はじめに

2024年度の情報セキュリティ動向を語る上で、ランサムウェアは避けて通れないテーマとなった。従来はメールに添付された実行ファイルや悪性サイトへのリンクをクリックさせ、不特定多数の端末に感染させる「ばらまき型」攻撃が主流だった。しかし近年では、攻撃者が企業ネットワークに密かに侵入し、権限昇格や横移動を繰り返して環境全体を掌握してから一斉に暗号化を行う「侵入型ランサムウェア攻撃」へとシフトしている。企業は個々のPCに侵入する単純な攻撃ではなく、組織全体を麻痺させる戦略的な攻撃に備える必要がある。本稿では、最新の脅威動向とその背景、攻撃者のビジネスモデルや手法を解説し、効果的な対策をまとめる。

1. ランサムウェア攻撃の進化

1.1 従来型から侵入型へ

ランサムウェア攻撃は「身代金(ransom)」と「ソフトウェア(software)」を組み合わせた造語であり、端末をロックしたり保存ファイルを暗号化するマルウェアを指す。従来の攻撃では、不特定多数の人が感染することを狙っており、個々のPCが使えなくなる程度の被害で済むこともあった。しかし侵入型は、侵入後にネットワーク全体を掌握し、基幹サーバーやバックアップ領域を同時に暗号化するため、企業活動全体が止まる。データセンターを狙った攻撃では、サービス停止による業務損失や取引先への影響が甚大となり、社会的信用を失う恐れも高い。この違いを理解することが、適切な対策の第一歩である。

1.2 多重恐喝とノーウェアランサム

侵入型ランサムウェア攻撃では、単にシステムやファイルを暗号化するだけでなく、暗号化前に機密データを盗み出し、二重・三重・四重の恐喝を行うケースが増えている。具体的には、

  1. 暗号化解除の身代金請求に加え
  2. 盗んだデータを暴露すると脅迫する「二重恐喝」
  3. 攻撃中にDDoS攻撃を加えて混乱を拡大させる「三重恐喝」
  4. さらに被害企業の顧客や取引先にも直接圧力をかける「四重恐喝」

が確認されている。攻撃者は、公開されたデータが顧客流出や訴訟に発展する恐怖心を利用して身代金を吊り上げる。

一方、近年は暗号化を伴わずデータ窃取のみで対価を要求する「ノーウェアランサム」という手法も増えている。暗号化によるシステム障害が起きないため被害が発覚しにくく、身代金要求を受けるまで時間がかかることもある。暗号化をしない理由として、

  1. データさえ窃取できれば攻撃は成功するため効率的
  2. 各国で身代金支払いが規制され被害組織が表立った交渉を避ける傾向があるため、秘密裏に身代金を支払う可能性が高い

と報告されている。また暗号化によって痕跡が残り逮捕リスクが高まることを嫌う攻撃者が、ノーウェアランサムを採用するケースもある。

2. 攻撃者のビジネスモデルと被害の広がり

2.1 Ransomware as a Service(RaaS)

ランサムウェアの被害が拡大している背景には、攻撃者のビジネスモデルの変化がある。ランサムウェアをサービスとして提供する「RaaS(Ransomware as a Service)」が成立し、攻撃者の組織化や分業化が進んでいることが挙げられる。RaaSでは、ランサムウェアを開発・運営するオペレーター(Operator)や認証情報を売買する初期アクセスブローカー(IAB)が、攻撃の実行者(Affiliate)にツールや攻撃方法、認証情報を提供し、実行者が標的を襲撃して身代金を得る。実行者は成功報酬の一部をオペレーターやブローカーへ支払うだけで高度な攻撃を行えるため、技術力の低い犯罪者でも容易に参加できる。この分業化によって攻撃グループが増加し、被害件数の高止まりが続いている。

2.2 被害件数と対象業種の広がり

警察庁の報告によると、2024年上期の国内ランサムウェア被害報告件数は114件、下期は108件と高水準で推移している。また、ノーウェアランサムの報告件数も14件(上期)・8件(下期)と統計開始以来継続して発生している。被害は製造業や公共機関を含む幅広い業種に及び、大企業のみならず中小企業や海外子会社にも拡大している。海外拠点やサプライチェーン経由で日本国内に侵入するケースもあり、グローバルな管理体制が求められる。外部委託先や取引先まで含めたセキュリティ対策が不可欠だ。

2.3 侵入経路の傾向

感染経路としては、VPN機器やリモートデスクトップを介した侵入が引き続き多く、2024年度に発生した被害の86%を占めている。インターネットから直接アクセス可能な機器やサービスは攻撃者の主要標的であり、脆弱なVPN装置や未パッチのリモートデスクトップサービスが狙われやすい。攻撃者は標的組織のネットワーク境界を突破した後、資格情報を盗んで横移動し、ドメイン管理者権限を取得して重要サーバーに辿り着く。この過程で、バックアップサーバーを事前に探して暗号化や削除を行い、復旧を困難にすることが多い。

