目次
ランサムウェアとは何か?
ランサムウェアは、ファイルを暗号化したり、ユーザーをシステムからロックして、アクセスを回復するために身代金の支払いを要求する悪意のあるソフトウェアの一種です。ランサムウェアは、個人と組織の両方を標的としており、多くの場合、業務上および財務上の重大な損害をもたらします。
ランサムウェアがシステムに感染すると、通常、強力な暗号化アルゴリズムを使ってファイルの暗号化を開始する。その後、被害者は、通常暗号通貨で身代金を支払い、復号化キーを入手する方法を説明するメッセージを受け取ります。また、身代金を支払わなければ盗んだデータを流出させると脅す亜種もある。
ランサムウェアは、フィッシングメール、悪意のある添付ファイル、侵害されたウェブサイト、または公開されたシステムの脆弱性を介して拡散します。最近のランサムウェアは、ネットワークプロパゲーションなどの機能を備えていることが多く、接続されたデバイス全体に素早く拡散することができます。
これは、情報セキュリティに関する一連の記事の一部です。
2025年におけるランサムウェアの主要統計
ランサムウェアによる攻撃は2025年、その量と複雑さの両面でエスカレートし続けた:
- 活発な保険プロバイダーであるCoalition社は、ランサムウェアによる保険金請求の平均が68%増の353,000ドルに達したと指摘した。
- Cybleによると、米国で報告されたランサムウェアインシデントの数は、2025年の最初の5週間で前年比149%増加し、2024年の同時期の152件と比較して378件に上った。
- BlackFogal社は、2025年1月だけで92件のインシデントが公表され、前年比22%増であったこと、また、この期間に32の異なるランサムウェアグループが活動していたことを確認しました。
- Verizonの「2024 Data Breach Investigations Report」によると、92%の業界がランサムウェアを主要な脅威と認識している。
- ソフォスの調べによると、2024年には59%の組織がランサムウェア攻撃を経験している。
- Chainalysis社によると、ランサムウェアによる支払額は2024年には8億1355万ドルに達する。
- ソフォスの報告によると、身代金の平均支払額は2023年の40万ドルから2024年には200万ドルに急増した。
新たな戦術と脆弱性
攻撃者はまた、より攻撃的な手口を使うようになっている。データが暗号化され、流出し、そして公衆への暴露を脅すために使用されるという三重の恐喝方法が、Vice Societyのような脅威グループによってますます採用されるようになっています。Progress SoftwareのMoveIt Transferや、SolarWindsとKaseyaの流出事件で知られるように、サプライチェーン攻撃は個人の侵害の範囲を広げています。
最後に、フィッシングは依然として主要な侵入経路である。ジェネレイティブAIの台頭により、攻撃者は説得力のあるフィッシング詐欺の手口を容易に作れるようになり、初回アクセスの成功件数の増加に寄与している。サービスとしてのランサムウェア(RaaS)も参入障壁を下げ、より多くの攻撃者が構築済みのツールキットやインフラを使用して参加できるようになった。
ランサムウェア攻撃の現状
最近のランサムウェア攻撃は執拗で、業界を問わず広範囲に影響を及ぼしている。脅威の主体は、大規模なサービスの中断、データ漏洩、業務停止を引き起こした。ここでは、主なインシデントとその被害を紹介する:
RansomHub攻撃:
- メットライフのラテンアメリカ部門に侵入、1TBのデータ流出を主張。
- アメリカン・スタンダードを標的に、400GBの企業データ盗難の疑い。
- HitCommunity Health Northwest Floridaは、患者サービスを妨害し、68GBの機密データを盗んだ。
- ミュージシャンズ・インスティテュートに侵入し、請求書や個人文書を含む1TBのデータを盗んだと主張。
ヘルスケア部門が打撃:
- リッチモンド大学医療センター:攻撃により67万人以上が影響を受け、大規模なサービス停止が続いた。
- サンフラワー・メディカル・グループRhysidaはID、保険証、データベースを含む3TBのデータを主張。
- エクセルシオール整形外科:Montiランサムウェア集団が35万7000人のデータを漏洩。
