製造業におけるランサムウェア 2025：データセキュリティとコンプライアンスの危機

製造業は、どの業界も望まない不名誉な記録を持っています。4年連続でランサムウェア攻撃の最大の標的となっています。2025年Sophos製造・生産業界におけるランサムウェアの現状レポートによると、全製造業者の半数がランサムウェアの被害に遭い、平均100万ドルの身代金を支払っています。

主なポイント

1. 製造業の半数が身代金を支払い―数百万ドル規模のデータが危険に。 2025年には製造業組織の51%がランサムウェアの要求に応じ、平均支払額は100万ドル、復旧コストはさらに130万ドルに上りました。財務的損失にとどまらず、被害者の39%が暗号化と同時にデータ窃取も経験しており、運用上の危機が規制違反を伴う本格的なデータ侵害へと発展しています。
2. データ流出がランサムウェアをコンプライアンス緊急事態に変える。 製造業は全業種の中で2番目に高いデータ窃取率となっており、攻撃者は知的財産、顧客記録、認証情報などの機密情報をシステム暗号化前に窃取します。すべての流出事案がGDPR通知、州プライバシー法要件、契約上の通知義務を引き起こす可能性があり、これらの義務は業務再開後も長く続きます。
3. 専門知識の不足と盲点が機密データを危険にさらす。 サイバーセキュリティの専門知識不足が42.5%の攻撃成功に寄与し、未知のセキュリティギャップが41.6%の侵害を許しました。つまり、組織は自社のデータ保護体制に弱点があることを攻撃者に侵入されるまで把握できていませんでした。こうした組織的な失敗は、機密データがどのように侵害されたかを調査する際に規制当局が注視するポイントとなります。
4. サプライチェーンの可視性欠如がデータ保護リスクを増大。 製造業の67%がエンドツーエンドの可視性ギャップを主要なサードパーティリスクと認識しており、これは業種横断平均を大きく上回ります。パートナーが共有データを含む侵害を受けた場合、44%の製造業者はリアルタイム通知を受け取れず、自社のコンプライアンス義務や影響を受けた個人の保護ができない状況です。
5. 製造業は反撃し、勝率を上げている。 2025年のデータ暗号化率は攻撃全体の40%と、過去5年で最低水準に低下。暗号化前に阻止できた攻撃の割合は50%と2倍に増加しました。検知の高速化、対応力の強化、バックアップ運用の改善により、業務停止やデータ流出の被害を抑える成果が出ています。

しかし、財務的損失は被害の一部に過ぎません。ランサムウェア攻撃が成功するたびに、データ侵害、コンプライアンス違反、規制上の悪夢が現実となります。製造業のランサムウェア被害者の39%が暗号化と同時にデータ窃取も経験しており、業務停止と機密データ流出という二重の危機に直面し、規制当局・顧客・パートナーが厳しく注視しています。

ランサムウェアのデータプライバシーおよびコンプライアンスの側面、そしてそれに対処するための有効な施策を理解することは、すべての生産拠点、サプライヤー、運用責任者にとって、自社の業務とデータ義務を守るうえで重要です。

製造業が守るべきデータ

製造業組織は、多くの人が想像する以上に多くの機密データを扱っています。製造業におけるデータセキュリティに関する業界調査によると、61%の製造業組織がシステムやフォームを通じて認証情報を収集しています。58%が財務記録を取り扱い、36%がPCI DSS要件の対象となる決済カードデータを処理、29%が政府発行のID番号を収集しています。

これら以外にも、製造業者は従業員データ、顧客アカウント情報、サプライヤーやパートナーデータを日常的に取り扱っています。特に重要なのは、設計図、仕様、営業秘密、製品詳細など、競合他社や国家が積極的に狙う高価値の知的財産が製造現場で扱われている点です。

このデータには重大な規制上の重みがあります。製造業組織は、欧州データ対象者向けのGDPR、決済処理のPCI DSS、自動車・電子・航空宇宙・産業機器分野の業界固有規制など、複雑な要件マトリクスの下で事業を展開しています。輸出管理やサプライチェーンリスク管理の取り組みも、さらに義務を重ねています。

ランサムウェア攻撃者が製造現場に侵入すると、生産を妨害するだけでなく、通知義務や規制調査、多額の制裁金を引き起こすデータへのアクセス・流出・露出が発生する可能性があります。

