工場の現場で激化するランサムウェアとの戦い

ランサムウェアグループは入れ替わりが激しいものの、製造業が主要な標的であり続けていることは変わりません。

ランサムウェアの状況は常に進化しています。新しいグループが登場し、古いグループは解体されたりリブランドされたりします。ランサムウェア・アズ・ア・サービス（RaaS）の登場により、参入障壁が下がりました。今では「ランサムウェア」という名称が必ずしも当てはまるわけではなく、一部のグループは暗号化を使わず、データ恐喝の脅しだけで被害者に支払いを迫ることもあります。そしてもちろん、攻撃者はますます人工知能（AI）を活用しています。

製造業は依然としてランサムウェア攻撃の矢面に立たされています。Black Kiteの2025年製造業調査レポートによると、製造業は4年連続でランサムウェアグループの標的ナンバーワンとなっています。同レポートによれば、2024年4月から2025年3月の間に報告された全攻撃のうち、22％（6,046件中1,314件）が製造業を対象としていました。

研究者たちは、新興のランサムウェアグループが小規模企業を好む傾向があることを発見しましたが、大手製造企業も依然として大きな標的となっています。

「サイバー犯罪者は無差別に攻撃しているわけではなく、この業界の業務継続性が極めて重要であり、いかなる中断もグローバルなサプライチェーン全体に波及効果をもたらすことを知っているため、意図的にこの業界を狙っています」とBlack Kiteのレポートは述べています。

他のレポートも同様の懸念を示しています。DragosのIndustrial Ransomware Analysis: Q2 2025では、製造業が引き続き最も影響を受けているセクターであり、第2四半期に記録されたインシデントの65％を占めていると警告しています。BitSightのState of the Underground 2025でも、製造業が3年連続で最も標的にされていることが明らかになっています。

セキュリティの隙が魅力的な標的に

重要インフラへの脅威は過去最高に達しており、製造業も例外ではないと、ExtraHopの連邦戦略シニアディレクター、サラ・クリーブランド氏は述べています。製造現場はグローバルサプライチェーン、リモートアクセスの必要性、ITと運用技術（OT）の融合により、攻撃対象領域が非常に広大です。これらは、何十年も前のOTと最新のITやIoTシステムが組み合わさっているため、独特にセキュリティ確保が難しく、多くの生産システムはサイバーセキュリティを考慮して設計されていないとクリーブランド氏は説明します。

「全体的な攻撃は、暗号化されたチャネルや正規のプロトコルに隠れてネットワーク内を横移動し、気づかれずに潜伏し、最適なタイミングで攻撃を仕掛けます」とクリーブランド氏はDark Readingに語っています。

こうしたセキュリティの隙が、製造業をランサムウェア集団にとって魅力的な標的にしており、新たなAIの進歩が問題をさらに悪化させる可能性があります。

「私たちがAIを使って業務フローを自動化・加速しているように、攻撃者もAIを使って戦術を迅速に調整し、高度な二重脅迫や情報流出、エンドポイント防御の無効化を含めて成功率を高め、暗号化前に長期間潜伏できるようにしています」と彼女は述べています。「ランサムウェアの脅威アクターは、今後も製造業を特に利益の大きい標的と見なすでしょう。」

混乱は攻撃者の報酬につながる

製造業はグローバルサプライチェーンで重要な役割を担っていると、Black Kiteの脅威リサーチャー、エクレム・セルチュク・ジェリク氏は述べています。製造現場での予期せぬダウンタイムは、多大な経済的損失やサプライチェーンの不足につながります。アサヒビールを襲った最近の攻撃は、ランサムウェアが業界にどれほどの混乱をもたらすか、そしてランサムウェア集団が支払いを引き出すために混乱に依存していることを浮き彫りにしました。

ジャガー・ランドローバー（JLR）も最近サイバー攻撃を受け、1か月にわたる混乱が発生しました。JLRはランサムウェアによるものかどうかは明言しませんでしたが、Xcape Inc.の取締役であるデイモン・スモール氏は、この攻撃がランサムウェアの典型的なものであると述べています。JLRは2026年度第2四半期の報告書で、「9月初めから最近のサイバーインシデントにより生産量が影響を受けており、生産停止が卸売に影響を与えている」と、攻撃の深刻さを明らかにしています。

脅威アクターはお金を好み、長い交渉を嫌うため、迅速に支払いができる被害者を探すとジェリク氏は述べています。そこで、製造業が狙われるのです。

「多くの企業は、生産やデータの損失だけでなく、サードパーティ侵害の発生源となるリスクも抱えているため、戦うよりも支払いを選択します」とジェリク氏はDark Readingに語っています。「ダウンタイムの1秒ごとが経済的損失につながることを、攻撃者は知っています。」

標的を選ぶ際、脅威グループは失われる可能性のある収益などの要素から、企業が身代金を支払う意思があるかどうかを判断しようとする場合があると、Coalitionの主任セキュリティリサーチャー、スコット・ウォルシュ氏は述べています。同保険会社の2025年サイバー保険請求レポートによれば、産業分野の企業は2024年に請求頻度が前年比4％増加しました。

「一部の組織にとっては、事業中断を被るよりも身代金を支払う方がコスト効率が良い場合があり、脅威アクターもそれを理解しています」とウォルシュ氏はDark Readingに語っています。

製造業は本質的に脆弱なのか？

他の専門家と同様に、ウォルシュ氏も製造業がサプライチェーンにとって重要なため主要な標的になると認めています。しかし、システム自体が本質的にセキュリティ確保が難しいというよりも、製造業のモデルが一貫性を求め、コアビジネスの運用継続を優先するインセンティブがセキュリティを妨げていると彼は述べます。静的な生産ラインはサイバーセキュリティと相反しますが、新たな脆弱性は常に発見されており、対応が必要だとウォルシュ氏は説明します。

「生産者が脆弱性のパッチを当てない場合、パッチ適用によるわずかなダウンタイムと、サイバー攻撃による将来的な大きな混乱を天秤にかけていることになります」と彼は述べています。

Black Kiteの最新レポートは、パッチ管理が最も弱い部分であると指摘しています。製造現場の設計上、運用を妨げずにパッチ適用やセグメント化を行うのは困難であり、特に食品生産や物流に関わる企業の場合、国家安全保障に影響を及ぼす可能性があるため、なおさらです。

しかし、パッチ未適用のシステムや古いサーバーは、脅威アクターにとって格好の標的になるとジェリク氏は警告します。

「製造業の75％が重大な脆弱性を抱えており、65％はCISAのKEV（既知の悪用された脆弱性）が少なくとも1つ、今日（明日ではなく）実際に悪用されています」とジェリク氏は述べています。「パッチ管理の改善が最優先事項です。」

「この傾向は続くだろう」

タイムリーなパッチ管理プロトコルに加え、クリーブランド氏は、ITとOTの両方の環境でネットワークの可視性を優先し、強力なネットワークセグメンテーションと横移動の迅速な検知から始めるべきだと製造業者に呼びかけています。

「多要素認証、最小権限アクセス、ゼロトラスト原則の遵守も、特にパートナーやベンダーが侵害された場合を含め、サプライチェーン全体で内部・外部の脅威を減らすために不可欠です」と彼女は推奨しています。

積極的なサードパーティリスク管理も、製造業者に対する脅威の増大に対抗するために不可欠です。毎日のように新たな小規模ランサムウェアグループが現れ、鎖の中の1つの弱点を突くことに全力を注いでいるとジェリク氏は述べます。

「これらの隙がサプライチェーン全体で解消されるまで」、と彼は言います。「この傾向は続くでしょう。」