ランサムウェア被害が止まらない — 2026年2月の事例から学ぶ

止まるどころか増えてるよ。2026年2月だけでも大きな事例がいくつも出てる。アサヒグループは2025年9月に受けた攻撃の調査結果を2月に公表して、取引先や従業員の情報約11万5000件が漏洩したことが分かったんだ。

ランサムウェアは業種を選ばないんだよ。大企業は取引先や従業員のデータを大量に持ってるから、それを暗号化して「復号したければ身代金を払え」って脅すんだ。アサヒグループはこの件を受けて独立したセキュリティ組織を新設したよ。

日本医科大学武蔵小杉病院で約1万件の患者情報が漏洩した可能性があるんだ。病院は電子カルテや検査データなど止められないシステムが多いから、攻撃者にとって「身代金を払いやすいターゲット」として狙われやすいんだよね。

半導体検査装置のアドバンテストが2026年2月15日に不正アクセスを検知して、ランサムウェア被害を公表したよ。製造業は工場の稼働が止まると巨額の損害が出るから、こちらも「払ってでも早く復旧したい」心理を突かれやすいんだ。

対策はしてるんだけど、攻撃の入り口が多すぎるんだよ。メールのフィッシングで人をだますソーシャルエンジニアリング、パッチが当たってないVPN機器からの侵入、委託先経由のサプライチェーン攻撃。どれか1つでも穴があれば入られてしまう。

「サイバーはひとごとじゃない」だよ。まさにそのとおりで、大企業だけの話じゃないんだ。個人でもフィッシングメールは届くし、使い回しパスワードが漏洩すれば芋づる式にアカウントを乗っ取られる。

まずパスワードをサービスごとに変えること、二要素認証を有効にすること、そして大事なデータのバックアップを取ること。この3つだけでも被害の確率はかなり下がるよ。パスワードマネージャーを使えば管理も楽だしね。

ここが深い問題でね、セキュリティ投資額と実際の備えには大きなギャップがあるんだ。ツールを買っても運用が追いついてない、インシデント対応の訓練をしてない、経営層がリスクを理解してない。アサヒグループが独立セキュリティ組織を作ったのは、まさにこのギャップを埋めようとした動きだね。

ShinyHuntersっていうハッキンググループに従業員データを盗まれたんだ。さらに面白い…いや怖い話だけど、FBIがGoogleのNestカメラの映像を遠隔で取得した事例も報じられたよ。IoTデバイスが監視ツールになり得るっていう、プライバシーの別の側面も浮き彫りになったんだ。

可能性としてはあるよ。IoTデバイスはパスワードが初期設定のままだったり、ファームウェアの更新がされてなかったりすることが多い。便利さの裏にリスクがあることを意識して、初期パスワードの変更とアップデートの適用は最低限やっておこうね。

そう。完璧な防御は存在しないけど、「やられたときにどう動くか」まで含めて準備しておくことが大事なんだ。個人も企業も、攻撃を受ける前提で備える時代だよ。