ランサムウェアの犯人はどこの国？日本企業が狙われる3つの理由

ランサムウェアの犯人は「どこの国」に多いのか？

米国CISAや日本の公安調査庁などの公的レポートによると、サイバー脅威の拠点となっている主要な国や地域、目的は明確に分かれています。

ロシアおよび旧ソ連圏：サイバー犯罪の最大温床

世界のランサムウェア被害の大部分は、ロシアや旧ソ連圏を拠点とするサイバー犯罪グループによるものとされています。

• サイバー犯罪のビジネス化： 高度なITスキルを持つハッカーが集結し、完全な分業制による闇ビジネスを形成
• 純粋なマネーゲーム： 国家の思想とは無関係に、犯罪組織の金銭的な利益を目的とした攻撃

北朝鮮：国家主導による「外貨獲得」を目的とした攻撃

北朝鮮を拠点とするハッカー集団は、個人犯罪者ではなく「国家の強力な支援」を受けて活動しています。

• 国家の資金源確保： 国家の軍事資金等を得るための「外貨獲得」が最大の目的
• 暗号資産への執着： ランサムウェアによる身代金要求に加え、仮想通貨取引所への直接攻撃も積極的に実施

中国・イラン：機密情報の窃取とインフラ破壊を狙う国家支援型ハッカー

中国やイランを拠点とする国家支援型ハッカー集団も、侵入時にランサムウェアを用いることがあります。 ただし、真の目的は機密情報の搾取やインフラ破壊であり、ランサム被害に見せかけて、本来のスパイ活動を隠蔽する偽装工作を行います。

実行犯は各国に分散し、国籍と拠点が一致しないケースも多い

昨今、攻撃の仕組みがパッケージ化されているため、ロシア製のランサムウェアを使って東南アジアや南米の実行犯が攻撃するなど、ツールの開発国と実行犯の国籍が一致するわけではない点に注意が必要です。

天才ハッカーの単独犯ではない？組織化された犯人の正体「RaaS」

開発者・侵入請負人・実行犯に分かれた「完全な分業ビジネス」

現在のランサムウェア攻撃は、単独犯ではなく、高度に組織化されたビジネスモデルによって成立しています。

• 開発者： ウイルス本体や身代金決済システムを開発し、インフラを提供
• 侵入請負人： 企業のVPN等の隙を突いてネットワークに侵入し、その「アクセス権」を販売
• 実行犯： アクセス権を買い取り、実際に企業内でデータを暗号化して身代金を要求

ダークウェブで売買される「サービスとしてのランサムウェア」

この仕組みは「RaaS（Ransomware as a Service）」と呼ばれ、クラウドサービスのようにダークウェブ上で販売されています。これにより、高度な技術を持たない犯罪者でも、ツールを買うだけで簡単に大規模なサイバー攻撃を仕掛けることが可能になりました。

サポート窓口や交渉人まで存在する組織構造

RaaSの運営組織には、被害者からの身代金支払いを円滑に進めるための「ヘルプデスク（チャットサポート）」や、支払額を交渉する「専門要員」まで存在し、完全に“犯罪の顧客対応”が確立されています

関連記事：【ランサムウェアとは】企業の事業継続を脅かす脅威｜最新手口、感染経路、必須対策、復旧までを徹底解説

身代金を奪っているのに、なぜ犯人は逮捕されにくいのか？

実際に巨額の身代金が奪われているにもかかわらず、犯人の逮捕が難しいのには明確な理由があります。

犯罪者を庇護する「安全地帯（セーフヘイブン）」の存在

最大の理由は、ロシア等一部の国々が「自国や友好国を標的にしない限り、サイバー犯罪を黙認している」という事実です。身元が判明しても、現地警察が動かないため逮捕に至りません。

「匿名暗号資産（仮想通貨）」とマネーロンダリング

身代金の支払いは追跡が困難な暗号資産（仮想通貨）で行われます。さらに、複数の口座を複雑に経由させるマネーロンダリング技術により、最終的に誰が資金を受け取ったのかを特定するのが極めて困難です。

ネットワークインフラの分散化とダークウェブの悪用

犯人グループは世界中にサーバーを分散させ、通信元を秘匿するダークウェブ技術を利用しています。1拠点が摘発されても、すぐに別の場所で活動を再開できます。

国をまたぐ捜査に時間がかかり、即時摘発が困難

サイバー犯罪において、被害国、経由国、発信国が異なるケースがほとんどで、各国の警察機関が連携して証拠を集めるには法的・外交的な制約も多く、即時摘発を阻む大きな要因となっています。