なぜ攻撃者は製造業データを狙うのか

製造業の運用は、身代金目的と価値あるデータの両方を狙うサイバー犯罪者にとって、非常に魅力的な標的です。生産ラインは停止した瞬間から収益が失われるため、迅速な身代金支払いへの圧力が生まれます。しかし、製造業が保有するデータは、さらに強力な交渉材料となります。

知的財産

の窃取は、攻撃者の資金源となったり、競合他社に売却されたりします。顧客やサプライヤーデータは、サプライチェーンを通じた二次攻撃を可能にします。認証情報の窃取は、接続されたシステムやパートナーネットワークへのアクセスを与えます。財務データは詐欺に利用されます。従業員や顧客の個人情報は、漏洩通知義務を発生させ、被害者への圧力をさらに高めます。

計算は単純です。製造業者は業務停止による収益減を即座に感じ、データ流出は長期的な規制・法的・評判リスクを生みます。攻撃者は、業務継続性とデータプライバシーの両方を脅かすことで、最大限の交渉力を得ているのです。

Sophosは、過去1年にランサムウェア攻撃を受けた17カ国332社の製造業IT・サイバーセキュリティ責任者に調査を実施。調査結果は、脅威対応の進展と同時に、深刻なデータセキュリティギャップが存在することを明らかにしています。

製造業におけるデータ侵害の現実

Sophosの調査によると、データが暗号化された製造業組織の39%がデータ流出も経験しており、これは全業種中2番目に高い割合です。つまり、攻撃者はデータをロックするだけでなく、漏洩・販売・さらなる恐喝に使えるコピーも盗み出しているのです。

関連する業界調査では、データセキュリティの課題がさらに広範囲に及ぶことが示されています。製造業組織の85%が過去2年間に何らかのフォーム関連のセキュリティインシデントを報告。42%がフォーム送信経由でのデータ侵害を確認しており、これらのシステムは製造業者が保護義務を負う顧客・従業員・サプライヤー情報を収集しています。

暗号化なしで身代金要求のみを受けた（純粋な恐喝型）攻撃の割合は、2024年の3%から2025年には10%へと急増しました。これらの攻撃は業務妨害ではなく、データ窃取のみに焦点を当てています。攻撃者は機密情報を盗み、支払いがなければ公開すると脅迫し、データ保護の失敗を直接的な金銭要求へと転化しています。

コンプライアンス責任者やデータ保護担当者にとって、これらの数字は規制リスクを示しています。すべてのデータ流出事案がGDPR違反通知、州プライバシー法要件、顧客・パートナーへの契約上の通知義務、セキュリティ対策に対する規制当局の調査を引き起こす可能性があります。

コンプライアンスとデータ主権への圧力

製造業組織は、データ取扱いを巡る規制・契約上の圧力が高まっています。業界調査によると、製造業回答者の80%がデータ主権を「重要」または「非常に重要」と評価しており、これはデータの所在や国境を越えた移動に関する規制要件と顧客の要求の両方を反映しています。

ISO 27001の導入は製造業で広く進んでおり、情報セキュリティ管理の枠組みを提供しています。SOC2 Type IIの導入は組織によってばらつきがあり、顧客やパートナーへのセキュリティコントロールの証明方法に一貫性がありません。PCI DSSコンプライアンスは決済カードを扱う組織にとって必須であり、セキュリティプログラムにさらなるコンプライアンス要素を加えています。

ゼロトラスト・セキュリティの導入率は、他業種に比べて製造業では低い状況です。これは、侵害時の横移動を制限する上で有効であるにもかかわらずです。セキュリティのベストプラクティスと実際の運用とのギャップが、セキュリティリスクとコンプライアンス上の脆弱性を生み出しています。

特に注目すべきは、製造業が輸出管理やサプライチェーンリスク管理の取り組みによる規制リスクにもさらされている点です。防衛請負業者、航空宇宙サプライヤー、管理対象技術データを扱う組織は、ランサムウェア攻撃によって違反となる追加のデータ保護要件を課されています。

データが流出する仕組み

2025年、製造業におけるランサムウェア攻撃の技術的主因として「脆弱性の悪用」がトップとなり、全インシデントの32%を占めました。これは、過去数年で主流だった悪意あるメールや認証情報の侵害からの変化を示しています。

