はじめに

ランサム攻撃は依然として組織にとって最も重大なサイバー脅威であり、2025年のIPA「情報セキュリティ10大脅威」でも最上位に位置付けられています。 本稿では、ランサム攻撃の仕組みと最新動向を整理し、RaaSモデルや多重脅迫といった新しい手口を解説します。また、国内外の代表的な被害事例を通じて、攻撃の影響と対策のポイントを示します。以前の記事では同じ内容が繰り返されている箇所がありましたが、本稿では重複を避け、新たな観点から情報をまとめ直しました。

ランサム攻撃の構造

ランサム攻撃は、大きく初期侵入、横移動と権限昇格、暗号化・恐喝の三段階に分けられます。攻撃者は標的型メールや脆弱性を狙った侵入によりネットワークに足掛かりを得ます。侵入後は、社内アカウントの不正取得や管理ツールの悪用によって権限を拡大し、重要サーバにアクセスします。最後にファイルやシステムを暗号化し、復号の鍵と引き換えに身代金を要求します。この間に機密情報のコピーを行い、支払いを拒否すれば情報公開やDDoS攻撃を行うと脅迫する「二重・三重脅迫」も増加しています

近年の特徴として、攻撃者が暗号化せずに情報を窃取して脅迫する「ノーウェアランサム」や、攻撃ツールやインフラを提供する「ランサムウェア・アズ・ア・サービス(RaaS)」が挙げられます。RaaSでは、開発者が攻撃用マルウェアをサブスクリプション形式で提供し、利用者が標的選定や攻撃実行を担います。成功報酬の分配により、技術力の低い攻撃者でも高度な攻撃を行えるようになり、被害が急増しました。

被害事例の分析

国内の主な事例

2024年には出版大手KADOKAWAがランサム攻撃を受け、電子書籍配信サービスが長期間停止しました。 攻撃者はVPN機器の設定不備から侵入したとされ、システム復旧と顧客対応に多大なコストがかかりました。別の事例では医療機関が攻撃を受け、電子カルテが暗号化されて診療が停止し、患者の搬送先確保が必要となりました。政府機関や教育機関でも、研究データや住民情報が暗号化され、復旧までに数週間を要しています。これらのケースから、ランサム攻撃は情報漏えいだけでなく社会インフラの停止を招くことがわかります。

海外の主な事例

海外では、米国のパイプライン運営会社が攻撃を受け、一部地域のガソリン供給が停止した事件が有名です。食品加工大手JBSがサプライチェーン攻撃と絡めてランサム攻撃を受け、世界的に肉の供給に影響が出ました。欧州では自治体や大学が攻撃を受け、住民サービスが停止した例もあります。これらのケースでは、多要素認証の欠如や旧式システムの脆弱性が入口となっており、RaaSグループ「Conti」や「REvil」などが関与していたとされています。被害額は直接の身代金だけでなく、事業停止による損失や調査費用、法規制対応のコストも含め数十億円規模になることが多いです。

ランサム攻撃の動向

暗号アルゴリズムの高度化

攻撃者は暗号化の強度を高め、復号困難なアルゴリズムやソフトウェアの使用を増やしています。AESやRSAといった標準的な暗号方式の他に、鍵交換プロトコルを工夫してファイルごとに鍵を変える手法が採用されており、専門家でも復号が困難です。また、感染端末に応じて暗号化せずに情報だけを奪うモジュールを自動的に選択するなど、攻撃ツールの機能は高度に統合されています。

決済手段と暗号資産

身代金の支払いには主にビットコインやモネロなどの暗号資産が用いられます。攻撃者は資金洗浄を進化させており、匿名化ミキサーサービスを利用して追跡を難しくしています。近年は被害者の身元確認が厳格化されている取引所への送金を避け、DeFiサービスや匿名性の高い通貨を活用する事例が増えています。法執行機関もブロックチェーン分析ツールで追跡に成功した例がありますが、技術的・国際的な協力が不可欠です。

法的対応と保険

一部の国ではランサム支払いを違法化する議論が進んでいます。日本では現時点で明確な禁止規定はありませんが、個人情報保護法に基づき、漏えいや不正アクセスがあった場合には報告義務があります。サイバー保険では、身代金支払いを補償する商品もありますが、支払うかどうかの判断や保険加入条件が課題です。支払いが攻撃者を利する可能性が高いため、警察や専門機関は身代金を支払わない方針を推奨しています

対策と備え

技術的対策

初期侵入を防ぐためのメールフィルタリング、アンチウイルス、ファイアウォールの強化は基本です。VPN機器や公開サーバの脆弱性を早期に修正し、多要素認証を導入することで侵入リスクを減らせます。ネットワークはセグメントごとに分割し、権限を細分化することで横移動を防止します。また、Endpoint Detection and Response(EDR)やSecurity Information and Event Management(SIEM)を導入し、異常なプロセスや挙動を早期に検知する仕組みを構築します。

組織的対策

ランサム攻撃の影響を最小化するには、インシデントレスポンス計画と復旧手順を整備し、定期的に演習を行うことが重要です。バックアップはオフラインおよび異なる地理的場所に保管し、定期的に復旧テストを実施します。経営者とIT部門のコミュニケーションを密にし、攻撃を受けた場合の公表方針や報告先を事前に決めておくことが求められます。従業員教育では、フィッシングメールの見分け方や不審なリンクを開かない意識付けを行い、万が一の感染時に迅速に報告する文化を醸成します。

おわりに

ランサム攻撃は日々進化しており、攻撃者は新しい侵入手法や恐喝方法を次々に生み出しています。本稿では、重複を避けつつ、基本的な攻撃構造から最新動向までを幅広く解説しました。企業や組織は、自らの状況を踏まえて脅威を分析し、技術的・組織的対策を継続的に更新していく必要があります。IPAが発信する情報や各種ガイドラインを参考に、具体的な備えを進めましょう。