- ベイマークヘルスサービスRansomHubは、盗まれた1.5TBの患者とスタッフのデータを主張。
- エル・クルス病院:メデューサが760GBの医療データを盗み、ビットコインで20万ドルを要求。
教育セクターの混乱:
- パワースクール6,505の学区で大規模な情報漏えいが発生。攻撃者は6,200万人以上の生徒と950万人の教師のデータを要求。
- アディソン北西学区:サーバーがオフラインに。
- リバーデール・カントリー・スクールRansomHubは5日間の身代金期限付きで42GBのデータ盗難を主張。
- サウスポートランドの公立学校攻撃によりネットワークが遮断され、業務に影響。
政府および自治体の目標:
- スロバキアの土地登記局:ランサムウェアが重要な公共サービスを麻痺させた。
- モントリオール北区身代金100万ドルを支払わなければ、盗まれた政府ファイルを競売にかけると脅迫。
- 南アフリカ気象局:RansomHubは複数日にわたってシステム停止を引き起こした。
- ウェストヘイブン市麒麟が侵害を主張、市のシステムはシャットダウンされ、部分的に復旧した。
大企業の情報漏洩
- スターク・エアロスペースINCグループは、UAVの設計ファイルを含む4TBの軍事およびエンジニアリングデータを盗んだと主張。
- DEphoto(英国):Omid16Bが顧客の写真、クレジットカードデータ、555,000件以上の個人情報を流出。
- Peikko Group(フィンランド):Akiraは30GBの内部文書、人事記録、財務データを要求。
- Mission Bank(カリフォルニア州):RansomHubは2.7TBの従業員と顧客の財務データが盗まれたと主張。
その他の目立った事件
- City Bank PLC(バングラデシュ):Funksec がセッションの欠陥を悪用し、顧客の財務諸表にアクセス。
- テレフォニカ(スペイン):HellcatがJiraシステムに侵入し、50万件の社内記録と従業員データを窃取。
- エイブリー・プロダクツ・コーポレーション漏洩により6万人以上が影響を受け、クレジットカードや個人情報が盗まれた。
- トーマス・クック・インディアランサムウェア攻撃でITシステムに障害、調査中。
私の経験では、2025年のランサムウェアの脅威の状況を先取りするのに役立つヒントは以下の通りだ:
- ネットワークのみの制御ではなく、アイデンティティ・ファーストのセグメンテーションを使用する:基本的なネットワーク・セグメンテーションにとどまらず、ユーザーのアイデンティティと役割に基づいてセグメンテーションを行います。SharePointやクラウドドライブのようなアイデンティティにリンクしたサービスにランサムウェアが侵入した場合、(アイデンティティ、リスク、行動に基づいて)コンテキストに基づいたアクセス強制を行うことで、より確実に封じ込めることができます。
- ベアメタルの迅速なリカバリーのためのプリステージ・ゴールドイメージ:ランサムウェアがインフラを襲った場合、クリーンアップよりも完全な再インストールの方が早い場合があります。ハイパーバイザーや管理コンソールを含むすべての重要なシステムに対して、ベアメタルでの迅速な再デプロイメントのために、ハード化され、署名されたベースイメージを維持する。
- 漏洩検知のために、遠隔測定でカナリア文書を使用する:財務スプレッドシートや人事ファイルのような偽のドキュメントを主要な共有に播種する。ID、行動、アクセスタイミングを関連付ける組み込みビーコンまたは行動型SIEMイベントトリガーを使用して、アクセスと流出の試みを監視します。これにより、エンドポイント上の問題しか発見できない可能性があるXDRプラットフォームに依存することなく、限定的な修復機能で攻撃者の偵察の早期指標を提供します。
- シャドーITやSaaSの利用状況を監視し、流出経路を探る:攻撃者はデータ流出に MEGA や Dropbox などのクラウドストレージアカウントを使用することが増えています。CASBツールやセキュア・ウェブ・ゲートウェイを使用してアプリを検出し、そのテレメトリをSIEMでユーザー行動、リスク・コンテキスト、アイデンティティ属性と関連付ける。これにより、拡張された検知プラットフォームを必要とすることなく、より早い検知と対応が可能になります。