3. 標的型攻撃グループによるランサムウェア利用

近年、国家や特定の目的を持つ標的型攻撃グループがランサムウェアを利用する事例が海外で確認されている。彼らがランサムウェアを使う目的は複数あると報告されている。第一に、攻撃グループの活動資金を調達する金銭目的である。ランサムウェアによって得た身代金が、他の攻撃活動や武器購入などに充てられる可能性が指摘される。第二に、標的型攻撃であることを悟られないよう、単なる金銭目的のサイバー犯罪に偽装する目的である。ランサムウェア攻撃に見せかけることで、被害者や捜査機関の捜査を混乱させ、国家関与を否認する機会を与える。第三に、暗号化により情報窃取の証跡や侵入ログを破壊する目的がある。標的型攻撃グループにとって、足跡を消すための手段としてランサムウェアが利用されるのだ。このような事例は今のところ主に海外で確認されているが、今後日本国内でも同様の手口が使われる危険があり、捜査や原因調査が困難になるおそれがある。

4. 防御と対策

ランサムウェア攻撃は依然として増加傾向にあり、攻撃の巧妙化に伴い防御の難易度も増している。しかし、基本的な対策を徹底することで被害リスクを大幅に低減できる。本節では、具体的な防御策を示す。

4.1 技術的対策

  • VPNとリモートデスクトップの強化
    • 利用しているVPN機器やリモートデスクトップサービスのファームウェアを最新に保ち、脆弱性情報の公開後は迅速にパッチを適用する。また、多要素認証(MFA)の導入や、使用しないポートを閉じるなど、外部からの攻撃面を最小限にする。
  • 侵入検知と横移動阻止
    • EDR(Endpoint Detection & Response)やNDR(Network Detection & Response)といった監視ツールを活用し、不審な挙動や権限昇格の試みを早期に検知・遮断する。攻撃者は標的内で横移動を行うため、行動を追跡できる監視体制が欠かせない。
  • バックアップとオフライン保管
    • データのバックアップは定期的に取得し、少なくとも一つはオフラインまたは分離された環境に保存する。攻撃者はバックアップを真っ先に狙うため、バックアップシステムのアクセス権限を限定し、定期的な復旧テストを実施することで有効性を確認する。
  • ネットワーク分割と最小権限設定
    • 感染拡大を防ぐため、重要資産へのアクセスは業務に必要なユーザーやシステムのみに限定する。また、サーバーや部署ごとにネットワークを分割し、一部が侵害されても全体へ影響が及びにくい構造にする。
  • 脆弱性管理とソフトウェアアップデート
    • OSやアプリケーション、ファームウェアの脆弱性管理を行い、脆弱性情報を収集して優先順位付けしながら迅速にパッチを適用する。古いソフトウェアや不要なサービスは停止または削除する。

4.2 組織的・人的対策

  • 脅威インテリジェンスの活用
    • 攻撃グループの戦術やマルウェアの傾向を収集・共有する。国内外のセキュリティ機関や同業他社との情報共有により、自組織を狙う攻撃の兆候を早期に検知できる。
  • セキュリティ教育と訓練
    • 従業員に対してフィッシングメールへの注意喚起や、不審な添付ファイル・リンクを開かないことを徹底する。実践的な訓練により、標的型攻撃を見抜く力を養う。また、IT担当者や管理職に対しても、侵害発見時の対応手順や内外への報告手順を教育する。
  • インシデント対応計画と演習
    • 侵害が発生した場合に迅速かつ適切に対応するため、インシデント対応計画を整備し、定期的にシミュレーション演習を実施する。事前に役割分担を明確にし、経営層も含めた意思決定プロセスを整えておくことが重要である。
  • 法規制と契約上の考慮
    • 身代金支払いが違法または規制対象となる国が増えており、支払うことで別の法的リスクが生じる可能性がある。法務部門や外部専門家と相談し、身代金支払いを含む対応方針を定めておく。また、取引先や委託先との契約においてもセキュリティ要件を明記し、サプライチェーン全体のリスクを管理する。

5. まとめ

本稿では、2024年度に顕著となった侵入型ランサムウェア攻撃の動向と、それを支えるRaaSビジネスモデル、多重恐喝・ノーウェアランサムといった新たな手口、そして標的型攻撃グループによる利用について解説した。攻撃者が日々技術を高度化・ビジネス化する一方で、企業や組織は基本的な対策の実施と迅速なインシデント対応が求められている。特にVPN機器の脆弱性やリモートデスクトップの設定不備が大きな侵入経路となっていることから、インターネットに公開するシステムには最新のパッチ適用と多要素認証を徹底する必要がある。また、バックアップの確保やネットワーク分割、権限の最小化など複数層の防御策を講じることで、被害を受けても復旧を迅速に行える体制を整えることが重要だ。

ランサムウェアとの戦いは、個々の組織だけでなく社会全体で取り組むべき課題である。官民連携による脅威情報共有や国際協調、教育活動を通じ、攻撃者の脅威に立ち向かい、安全なデジタル社会を築くための努力を続けたい。