結論:東京のランサムウェア被害は過去最多——全国では1万5千件超のサイバー犯罪を検挙
2026年4月9日、警察庁は2025年のサイバー犯罪に関する統計を公表した。都内のランサムウェア被害は68件で過去最多を記録。全国のサイバー犯罪検挙件数は15,108件に達した。
数字だけ見れば「大企業の話」に思えるかもしれない。しかし、被害企業の内訳を見れば、半数以上が中小企業だ。「うちは小さいから狙われない」は、もう通用しない。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
警察庁発表データの全体像
都内のランサムウェア被害推移
横にスクロールして確認できます
| 年 | 都内被害件数 | 前年比 |
|---|---|---|
| 2022年 | 37件 | — |
| 2023年 | 45件 | +21.6% |
| 2024年 | 54件 | +20.0% |
| 2025年 | 68件 | +25.9% |
3年連続で20%以上の増加が続いている。歯止めがかかる兆候はない。
全国のサイバー犯罪検挙件数
横にスクロールして確認できます
| 項目 | 2025年 |
|---|---|
| サイバー犯罪検挙総数 | 15,108件 |
| うちランサムウェア関連 | 230件超(前年比+30%) |
| 不正アクセス禁止法違反 | 3,200件超 |
| フィッシング関連 | 5,000件超 |
被害の内訳——誰が、どこから、どうやって攻撃されているのか
業種別被害
横にスクロールして確認できます
| 業種 | 構成比 |
|---|---|
| 製造業 | 約28% |
| 卸売・小売業 | 約18% |
| サービス業 | 約15% |
| 建設・不動産業 | 約12% |
| 医療・福祉 | 約10% |
| その他 | 約17% |
製造業が最多だが、特定業種に偏っているわけではない。業種を問わずランサムウェアの標的になることがデータから明らかだ。
企業規模別被害
横にスクロールして確認できます
| 企業規模 | 構成比 |
|---|---|
| 大企業(従業員300人以上) | 約34% |
| 中小企業(従業員300人未満) | 約54% |
| 団体・その他 | 約12% |
被害の過半数を中小企業が占める。大企業よりもセキュリティ対策が手薄なため、攻撃者にとっては「侵入コストの低い標的」だ。
感染経路別
横にスクロールして確認できます
| 感染経路 | 構成比 |
|---|---|
| VPN機器の脆弱性 | 約63% |
| リモートデスクトップ(RDP) | 約18% |
| フィッシングメール | 約12% |
| その他(USBメモリ等) | 約7% |
6割以上がVPN機器の脆弱性を突いた攻撃だ。つまり、VPN機器のファームウェアを最新に保つだけで、最大のリスク要因を潰せる。
身代金支払い額の推移——支払いは解決策ではない
横にスクロールして確認できます
| 年 | 平均要求額(推定) | 支払い率 |
|---|---|---|
| 2023年 | 約2,000万円 | 約20% |
| 2024年 | 約3,500万円 | 約15% |
| 2025年 | 約5,000万円 | 約12% |
要求額は年々上昇する一方、支払い率は低下傾向にある。これは企業側の意識向上もあるが、支払っても復旧できるとは限らないことが広く認知されてきたためだ。警察庁も身代金の支払いを明確に非推奨としている。
「68件」の中に自社が入らないために、今できることがあります
ランサムウェア対策は、VPN機器の更新とバックアップの確認から。何から手をつけるべきか、優先順位を一緒に整理します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
なぜ中小企業が狙われるのか——3つの構造的要因
要因1:セキュリティ投資の絶対的な不足
IPAの調査によれば、中小企業の約4割が「セキュリティ対策に予算を割いていない」と回答している。UTM(統合脅威管理)やEDRの導入はおろか、ウイルス対策ソフトの更新すら滞っている企業がある。
要因2:VPN機器のファームウェアが更新されていない
ランサムウェアの最大の侵入経路であるVPN機器。中小企業では「購入時のまま」で運用しているケースが多い。FortiGate、Pulse Secure(現Ivanti)、SonicWallなど、既知の脆弱性を放置したままの機器がインターネットに接続されている。
要因3:バックアップがオンラインのまま
バックアップを取っていても、ネットワーク上の共有フォルダに保管していれば、ランサムウェアに一緒に暗号化される。オフラインバックアップ(物理的にネットワークから切り離した保管)を実施していない中小企業が大多数だ。
今日からできる7つの対策
対策1:VPN機器のファームウェアを今すぐ更新する
最も即効性が高い対策だ。自社のVPN機器のメーカー・型番を確認し、メーカーサイトで最新ファームウェアを確認・適用する。FortiGate、Ivanti Connect Secure、SonicWallは特に注意が必要だ。
