日本は今や世界最大のランサムウェア標的──ジョーシス松本社長が警鐘、日経225の96％で認証情報漏洩を確認

　ジョーシスは2026年6月11日、「サイバーセキュリティに関する戦略発表会」を開催し、代表取締役社長の松本恭攝氏が日本企業を取り巻く脅威の実態と独自調査の結果を公表した。日経225構成企業の96％で何らかの認証情報漏洩が確認されたことを示したうえで、ランサムウェア攻撃から企業を守る国内初の3機能を発表した。

　日本が世界で最も狙われているという事実から、松本氏は話を始めた。IBMが2024年に公表したサイバーセキュリティ調査レポートによれば、世界で報告されたサイバー攻撃被害件数の22.4％が日本に集中しており、アメリカの20.6％を上回って世界1位となっている。「LLMの進化によって言語の壁がなくなり、日本語が障壁でなくなった。セキュリティに投資していても、専門家が不足していて使いこなせていない。身代金を払う傾向もある」と、複合的な要因を挙げた。

　日本のセキュリティ人材の深刻さを松本氏は数字で示した。人手不足で中小企業の倒産が続く今日、一般職種の求人倍率は1.18倍程度だが、セキュリティ人材は43倍に達している。「ほぼ幻のような存在」と表現した松本氏は、どれだけ製品を導入しても使いこなす人材がいなければ意味をなさないという構造的な問題を指摘した。

　脅威の進化についても松本氏は体系的に整理した。1990年代のワームは愉快犯的な動機から始まり、2000年代にはトロイの木馬による端末乗っ取りへ、2010年代には特定組織を狙う標的型攻撃へと変化した。そして2010年代後半から現在の主流となったランサムウェアは、これらすべての攻撃パターンを複合的に駆使し、社内ネットワークに侵入してデータを暗号化し、事業活動を人質に身代金を要求する手口だという。「サイバー攻撃は今やビジネスになった」と松本氏は述べた。

　現在の攻撃の特徴として松本氏が強調したのは、「正面から鍵を開けて入ってくる」という点だ。「インフォスティーラー」と呼ばれるマルウェアに端末が感染すると、クッキー情報や保存されたパスワードなど認証情報がすべてオンライン上に送信される。その情報は1件あたり2〜100ドル程度でダークウェブ上で売買されており、攻撃者は購入した認証情報を使って正規ユーザーとしてシステムに侵入する。脆弱性を突くのではなく、正規の鍵を買って堂々と入り込む構造だ。

　2025年に相次いだ国内大企業の被害は、この手口の深刻さを証明した。松本氏によれば、アサヒグループホールディングスは同年9月末にランサムウェア攻撃を受け、6ヵ月間の出荷制限が発生、2週間で時価総額が約2,000億円消失した。アスクルは10月の攻撃で2ヵ月間の出荷停止、4ヵ月間の出荷制約を余儀なくされ、今期の営業利益に昨年比で約350億円の影響が出たという。アスクルの事例を詳細に分析した松本氏は、「2025年6月15日に業務システムに侵入されたが、その時点では誰も気づかなかった。その後4ヵ月かけて社内に横展開し、10月19日に物流・基幹システムをバックアップデータごと凍結した」と侵害の経緯を説明した。侵入口となったのは、多要素認証（MFA）が設定されていない業務委託先のアカウントだったという。

　こうした事態を受け、ジョーシスが独自調査として実施したのが日経225構成企業の認証情報漏洩実態調査だ。225社を対象にダークウェブ上での情報流通状況を分析したところ、217社（96％）で何らかの漏洩が確認された。重要なアプリケーション（Google、Microsoft等の基盤システムやセキュリティソフトウェア）の認証情報が漏洩していた企業は168社（75％）に上り、従業員ベースでは約3人に1人（2.9％）の認証情報が流出していることがわかった。「ほぼすべての会社が初めて知ったという状況だった」と松本氏は語った。

