米Semperisが2025年7月31日に公開した大規模1,500社調査によると、過去12か月にランサムウェア攻撃を受けた企業は78%、うち56%が感染に至った。
従業員や家族への物理的脅迫を経験した組織は40%で、米国46%、ドイツ44%が被害を報告している。47%は規制当局への告発を示唆され、実例としてALPHVが2023年11月7日にMeridianLinkを攻撃後、SECへ苦情を提出したケースが挙げられた。
被害企業の69%が身代金を支払い、その38%が複数回、11%が三度以上の支払いを強いられた。復旧を1日以内に終えたのは23%(前年39%)に対し、1週間〜1か月は18%(前年11%)と長期化が進んでいる実態が明らかになった。
From: 
As ransomware gangs threaten physical harm, ‘I am afraid of what’s next,’ ex-negotiator says
【編集部解説】
ランサムウェア犯罪者が経営陣の家族にまで脅迫の矛先を向ける事例は、サイバー攻撃が純粋なITトラブルから”人的安全保障”の課題へ転移したことを示します。Jeff Wichman氏(Semperis侵害対応責任者)は、過去に職業的交渉人として数百件の身代金交渉を経験し、攻撃者が幹部の住所・子どもの学校などを把握して揺さぶりをかける手口を証言しています。
規制を”武器化”する二重脅迫
ALPHVがMeridianLinkを攻撃した翌日、同社がSEC報告義務を怠ったと苦情を提出した事例が象徴的です。米国では2023年にサイバー開示ルールが強化され、企業は4日以内の開示が義務化されました。攻撃者はこの制度を逆手に取り、被害企業に法的・評判リスクを突きつけています。
復旧に長期化傾向、コストは二重三重に
1日以内で復旧できた割合が前年39%→23%へ低下した背景には、攻撃者がID管理基盤(Active Directoryなど)を徹底的に破壊し、環境を”更地”から再構築させる戦術があります。加えて69%が身代金を支払いながら15%が無効キー、3%が情報流出という裏切りに遭遇しました。支払いは必ずしも解決を保証しないことが改めて裏付けられました。
企業が取るべき次の一手
従来のIT対策に加え、役員・従業員の物理的安全を守るプラン、法務・広報を巻き込んだ危機対応、そしてAD復旧を含むアイデンティティ・セキュリティ強化が不可欠です。Ransomware as a Serviceで攻撃の裾野が広がる2025年、サイバーとフィジカルを統合したリスクマネジメントが”新常識”となるでしょう。
【用語解説】
ランサムウェア:
データを暗号化し復旧と引き換えに金銭を要求するマルウェア。
RaaS:
ランサムウェアをサービス型で提供する犯罪ビジネス。
Active Directory:
Microsoftの企業向け認証基盤。攻撃の要衝となりやすい。
ダブルエクストーション:
暗号化+データ公開を組み合わせた二重脅迫。
復号化キー:
暗号化解除に必要な鍵。無効なキーが渡される例も多い。
Tor:
匿名通信ネットワーク。犯行グループと被害者の交渉に使われる。
【参考リンク】
Semperis公式サイト(外部)
Active Directory保護と災害復旧を専門とする米国発サイバーセキュリティ企業
MeridianLink公式サイト(外部)
金融機関向け融資・口座開設プラットフォームを提供するフィンテック企業
SEC(米国証券取引委員会)(外部)
証券市場を監督する米連邦機関。2023年より重大サイバー事故の4日以内開示を義務化
Palo Alto Networks Unit 42(外部)
BlackCat/ALPHVランサムウェアを技術分析した詳細レポートを公開
【参考記事】
Semperis 2025 Ransomware Study(外部)
調査メソドロジーと主要統計を掲載した公式リリース
Ransomware gang files SEC complaint about victim(外部)
ALPHVがMeridianLinkをSECに告発した経緯を詳細解説
Inside the mind of a ransomware negotiator(外部)
元交渉人による現場証言を詳細に紹介した特集記事
【編集部後記】
今回のSemperisの調査結果を読み進める中で、私たちinnovaTopia編集部が最も衝撃を受けたのは、ランサムウェア犯罪者が企業幹部の家族の通学先や住所まで把握している現実でした。
これまで「サイバーセキュリティ」といえば、システムの堅牢性やデータ保護といった技術的な課題として捉えがちでした。しかし、攻撃者が「お子さんの通う○○小学校で」といった具体的な脅迫を行う段階に達した今、もはや純粋なIT問題の枠を完全に超えています。
特に印象深かったのは、元交渉人のWichman氏が「次に何が起こるか怖い」と率直に語った言葉です。数百件の交渉を経験したプロフェッショナルでさえ恐怖を感じるこの変化は、企業のリスクマネジメントそのものを根本的に見直す時期が来ていることを示しているのではないでしょうか。
読者の皆さんの組織では、従業員やその家族の安全確保について、どこまで議論が進んでいますか?技術的な防御だけでなく、人的な安全保障まで含めた統合的なセキュリティ戦略について、ぜひご意見をお聞かせください。この複雑化する脅威に対して、私たちはどう向き合うべきなのか、一緒に考えていければと思います。
