身代金要求額は減少、攻撃者の最大の侵入経路はメールに

従業員が、他のメールと変わらないように見えるメールを開き、リンクをクリックし、気づかないままパスワードを入力してしまいます。盗まれたログイン情報がネットワークの奥深くへの扉を開きます。数日後、ファイルが開かなくなります。

この一連の流れが、今やランサムウェア被害の大半の入口を占めています。過去1年間に被害に遭った組織のIT・セキュリティ責任者2,158人を対象にした調査によると、悪意のあるメールとフィッシングを合わせると、全インシデントの半数を占めることが分かりました。この調査はSophosが委託し、2026年初めに回答を収集したものです。

盗まれた認証情報も、メールに次ぐ侵入経路となっています。攻撃の約8割は、認証情報を新たに盗むか、すでに盗まれたものを使うといったID関連の手口から始まっていました。被害者の3分の2は、ランサムウェア被害が自組織にとって最悪のID侵害と同一の事件だったと回答しています。

Image

攻撃者が狙った場所

ソフトウェアの脆弱性を突く手口は3年連続で首位でしたが、今年は18%まで低下しました。前年のおよそ3分の1から大きく減っています。攻撃者は、より安価にネットワークへ侵入できるログイン情報やメールを使った誘導手口に軸足を移しました。

Sophosは、AIツールがソフトウェアの弱点をより速く発見するようになるにつれ、脆弱性を突く攻撃が再び増加する可能性があると警告しています。

盗まれたログイン情報、ソフトウェアの脆弱性、ブルートフォースのいずれかから始まった攻撃のうち、最も多い侵入口はインターネットに公開されたアプリケーションで、ユーザーデバイスやファイアウォールを上回りました。認証情報を狙った攻撃のほぼすべてで多要素認証(MFA)が導入されていたにもかかわらず、カバレッジの穴やバイパス手法によって攻撃者の侵入を許していました。

被害者は攻撃を受けた理由としてさまざまな要因を挙げています。既知・未知を問わずセキュリティ上の穴が最多で、次いで人員不足、防御の甘さが続きました。運用面の要因の中で唯一増加したのは、ヒューマンエラーでした。

攻撃後の代償

復旧コストは上昇しました。身代金を除いた攻撃対応の平均費用は、過去1年間で170万ドルに達し、前回の調査から約1割増加しました。それでも2年前に記録したピークにはまだ及びません。中央値ははるかに低く、一部の高額なケースが平均値を押し上げていることが分かります。

コストの分布は幅広く、組織の5分の1近くが復旧作業に50万ドルから100万ドルの間を費やし、同程度の割合が数百万ドル規模の支出に達しました。

ほとんどの被害者は迅速に業務を再開できました。半数以上が1週間以内に業務を復旧させ、平均復旧期間はおよそ3週間でした。

被害者が支払った金額

身代金の要求額は大きく下がりました。典型的な要求額は70万ドルをわずかに下回り、2年間でおよそ3分の2減少しました。支払額も同じ方向に動いています。

支払額の中央値は76万9,000ドルに落ち着き、前年から減少しました。支払いのうち7桁(100万ドル台以上)に達したものは半数弱でした。被害者は交渉で要求額を引き下げるケースが増えており、半数をわずかに上回る被害者が攻撃者の最初の要求額より低い金額で決着させています。最終的な支払額は、当初の要求額のおよそ9割程度に収まりました。

攻撃者は標的の規模に応じて要求額を調整しています。最も小規模な企業への要求額はおよそ6桁(10万ドル台)、最大手企業への要求額は数百万ドル規模に達しました。この差は、身代金要求書を送りつける前に偵察が行われていることを示しています。

身代金を支払う意思は業種によって分かれます。地方・州政府は、公共サービスを一刻も早く復旧させなければならない圧力を抱えるメディア・エンターテインメント企業とともに、最も支払いに応じる傾向がありました。小売業者は最も支払いに消極的で、業務停止に耐えつつ復旧を進めることを選ぶ傾向がありました。

復旧を支えたバックアップ

今年はバックアップが復旧においてより大きな役割を果たしました。組織は、前年に疎かにしていたバックアップ体制を立て直しました。データを暗号化された被害者のうち3分の2が、バックアップからファイルを復元しました。これは前年の半数強から増加した数値です。データ復旧のために身代金を支払った割合は、過去3年間で最低水準まで低下しました。

ファイルをロックされた被害者のほぼ全員が、何らかの形でデータを取り戻すことができました。データを完全に失った被害者はごく一部にとどまりました。

再び増加した暗号化被害

攻撃者は暗号化の面で勢いを取り戻しています。攻撃の56%でデータが暗号化され、2年連続の減少から一転して増加に転じました。約6件に1件のケースで暗号化とデータ窃取の両方が行われており、攻撃者にとっては金銭を要求する手段が二重になる形です。

ファイアウォールは、こうした攻撃の大半をペイロードが作動する前に検知しており、この早期警告によってより多くのデータが無傷で守られました。ファイアウォールが完全に検知を逃した事例では、暗号化被害率が最も高くなりました。

後処理に追われる人々

ランサムウェアは、対応にあたるスタッフを疲弊させます。データを暗号化された組織のほぼすべてが、セキュリティチームへの持続的な影響を報告しています。次の攻撃への不安が最も多く挙げられ、経営層からのプレッシャーの増大がそれに続きました。

キャリアへの影響として際立つ数字が一つあります。5件に1件以上のケースで、攻撃後に経営陣が入れ替わっていました。

一方、逆の方向に動いた影響もあります。インシデント後に取締役会がより注意を払うようになったことを受け、経営幹部からの評価が高まったという回答が増加しました。これは前年から改善が見られた唯一の項目です。

翻訳元: https://www.helpnetsecurity.com/2026/07/16/sophos-state-of-ransomware-2026/

ソース: helpnetsecurity.com