データセキュリティの観点では、脆弱性の悪用は特に重大です。製造現場には産業用制御システム、OT、レガシー機器など、古いソフトウェアが稼働しているケースが多く、これらはしばしば機密ビジネスデータを含むネットワークに接続されています。運用系システムの脆弱性は、顧客情報・知的財産・財務記録を保有するデータベースへの侵入口となり得ます。

悪意あるメールは依然として23%の攻撃を占めていますが、2024年の29%から減少傾向です。メール攻撃は、機密データや認証情報へのアクセス権を持つ従業員を標的にすることが多いです。認証情報の侵害は全インシデントの20%に関与しており、いずれもシステムやデータへの不正アクセスを意味します。

データ侵害の背後にある組織的弱点

技術的な攻撃経路だけでは、製造業がデータ侵害を受ける理由の全てを説明できません。Sophosの調査は初めて組織的要因を掘り下げ、被害者は運用セキュリティとデータ保護の両面に影響する複数の課題を同時に抱えていることを明らかにしました。

最も多かったのは専門知識の不足で、被害者の42.5%が指摘しています。製造業組織は、データ保護の知識を持つサイバーセキュリティ人材の確保・定着に苦戦しています。産業環境と機密データの両方を守るための専門知識が求められるため、採用はさらに困難です。

未知のセキュリティギャップは41.6%の攻撃に寄与しました。組織は自社のデータ保護体制に弱点があることを、攻撃者に侵入されるまで認識できていませんでした。この盲点は、データフローの可視化不足、不十分なリスク評価、データアクセス・移動の継続的監視の欠如を示唆しています。

保護策の不足も41%のインシデントに関与しています。これらの組織は、DLP、暗号化、アクセス制御、監視ツールなど、侵害防止とデータ保護要件の遵守を両立するために必要なサイバーセキュリティ製品・サービスを十分に導入できていないと認めています。

サプライチェーンにおけるデータリスク

製造業の複雑なサプライチェーンは、重大なデータセキュリティリスクを生み出しています。業界調査では、製造業組織の67%がエンドツーエンドの可視性ギャップを主要なサードパーティリスク管理課題と認識しており、全業種平均の46%を大きく上回っています。

この可視性ギャップは、データ保護に直接的な影響を及ぼします。製造業者がサプライヤー、パートナー、物流業者とデータを共有すると、そのデータがどのように取り扱われ、保存・保護されているかを把握できなくなることが多いのです。GDPRや多くのフレームワークでは、元のデータ管理者はデータがプロセッサーやサブプロセッサーに移動しても保護責任を負い続けます。

44%の製造業者が、パートナーからのリアルタイム侵害通知の欠如を懸念しており、これは全業種でも高い数字です。サプライヤーが共有データを含む侵害を受けた場合、製造業者は自社の通知義務や影響を受けた個人の保護が間に合わないほど遅れて知ることが多いのです。

33%が、パートナーのAIリスクや機械学習ツールによるデータ流出を懸念しています。自動化やインテリジェンスツールがサプライチェーン全体に広がる中、パートナー組織でのデータ取扱いが直接的なコンプライアンス課題となっています。正当なサプライチェーン目的で共有されたデータが、データ保持・保護方針が不明確なAIシステムに取り込まれるリスクもあります。

26%は、パートナーのコンプライアンスギャップを優先課題としています。パートナーが規制要件を満たせない場合、そのパートナーにデータを共有した製造業者自身もコンプライアンスリスクを負うことになります。

復旧とデータ完全性への懸念

データが暗号化された製造業組織のうち、復旧に成功したのは91%で、これは調査対象業種の中で最も低い割合です。データ保護の観点では、これは業務影響を超えた深刻な問題を示唆します。

復旧できなかったデータには、法的に保存義務のある記録が含まれている場合もあります。顧客情報、財務記録、雇用データ、取引履歴などは、各種規制下で保存要件が課されることがあります。恒久的なデータ損失自体がコンプライアンス違反となる可能性もあります。