- 成功率だけでなく、バックアップシステムのテレメトリーの異常を追跡する:バックアップ・ジョブ・サイズの突然の急増、バックアップ・ログの欠落、バックアップ・ウィンドウの遅延を監視する。これらの挙動は、暗号化前の段階的な活動や横方向の動きを示している可能性があります。SIEMの行動分析を使って、これらのシグナルをIDアクセスや環境全体のタイムラインの異常と相関させ、より迅速な検出と封じ込めを行います。
2025年、ランサムウェアからいかに身を守るか
組織がランサムウェア攻撃から身を守るための主な方法をいくつか紹介しよう。
1.ゼロ・トラスト・アーキテクチャの導入
ゼロ・トラスト・モデルは、発信元に関係なく、すべてのリクエストを潜在的に敵対的なものとして扱う。そのためには、厳格な本人確認、デバイスの検証、コンテキストを考慮したアクセス・ポリシーが必要となる。IDは、理想的にはFIDO2やハードウェアトークンのようなフィッシングに耐性のある方法で、多要素認証(MFA)によって検証されなければならない。
デバイスは、アクセスを許可する前に、エンドポイント保護の状態、OS のパッチレベル、場所などのコンプライアンスをチェックする必要があります。ネットワーク・セグメンテーションを使用してワークロードを分離し、Software-Defined Perimeters を使用してポリシー・ベースのアクセスを強制する。継続的な監視が重要である。セッションの動作をリアルタイムで分析し、異常が検出された場合はアクセスを取り消す。
2.徹底したバックアップ戦略の維持
効果的なバックアップには、定期的なスナップショット以上のものが必要です。改ざんを防ぐため、バックアップを保存時および転送時に暗号化し、物理的および論理的に隔離された場所に保存する。バックアップの種類を多様化する:フルバックアップ、差分バックアップ、増分バックアップを使用し、リカバリ速度とストレージ効率を最適化する。
ファイルの完全性、ハッシュの一貫性、リストアの実行可能性をチェックする自動バックアップ検証ルーチンを実装する。オペレーティングシステム、データベース、仮想環境にわたる完全なリストアシナリオを文書化し、リハーサルを行う。また、バックアップ・システム自体が強化され、ランサムウェアの攻撃者が標的とする標準的な企業ネットワークやADドメインからアクセスできないようにする。
3.高度な脅威検知ツールを導入する。
ランサムウェアの攻撃者は動きが速く、多くの場合、最初のアクセスから数時間以内にシステムを暗号化する。これに対抗するには、エンドポイント、ネットワーク、クラウドのアクティビティを詳細に可視化するツールを使用します。
行動分析機能を備えたSIEMプラットフォームは、迅速なファイル名の変更、大量のファイルアクセス、予期せぬ権限の昇格などの行動にフラグを立てるために使用されるべきである。
欺瞞技術(ハニーポットやおとりファイル)を使用して、横方向の動きを検出する。行動ベースのSIEMツールは、コマンド&コントロール(C2)トラフィック、異常なデータ転送、横方向のSMBスキャンの兆候を監視する。SIEMをSOARプラットフォームと統合し、アカウントの無効化、IPのブロック、マシンの隔離などの自動封じ込めを可能にする。
詳しくは脅威ハンティング
4.包括的なパッチ管理の確保
脅威インテリジェンス、CVSSスコア、およびエクスプロイトの可用性に基づいて、パッチの優先順位を決定する。環境内のすべてのハードウェア、ソフトウェア、ファームウェアのインベントリをリアルタイムで維持する。サンドボックス環境でのテスト、パイロットグループでの展開、本番環境への展開というように、段階的にパッチを適用する。
悪用されるリスクの高いCVEについては、パッチサイクルを早め、必要に応じてアウトオブバンドの修正を適用する。パッチを適用できないレガシーシステムは、VLAN、ファイアウォールルール、アクセスプロキシを使用して隔離する。Ansible、SCCM、Chef などの構成管理ツールを使用して、ベースラインのセキュリティ設定を実施し、監査する。パッチ導入の失敗を追跡し、ロールバック計画を実施して、システムを無防備な状態にすることなく不安定性に対処する。
5.電子メールと通信のセキュリティ強化
フィッシングは依然としてランサムウェアの主要な感染経路です。AI/MLフィルタリング、サンドボックス、脅威インテリジェンスを統合したセキュアなメールゲートウェイを使用する。URL書き換えとクリックタイム保護を適用し、悪意のあるリンクへのアクセスを遅延させる。ユーザーレベルでの脅威検知を導入し、フィッシング・コンテンツとのやり取りを監視し、それに応じてトレーニングを適応させる。