海外の犯罪者から「日本の企業」が標的にされる4つの理由

遠く離れた海外のハッカーから、なぜ日本の企業が執拗に狙われるのでしょうか。そこには日本特有の「隙」があります。

理由①：資金力があるにもかかわらず、セキュリティ投資が遅れている

日本企業は高い資金力を持っていますが、欧米企業と比較して、ITセキュリティへの投資や専門人材の確保が遅れている組織が多いです。そのため、犯罪者から「お金を持っているのにガードが甘い」と、絶好のターゲットと見なされています。

理由②：子会社やサプライチェーンという弱点の露出

本社のセキュリティが堅牢でも、管理の目が行き届きにくい子会社や、セキュリティ対策が手薄な取引先（サプライチェーン）が侵入口として狙われます。そこを踏み台にして、最終的に本社のネットワークへと侵入されてしまいます。

理由③：生成AIによる自然な日本語のフィッシング詐欺

かつては「不自然な日本語」だったフィッシング詐欺メールも、生成AIの普及により、自然な日本語を簡単に作成できるようになりました。これにより、海外の犯罪グループであっても、日本のビジネス習慣に合わせた文面を大量に生成できるようになり、従業員が不正リンクや添付ファイルを開いてしまうリスクが飛躍的に高まっています。

理由④：「身代金を払いやすい」と誤解されている国民性・商習慣

「事業停止による顧客への迷惑を避けたい」「トラブルを内密に解決しようとする」といった日本の企業像が分析されており、脅迫すれば身代金を払いやすい土壌があると思われています。

見えない国際犯罪組織から自社を守るための「3つの根本対策」

相手の顔も国籍も見えない以上、特定の組織への対策ではなく「誰が来ても守り切れる体制」を作ることが不可欠です。

対策①：「侵入される前提」で構築するゼロトラスト環境

VPNのパッチ未適用やパスワードの漏えいなど、最初の侵入を100%防ぐことは不可能です。「誰も/何も信頼しない（Never Trust, Always Verify）」というゼロトラストの前提に立ち、システム内部での防衛網を構築します。

• EDRの導入： 不審な挙動を常時監視し、被害が広がる前に自動で隔離する仕組みの構築
• MFA（多要素認証）の徹底： パスワード漏えいによる不正ログインを防ぐ強固な認証の必須化
• アクセス権限の最小化： 万が一侵入されても、被害範囲を最小限に抑えるための厳格な権限管理

対策②：「イミュータブルバックアップ」の確保

ランサムウェアはシステム本体だけでなく、バックアップデータも標的にしてくるため、攻撃者の手が物理的・論理的に届かない安全な保管環境を確保することが、事業復旧の最大の命綱となります。

• イミュータブルバックアップの確保： 管理者権限であってもデータの変更・削除が不可能な状態での保存
• オフライン保管： 感染した社内ネットワークから完全に切り離された隔離環境へのデータ退避
• 定期的な復旧テストの実施： 有事の際にデータが確実に復元できるかを確かめる実践的な訓練

対策③：警察機関との連携と脅威情報の収集

高度に組織化された国際的なサイバー犯罪集団に対して、自社単独で戦うことは困難です。有事のパニックを防ぐためには、平時から外部機関と連携して、迅速に初動対応ができる体制を整えておくことが重要です。

• 脅威情報の収集： 警察（サイバー犯罪対策課）やIPAからの、最新の手口や動向の継続的な情報収集
• 通報・相談ルートの確立： 万が一の被害発生時に備えた、外部の専門機関へ連絡できる窓口の確保
• 社内エスカレーションフローの明確化： インシデント発生時に「誰が・どこへ連絡し判断を仰ぐか」という社内手順の整備

関連記事：【ランサムウェア対策】3ステップで学ぶ予防・検知・復旧｜企業が今すぐ始めるべき実践ガイド

まとめ：身代金を払わずに復旧できる体制を構築しよう

ランサムウェア攻撃は、国境を越えて分業化された「国際的なサイバー犯罪ビジネス」であり、次々と新たなグループが台頭する、終わりのないサイクルが続いています。しかし、「犯人はどこの国か」を気にしても自社の被害は防げません。攻撃者が誰であれ、彼らが狙ってくるのは自社の無防備な入り口です。唯一の防御は「検知・封じ込め・確実な復旧」を備えた体制づくりであり、「侵入される前提」で自社の弱点を塞いでいくことが、事業と信頼を守り抜く最大の鍵となります。