データが復旧できた場合でも、完全性への疑問が残ります。暗号化前にデータが改ざんされていないか？バックアップシステムは侵害されていないか？復旧データは規制報告やコンプライアンス目的で信頼できるか？これらの疑問が、インシデント後の対応を複雑にします。

バックアップ利用は、暗号化データの復旧に58%の組織が活用しており、安定した傾向です。ただし、バックアップ運用もデータ保護要件―バックアップ媒体の暗号化、アクセス制御、規制義務に合致した保持方針―を満たす必要があります。

身代金支払いのコンプライアンス側面

身代金支払いの判断には、ますますコンプライアンス要素が絡む複雑な計算が必要です。2025年には製造業組織の51%が身代金を支払いましたが、前年の62%から減少しています。

平均身代金要求額は前年の150万ドルから120万ドルへと20%減少。実際の平均支払額も120万ドルから100万ドルに下がりました。しかし、これらの支払い自体がコンプライアンスリスクを伴います。

攻撃者によっては、身代金支払いが制裁規制違反となる場合もあります。米国財務省外国資産管理局（OFAC）は、制裁対象の組織や地域への身代金支払いが民事制裁につながる可能性があると警告しています。組織は支払い前にデューデリジェンスを行う必要がありますが、匿名の犯罪者相手では困難です。

さらに、身代金を支払っても漏洩通知義務が消えることはありません。暗号化前に流出したデータは、復号キーを入手しても依然として外部に露出したままです。支払いで業務データへのアクセスは回復できても、データ窃取やそれに伴うコンプライアンス義務は解消されません。

身代金以外の復旧コスト

製造業組織がランサムウェア攻撃から復旧する平均コストは130万ドルで、身代金支払いを除いた金額です。この数字には、ダウンタイム、人件費、デバイス交換、ネットワーク修復、失われたビジネス機会などが含まれます。

ただし、重大インシデント後に発生するコンプライアンス関連コスト―違反対応の法的助言、データ流出範囲のフォレンジック調査、影響を受けた個人への通知費用、クレジットモニタリングサービス、規制当局対応や制裁金、監査強化など―は十分に反映されていない可能性があります。

復旧速度は大幅に向上し、2025年には58%の製造業組織が1週間以内に復旧、2024年の44%から増加しました。迅速な復旧は業務影響を抑えますが、コンプライアンス上の期限を早めるものではありません。漏洩通知、規制報告、顧客対応は、業務復旧とは別のスケジュールで進みます。

サードパーティリスク管理の失敗

製造業におけるデータセキュリティ課題は、直接的な攻撃にとどまりません。製造業の広範かつ分散した攻撃対象面は、サプライヤー、運用、レガシーシステムにまたがり、あらゆる接続点で脆弱性を生み出します。

業界調査によると、製造業者はサプライヤーポータル、保証登録システム、RMAフォーム、レガシーポータルの埋め込みフォームなど、フォームインフラへの攻撃リスクが高い状況です。これらのシステムはすべて、保護義務のあるデータを収集しています。

レガシーインフラやデータ収集システムの分散管理は、根本的なリスク要因です。製造業組織は、どこでどんなデータが収集され、組織内やパートナーにどう流れているか、各段階でどんな保護が適用されているかを一元的に把握できていないことが多いのです。

この断片化は、セキュリティとコンプライアンスの両面で課題となります。自社が保有していることを把握していないデータは保護できず、データフローを可視化できていない限り、コンプライアンスも証明できません。

データ中心の防御構築

Sophosの調査は、セキュリティ投資をデータ保護要件と連動させる4つの重点分野を示しています。

最も有効なのは「予防」です。攻撃を未然に防ぐことで、業務停止とデータ流出の両方を回避できます。そのためには、脆弱性管理、メールセキュリティ、認証情報保護、調査で明らかになったセキュリティギャップの解消が必要です。データ保護の観点では、不正アクセスを防ぐことが、データ流出後の検知・対応より常に優先されます。

強固な基盤的セキュリティによる「保護」には、データ中心のコントロールが不可欠です。保存中・転送中の機密データ暗号化は、境界防御が破られても流出リスクを最小化します。最小権限原則に基づくアクセス制御は、認証情報が侵害された場合でも攻撃者が到達できるデータを制限します。データ損失防止ツールは、流出試行の検知・遮断が可能です。