対策2:バックアップの「3-2-1ルール」を実践する
- 3つのコピーを保持
- 2種類の異なるメディアに保管
- 1つはオフサイト(またはオフライン)で保管
最低でも、週1回のオフラインバックアップを実施してほしい。
対策3:RDP(リモートデスクトップ)を制限する
RDPをインターネットに公開している場合は即座に閉じる。どうしてもリモートアクセスが必要な場合は、VPN経由でのみアクセスを許可し、多要素認証を必須にする。
対策4:EDRを全端末に導入する
従来のウイルス対策ソフト(EPP)だけでは不十分だ。EDR(Endpoint Detection and Response)は、ランサムウェアの暗号化行動を検知して自動的にプロセスを停止できる。中小企業向けのマネージドEDRサービスは月額500〜1,500円/端末から利用可能だ。
対策5:多要素認証(MFA)をすべてのリモートアクセスに導入する
VPN、メール、クラウドサービスへのログインに多要素認証を必須にする。パスワードだけの認証は、もはやセキュリティ対策として不十分だ。
対策6:従業員へのセキュリティ教育を定期実施する
フィッシングメールの見分け方、不審なUSBメモリの取り扱い、インシデント発生時の連絡先。最低でも年2回の研修と、四半期に1回のフィッシング訓練を実施する。
対策7:インシデント対応計画を策定する
「ランサムウェアに感染した」と分かった瞬間に何をすべきか。ネットワーク遮断の手順、関係者への連絡順、警察への届出、個人情報保護委員会への報告——事前に手順書を用意し、年1回は訓練を行う。
警察への被害届の出し方
ランサムウェア被害に遭った場合、以下の手順で速やかに届出を行う。
- 最寄りの警察署のサイバー犯罪相談窓口に連絡(#9110 でも可)
- 都道府県警のサイバー犯罪対策課に被害届を提出
- 必要に応じて警察庁サイバー特別捜査部に情報提供
- 並行して個人情報保護委員会への報告(個人情報漏洩が確認された場合は義務)
重要: 被害状況を示す証拠(ログ、スクリーンショット、身代金要求文)は上書き・削除しないこと。フォレンジック調査に不可欠な証拠となる。
まとめ
横にスクロールして確認できます
| 項目 | ポイント |
|---|---|
| 都内ランサムウェア被害 | 2025年に68件で過去最多 |
| 全国サイバー犯罪検挙 | 15,108件 |
| 被害企業の過半数 | 中小企業 |
| 最大の感染経路 | VPN機器の脆弱性(63%) |
| 最優先の対策 | VPN更新 + オフラインバックアップ + EDR導入 |
数字は明確に「増加傾向」を示している。今年も68件を上回るペースで被害が発生する可能性は高い。対策を「いつかやる」から「今日やる」に変える——それだけで、自社が統計の一部になるリスクは大幅に下がる。
関連記事:ランサムウェア対策完全ガイド 関連記事:穴吹興産ランサムウェア被害の教訓 関連記事:中小企業のセキュリティコスト優先ガイド 関連記事:導入事例一覧
GXOの見解
セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。
GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。
GXOは、脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる形で支援します。
実務判断のポイント
この記事は、経営者、CIO、情シス、セキュリティ担当、開発責任者向けです。脆弱性管理、外部公開資産棚卸し、月次セキュリティ運用、インシデント対応を自社で進めるか、外部の専門家と整理するかを判断する材料として使えます。
GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。都内ランサムウェア被害が過去最多68件(警察庁4/9発表)|中小企業が標的の実態と対策に関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。
放置した場合と整備した場合の違い
横にスクロールして確認できます
| 観点 | 放置した場合 | 整備した場合 |
|---|---|---|
| 業務影響 | 属人的な判断が増え、対応の優先順位がぶれやすい | 影響範囲、期限、責任者を決めて進められる |
| 投資判断 | ツール導入や外注費だけが先行し、効果測定が曖昧になる | 売上、工数削減、リスク低減の指標にひも付けられる |
| 現場運用 | 例外処理や承認フローが残り、定着しにくい | 権限、ログ、教育、改善サイクルまで設計できる |
| 経営報告 | 問題が発生してから説明資料を作ることになる | 月次で状況、課題、次の打ち手を説明できる |
導入・改善前のチェックリスト
- 対象業務、対象部門、対象データを明文化しているか
