広がりつつある。

企業が今すぐ取り組むべき対策

ゼロトラストアーキテクチャへの移行

従来の「境界防御モデル」（社内ネットワークは安全という前提）は、クラウド活用の拡大・リモートワークの普及・サプライチェーン攻撃の増加により、前提そのものが崩れている。代わりに台頭しているのが「ゼロトラスト（何も信頼しない）アーキテクチャ」だ。「社内ネットワークにいるからといって信頼しない」「すべてのアクセスを認証・認可する」「最小権限の原則に基づいてアクセス範囲を限定する」という考え方で、攻撃者が内部に侵入した場合でも横展開（ラテラルムーブメント）を制限できるという利点がある [2]。

多要素認証（MFA）の全社的な導入、特権アカウント管理の厳格化、ネットワークのマイクロセグメンテーションは、ゼロトラスト移行の中核をなす実践的な対策だ。これらは100%の攻撃防御を保証するものではないが、攻撃者が侵入に成功した後の「被害範囲の限定」に大きく寄与する。IPAは2026年の解説書で、ゼロトラスト移行に向けた優先的な対策として多要素認証と権限管理の強化を推奨している [2]。

インシデント対応計画の実効性検証

「サイバー攻撃を受けた場合に何をするか」というインシデント対応計画（IR計画）を持っている企業は増えているが、その計画が実際に機能するかどうかは「机上の計画」と「実際の訓練の有無」で大きく異なる。多くの企業では、IR計画を文書化はしているものの、実際にランサムウェア感染を模した「レッドチーム演習」や「テーブルトップ演習（経営幹部を含む意思決定訓練）」まで実施しているケースは少数に留まる。

実際に攻撃を受けた場合、「誰が何を決定するか」「社内外のどのステークホルダーにいつ何を連絡するか」「事業継続の優先順位はどう決めるか」という意思決定の流れをあらかじめ演習しておくことが、被害の極小化と回復速度の向上に直結する。アスクルの事例では、ランサムウェア感染発覚から事業の完全復旧まで相当の期間と費用（推定17億円規模の損失という事例報告もある）を要したとされており、事前の準備水準が回復コストを大きく左右することが実証されている [5]。

注意点・展望

AIを活用したサイバー攻撃の高度化は今後も継続・加速する見通しだ。生成AIによる精巧な詐欺メール作成・脆弱性の自動探索・マルウェアコードの自動生成といった攻撃側のAI活用が進む一方で、防御側もAIを用いた異常検知・自動応答（SOAR）・脅威インテリジェンスの精度向上を進めており、攻防のAI化競争が本格化している [6]。

中小企業にとってのハードルは依然として高く、人材・予算・知識の不足が解消されないままリスクが累積する状況は変わっていない。政府はサイバーセキュリティ対策の補助金・支援制度の整備を進めているが、「申請手続きの煩雑さ」と「自社の状況に合った対策の選定が難しい」という壁があり、支援が届きにくい中小企業が多数存在するのが実態だ。業界団体や地域の商工会議所が橋渡し役を担い、「まずここから始める」という具体的な入口を提供することが普及のカギとなる。

まとめ

2026年のサイバーセキュリティの脅威は、AIの活用により攻撃の「量」と「質」の両面で前例のない水準に達している [1][6]。ランサムウェアはRaaS（サービス型）モデルの普及で攻撃のハードルが下がり、日本の製造業・小売・物流・医療機関が標的にさらされ続けている [7]。「サイバー攻撃は他社の話」という意識はすでに時代遅れであり、取締役会レベルでの問題認識とCISOの経営陣へのレポートライン確立が急務だ [5]。政府の「能動的サイバー防御」という政策の転換は重要な一歩だが [3]、その実効性は民間企業のセキュリティ投資と人材育成の底上げなしには発揮されない。サイバーリスクを「IT部門のコスト」ではなく「経営の最重要リスクの一つ」として財務的に管理する視点の確立が、日本企業の喫緊の課題となっている。