「検知と対応」能力は、攻撃をどれだけ早く遮断しデータ流出を抑えられるかを左右します。24時間体制の脅威監視には、データアクセス監視も含めるべきです。異常なクエリ、大量ダウンロード、想定外の場所からのアクセスなど、データ窃取の兆候を検知できます。

「計画と準備」では、業務復旧と並行してデータ侵害対応を組み込む必要があります。インシデント対応計画には、データ流出範囲の特定、通知手順の発動、フォレンジック証拠の保全、法的助言の確保などを盛り込むべきです。組織は、インシデント発生前に通知義務を把握しておく必要があり、危機時に慌てて調べるべきではありません。

コンプライアンス・セキュリティ責任者への質問事項

自社が保有する機密データとその所在を把握できているか？調査で指摘された可視性ギャップは、セキュリティとコンプライアンスの両立を不可能にします。データ分類・可視化は基礎的な活動であるべきです。

暗号化だけでなくデータ流出も検知できるか？多くのセキュリティツールはランサムウェア実行の検知に重点を置いています。攻撃者が目的のデータを手にする前に流出を検知するには、データ移動パターンやアクセス異常の監視が必要です。

自社の通知義務は何か？データ種別、管轄地域、契約関係ごとに通知要件は異なります。組織は、よくあるシナリオごとに事前に明確な対応手順を用意しておくべきです。

サプライチェーン全体でデータセキュリティをどう管理しているか？サードパーティリスク管理には、契約上のコントロール、セキュリティ評価、パートナー運用の継続的監視が必要です。サプライチェーン可視性への高い懸念は、現行のアプローチが不十分であることを示唆しています。

バックアップと復旧プロセスはコンプライアンス要件を満たしているか？バックアップは暗号化・アクセス制御され、適用要件に従って保持されるべきです。復旧テストは業務機能だけでなくデータ完全性も検証する必要があります。

規制当局の監視は強化される

製造業がランサムウェア最大の標的である現状は、規制当局の注目を集めています。特定業界でセキュリティ失敗が常態化すれば、やがて規制当局は執行強化や要件厳格化で対応します。

SECのサイバーセキュリティ開示規則は上場製造業者に影響します。州ごとのデータプライバシー法も拡大を続けており、それぞれ独自の要件があります。自動車・航空宇宙・防衛サプライチェーンの業界規制当局も、セキュリティへの期待を強めています。国際的なデータ保護当局も、国境を越えたデータ流出を積極的に調査しています。

積極的なセキュリティ投資と成熟したデータ保護運用を示す組織は、コンプライアンスを単なるチェックリストと捉える組織よりも有利な立場となります。調査で明らかになった組織的根本原因―専門知識の不足、未知のセキュリティ弱点、保護策の不備―は、インシデント発生時に規制当局が必ず問う内容です。

今後の展望

製造業は今後もランサムウェアの主要標的であり続けます。攻撃者にとって魅力的な業務上の脆弱性と価値あるデータの組み合わせは変わりません。サプライチェーンの複雑化も進み、データ保護要件も拡大していきます。

2025年のデータが示す明るい兆しとして、セキュリティ投資が確かな成果を生んでいることが挙げられます。暗号化率の低下、復旧期間の短縮、身代金支払い率の減少は、業務レジリエンス向上の進展を示しています。

一方で、データセキュリティとコンプライアンスへの対応にはさらなる注力が必要です。高いデータ流出率、サプライチェーン可視性ギャップ、組織的弱点の継続は、業務復旧だけでは解決できないリスクを生み続けています。

製造業リーダーにとって、この調査は警鐘であると同時に行動指針でもあります。ランサムウェア攻撃は単なる業務妨害ではなく、法的義務、規制監督、長期的な評判リスクを伴うデータ侵害です。データ中心のセキュリティ、コンプライアンスを意識したインシデント対応、サプライチェーンリスク管理に投資する組織こそが、業務とデータ保護の両義務を果たすことができます。

こうした投資コストは、身代金支払いと復旧費用を合わせた平均230万ドル、さらに規制制裁金・顧客喪失・評判ダメージという定量化できない損失と比較すれば、ビジネス上の意義は明白です。データセキュリティとコンプライアンスは、もはや製造業にとって副次的な課題ではありません。業務レジリエンスと企業存続の中核です。