東洋紡がパロアルトネットワークスと進める「プラットフォーム化」という突破口

身代金要求攻撃の被害額は「1社平均6.4億円」　それでも6割超が「支払いを否定しきれない」苦境

2026年04月20日 08時00分更新

文● 福澤陽介／TECH.ASCII.jp

　近年、国内組織を標的としたサイバー攻撃は深刻化の一途を辿っており、とりわけ身代金の要求を伴う攻撃（ランサムウェア）によるビジネスへの影響は、甚大なものとなっている。

　パロアルトネットワークスが2026年4月17日に発表した調査によると、2025年に身代金要求型の被害を経験した国内組織は、他脅威の被害組織と比べ、事業への平均影響期間が約1.5倍長期化し、平均経済損失も約2.2倍に増大していることが判明した。加えて、被害組織の6割超が「身代金の支払いを否定しきれない」と回答しており、システム・データ復旧の困難さが伺える。

　本調査結果の説明会では、セキュリティ製品群を統合・連携させる「Platformization（プラットフォーム化）」の現状も明らかにしており、このアプローチを採用する東洋紡がゲスト登壇した。

（左から）東洋紡 CDO TX・業務革新総括部長矢吹哲朗氏、パロアルトネットワークスチーフサイバーセキュリティストラテジスト染谷征良氏

身代金要求型の被害では「54日間」影響が続き、経済損失は「6.4億円」に

　今回の調査「State of Cybersecurity Japan 2026」は、国内の企業・公共機関のセキュリティ責任者（決裁権者・意思決定権者）752名を対象に、2026年1月に実施されたもの。説明会では、本調査を主導したチーフサイバーセキュリティストラテジストである染谷征良氏が、調査結果の詳細を解説した。

パロアルトネットワークスチーフサイバーセキュリティストラテジスト染谷征良氏

　調査によると、2025年にサイバー攻撃を経験した国内組織は55％に達し、そのうちの45%（全体では約25%）が「身代金の要求を伴う被害」に遭っている。なお今回は、身代金要求が発生しないランサムウェア攻撃を区別するため、このような分類を採用している。

　身代金要求型の攻撃は、ビジネスへの影響が甚大で、長期化しやすく、経済的影響も膨らむ傾向があった。

　まずは「事業への影響の甚大化」だ。セキュリティ被害を経験した95%の組織が何らかの業務に影響を受ける中で、特に身代金要求型の被害は、あらゆる業務にその影響が波及している。

【身代金要求なし/あり時の業務への影響】
・生産活動・サービス提供：なし46% / あり63%
・受発注業務：なし44% / あり55%
・会計業務：なし37% / あり48%
・問い合わせ対応：なし37% / あり44%
・人事業務：なし36% / あり43%
・営業・宣伝活動：なし30% / あり39%
・被害賠償金・違約金対応：なし21% / あり32%
・訴訟対応：なし12% / あり19%

　これは、システム・データ侵害に加えて、社会的信用の失墜を盾にとる「二重恐喝」の手口が用いられるからだ。「こうしたビジネスインパクトをみると、サイバーリスクはIT部門だけではなく、経営そのものの問題であると再認識できる」と染谷氏。

　続いて「事業影響の長期化」だ。被害組織における影響の持続期間は「平均で44日」に達しており、とりわけ3割近くの組織では1か月以上その影響が続いている。

　さらに、身代金要求型被害に遭った組織では「平均54日」と、非要求型の被害組織（37日）と比べて1.5倍長期化している。やはりシステムやデータの復旧プロセスが負担となっており、染谷氏は、「経営主導で予めBCP（事業継続計画）の優先度を策定して、迅速な対応・復旧のための体制を整備することが重要」と指摘する。

セキュリティインシデントによる事業影響の「長期化」

　最後に「経済的影響の拡大」だ。今回、インシデント全体での経済損失額は、平均で「3億9594万円」となった。1億円以上を損失する組織が約3割なことから、一部の甚大な被害を受けた組織が平均値を押し上げていると推察されるが、それでも「経済的影響は年々大きくなっている」と染谷氏。

　そして、身代金要求型被害に遭った組織の場合は「平均6.4億円」と、非要求型の被害組織（2.9億円）と比べて2.2倍に跳ね上がる。これも、外部公表によるビジネスへの影響に加えて、復旧が長期化するケースが多いからだ。染谷氏によると、こうした経済的影響を事前に分析できていない企業が依然として少なくないという。