- 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
- 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
- 例外処理、承認、差し戻し、監査証跡まで確認しているか
- 社内で判断できる範囲と外部支援が必要な範囲を分けているか
- 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
- 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
- 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
- セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
- 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
- 経営判断に必要な資料を1枚で説明できる状態にしているか
- 次の90日で検証する範囲と、やらない範囲を明確にしているか
GXOの見解
セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。
GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。
自社だけで整理が難しい場合、GXOは脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる。最初から大規模な発注を前提にせず、現状整理や診断から必要な範囲を確認できます。
実行までの進め方
- 現在の業務、データ、ツール、担当者を棚卸しする
- 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
- 初期対応、90日以内の改善、半年以上の投資を分ける
- 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
- 小さく検証し、効果測定後に本番化や横展開を判断する
よくある質問(FAQ)
Q1. うちは従業員10人の小さな会社ですが、ランサムウェアの標的になりますか? A. はい。攻撃者は企業規模を選びません。むしろ、セキュリティ対策が手薄な小規模企業は「侵入しやすい標的」として狙われます。特に大企業のサプライチェーンに属している場合、大企業への足がかりとして攻撃されるケースが増えています。
Q2. セキュリティ対策にかけられる予算がほとんどありません。最低限何をすべきですか? A. 最優先は3つです。(1) VPN機器のファームウェア更新(無料)、(2) オフラインバックアップの実施(外付けHDDで可能)、(3) すべてのリモートアクセスへの多要素認証導入(Microsoft 365やGoogle Workspaceに標準搭載)。この3つだけで、主要な攻撃経路の大部分を塞ぐことができます。
Q3. サイバー保険は加入すべきですか? A. 検討する価値はあります。ランサムウェア被害の平均復旧コストは約5,000万円(フォレンジック調査、システム復旧、顧客対応等を含む)に達します。サイバー保険はこれらの費用を補填するだけでなく、インシデント対応の専門家を手配するサービスが付帯しているものもあります。年間保険料は企業規模により10万〜100万円程度です。
Q4. 被害に遭ったことを公表する義務はありますか? A. 個人情報の漏洩が確認された場合、個人情報保護法に基づき個人情報保護委員会への報告と本人への通知が義務付けられています(2022年4月施行)。報告期限は速報が「概ね3〜5日以内」、確報が「30日以内(不正アクセスの場合は60日以内)」です。
参考情報
- 警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」(2026年4月9日)
- 警視庁サイバーセキュリティ対策本部「都内のサイバー犯罪発生状況」
- IPA「情報セキュリティ10大脅威 2026」
- JPCERT/CC「ランサムウェア対策特設ページ」
「統計」を「自社の対策」に変える第一歩
VPN機器の脆弱性診断、バックアップ体制の見直し、EDR導入の検討——何から始めるべきか、セキュリティの専門チームが優先順位を一緒に整理します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
公式・一次情報(最終確認: 2026年7月12日)
- IPA 情報セキュリティ: https://www.ipa.go.jp/security/
- CISA Cybersecurity Resources: https://www.cisa.gov/topics/cybersecurity-best-practices
制度、仕様、価格、法令、脆弱性情報は改定されるため、発注・申請・対応の直前にリンク先の最新版と適用条件を再確認してください。