　業種別にも顕著な差があった。銀行（0.5％程度）、自動車（1.1％）、運輸（1.2％）は相対的に低い水準にとどまった一方、医薬品は5％超、建設は6.5％、食品（アサヒグループホールディングスを含む）は7％前後と高い数値を示した。通信業界でも高い漏洩率が確認されており、「こういった企業は地政学的にも狙われている可能性があるのではないか」と松本氏は述べた。

　なぜこれほど認証情報が漏洩しても企業が気づかないのか。松本氏は構造的な問題として3点を指摘した。「見えない」問題として、情報システム部門はすべてのSaaSを把握できておらず、営業部門が管理するSalesforce、開発部門が管理するGitHubなど部門ごとにアプリケーションと予算が分断されていることを挙げた。「追いつかない」問題として、セキュリティチームが1日に処理するアラートは1,000件を超えており、対応時間の大半が誤検知であることを示した。そして「気づかない」問題として、前述の独自調査の通り、75％の企業が重要な認証情報を漏洩させていても認識できていない現状を挙げた。

　こうした背景から、経済産業省の「SCS評価制度」（サプライチェーン強化に向けたセキュリティ対策評価制度）でも認証情報管理に関する項目が約7割を占め、高市政権が掲げる成長戦略の17分野のうちサイバーセキュリティが3番目に位置づけられるなど、国全体での問題意識も高まっていると松本氏は指摘した。「アイデンティティセキュリティを手動で担保することはすでに限界を超えている」という認識が、今回の発表につながっているという。

　こうした危機感を背景に同社が発表したのが、アイデンティティセキュリティ基盤「Josys」の3機能拡充だ。「漏洩した認証情報検知」は、ダークウェブを24時間365日監視し、漏洩した認証情報を即時に検知してユーザーに紐付け、対象者が利用するすべてのアプリケーションへのアクセスを一括遮断する。「AIエージェント検知・管理」は、社内で稼働するAIエージェントを自動発見し、オーナー情報・アクセス権限・ライフサイクルを一元管理する。

　現時点ではMicrosoft CopilotおよびClaude（Anthropic）との連携を発表しており、今後OpenAIのCodexへの対応も予定する。3機能の核となる「AIによるポリシーの自動実行」について、松本氏は同社の解決方法を「ポリシーが何をどこまで守るかを定義し、AIがそのルールにしたがって自律的に判断・実行し続けること」と位置づけた。人材不足で手動管理が限界に達したアイデンティティを、24時間365日ポリシーの遵守状況を検知し、変化を捉えて是正アクションを取る仕組みで守るという考え方だ。

　同機能は、12カテゴリー・60のプリセットポリシーと350以上のアプリケーション連携を組み合わせ、特権管理やMFA（多要素認証）未設定、シャドーIT、未利用アカウント、AIエージェントのファイルアクセスなど多様なリスクを横断的にカバーする。たとえば業務委託先への不適切な特権付与を検知して自動解除する、管理者アカウントのMFA未設定を強制有効化する、一定期間未使用の特権権限を剥奪するといった運用を、部門ごとに分断されたSaaS全体に同一基準で適用できる。AIが常時ポリシーを監視し、違反を数秒で検知・数分以内に修正する。業界平均で241日かかるインシデント対応を数分に短縮できるとした。

　先行導入した63社のデータによれば、何らかのポリシーが設定できていた企業はわずか9％で、年1回の棚卸しすら実施していない企業が67％を占めた。退職者アカウントが削除されていない企業は全体の3分の2に及んでいたという。

　料金体系についても変更を発表した。これまでのユーザー数ベースの固定ライセンスから、AIが実際に管理・修正した件数に応じた従量課金との組み合わせに移行する。「使われていない機能への課金がない」アウトカムベースのモデルへの転換と位置づけている。

　同社は3年以内に日経225構成企業の50％以上への導入を目標として掲げた。既存の1,000社以上の導入企業には順次提供を開始するとともに、専任チームによる新規導入の受付も始めた。