セキュリティベンダー「ソフォス」社は、「ランサムウェアの現状レポート2025年版」と題する調査レポートを公表した。
この調査は、世界17か国・3,400名の情報システム担当者を対象に行われ、2025年1月〜3月にかけて実施。
100〜5,000名規模の組織が対象とされている。
当該調査から、企業が直面するランサムウェア攻撃の実態を明らかになっている。
身代金「交渉」で支払額が半減 ― 金額は企業規模で差
レポートによると、過去1年間にランサムウェア攻撃を受けた企業のうち、約50%が実際に身代金を支払っていたという。
なお、その約半数(53%)が交渉によって当初の要求額よりも少ない金額で決着しており、被害の軽減に成功していたとのこと。
例として、2024年から2025年にかけての身代金支払額の中央値は100万ドル(約1億5,000万円)とされているが、当初の要求額は組織規模によって大きく異なっている。
売上高10億ドル以上の大企業では要求額の中央値が500万ドルに達する一方、売上高2億5,000万ドル以下の中小規模組織では35万ドル以下だった。
「見えない穴」突く攻撃が多発 ―リソース不足が背景に
企業が身代金支払いを迫られる背景には、脆弱性(セキュリティの穴)の放置や、社内の防御態勢の不十分さが指摘されている。
レポートでは、3年連続で「脆弱性の悪用」が最も多い侵入経路として挙げられ、攻撃を受けた企業の40%が、自社が認識していなかったセキュリティギャップを突かれたと答えた。
特に、人材不足や専門知識の欠如が多くの企業にとって深刻な課題となっており、従業員3,000名以上の大規模組織では「専門知識の不足」、251〜500名の中規模組織では「人材そのものの不足」が、攻撃を許した主な要因とされている。
改善の兆しも ― 復旧までの時間短縮、支払額の減少
一方で、被害軽減に向けた前向きな動きも見られており、暗号化される前に攻撃を阻止できた企業は44%に達し、これは過去6年で最も高い割合だった。
復旧までに1週間以内で済んだ企業も53%と増加しており、昨年の35%から大幅な改善が見られている。
また、復旧にかかる平均コストは2024年の273万ドルから、2025年には153万ドルに減少。
これはセキュリティ対策の強化や、復旧プロセスのスピード化が進んでいることを示している。
一方、州政府や地方自治体が最も高額な身代金(中央値250万ドル)を支払っており、医療業界では15万ドルと比較的低い水準にとどまっている結果も報告されている。
業界によって攻撃の影響や交渉力に差がある実態が浮かび上がった。
今後の展望
ソフォスは、企業がランサムウェア被害を未然に防ぐための対策として、MDR(マネージド・ディテクション&レスポンス)サービスの活用を推奨している。
これは、外部のセキュリティ専門家が24時間体制でシステムを監視・対応するもので、社内リソースだけでは手の届かない部分を補う支援策として注目されている。
また、多要素認証の導入やパッチ(修正プログラム)の適用徹底、バックアップ訓練の定期実施など、基本的な対策の見直しと運用強化が求められる。
ソフォスは今後も、業界別の詳細なレポートを順次発表していくとコメントしている。
【参考記事】
https://www.sophos.com/ja-jp