外部転送を制限し、メールの暗号化を有効にし、オフィス文書のマクロをデフォルトで無効にする。TeamsやSlackのようなコミュニケーション・プラットフォームも監視する必要があります。インシデント報告手順について従業員を教育し、早期発見には報酬を与えることで、強力な報告文化を構築する。
6.インシデント対応計画の策定とテスト
ランサムウェアに特化したインシデント対応プレイブックを作成する。このプレイブックには、エンドポイントの暗号化、流出、バックアップの侵害など、一般的なシナリオの詳細な実行手順が含まれている。連絡先ツリー、法的通知スケジュール、暗号通貨による支払い決定プロトコル(ポリシーで許可されている場合)を含める。プライマリ・システムにアクセスできない場合に備え、ハードコピーやオフライン・バージョンを保管する。
IT、法務、コンプライアンス、経営陣が参加する四半期ごとのインシデント・シミュレーションを実施し、リアルタイムのプレッシャーの下で計画をテストする。各テストの結果を記録し、レビューすることで、遅延、混乱、手順の欠落を特定する。サイバー保険会社と連携し、対応プロセスを保険契約要件と整合させ、フォレンジックと封じ込めの手順が承認されていることを確認する。
7.脅威インテリジェンス共有に参加する。
プロアクティブな防御には、敵の最新の戦術にアクセスする必要がある。商用フィード(Mandiant、Recorded Futureなど)、政府勧告(CISA、ENISAなど)、オープンソースプロジェクト(Abuse.ch、MalwareBazaarなど)など、脅威インテリジェンスの複数のソースを購読する。STIEMプラットフォームに統合するために、STIX/TAXIIプロトコルを使用してデータを正規化し、相関させる。
TTP と IOC を使用して、環境内の脅威を探索する。FS-ISAC、H-ISAC、InfraGardのようなセクター別のフォーラムに参加し、同様の脅威に直面している仲間と知見を交換する。可能であれば、匿名化されたインシデントデータを共有する。これは、より広範なエコシステムの準備に役立ち、ベンダーやパートナーからの迅速な緩和策のアドバイスにつながる可能性がある。
ランサムウェア対策Exabeam
Exabeamは、環境全体のユーザーとエンティティの行動を分析することで、ランサムウェアの早期検知と迅速な対応を可能にします。静的な指標や事前に定義されたルールに依存するのではなく、 、高度な分析を適用して攻撃の初期段階を知らせる異常を検出します。これには、異常な権限の変更、横方向の移動、バックアップシステムへの不審なアクセス、異常なファイルアクティビティなどが含まれます。Exabeam
このプラットフォームは、関連するイベントを関連付けるタイムラインを自動的に構築するため、アナリストは手作業で相関関係を調べることなく、インシデントの完全な状況を把握することができます。セキュリティチームは、攻撃がどのように展開したかを迅速に把握し、情報に基づいた行動を取ることができます。
Exabeamは、EDR、CASB、アイデンティティ・システム、バックアップ・インフラストラクチャを含む既存のツールと統合します。そして、そのデータを行動インサイトによって強化し、SIEMのプレイブックを通じて対応を自動化します。このアプローチにより、企業はベンダー固有のXDRプラットフォームを採用することなくランサムウェアを阻止することができ、柔軟性と制御を実現しながら、検出範囲と応答時間を改善することができます。
最終的には、Exabeam New-Scaleプラットフォームを使用することで、アラートが最大60%削減され、調査時間が最大80%短縮され、ランサムウェア攻撃などのインシデントへの対応能力が他のソリューションよりも50%高速化されたことが報告されています。自動化された脅威のタイムラインと行動分析が即座にコンテキストを提供するため、手作業が削減され、重要なインシデントがより効率的に顕在化します。シームレスな統合、事前構築された検出機能、直感的なワークフローにより、Exabeam、企業はセキュリティ成果の向上、運用コストの削減、脅威への1時間以内の対応が可能になります。
その他の情報セキュリティ
