セキュリティー

ランサムウェア攻撃事例から考えるセキュリティー対策

セキュリティー対策イメージ

猛威を振るうランサムウェア攻撃

近年、サイバー攻撃の脅威はますます深刻化しており、特にランサムウェアは企業や組織に多大な被害をもたらしています。
ランサムウェア攻撃は、コロナ禍の2021年頃から急激に増加し、2025年に入っても、製造業や医療、金融など幅広い業種で被害が相次いでいます。警察庁の報告によると、2025年上半期の国内での法人被害件数は114件に上り、前年同期を上回る高水準です。
ここ最近の事例としては、2025年9月に発生した大手飲料メーカーへの攻撃が挙げられます。
同社ではサイバー攻撃の結果、国内システムに障害が発生し、受注・出荷業務が一時全面停止しました。これにより、主力商品の出荷がストップ。新製品発表会も中止を余儀なくされ、多額の損失が生じたと報道されています。攻撃の原因はランサムウェアとみられており、攻撃グループ「Qilin(キリン)」の犯行声明とともに、個人情報流出の可能性についても公表されています。
現時点で本事案の詳細は明らかになっていませんが、これまでも多くの企業が同様の被害に直面しており、大手企業でも脆弱な箇所を狙われることで致命傷になることを示す典型例です。

ランサムウェア攻撃とは

ランサムウェアとは、被害者のデータやシステムファイルを暗号化し、使用不能にした上で、復旧のための身代金(ransom)を要求するマルウェアです。感染すると、ファイルがランダムな文字列に置き換わり、画面に脅迫メッセージが表示されます。支払いは主にビットコイン等の暗号通貨を要求されるため、暗号通貨の匿名性の高さから犯人グループの追跡が困難であり、実際に身代金を支払ってもデータが戻らないケースも少なくありません。その攻撃の種別・手法には以下のように分類されます。

攻撃の種別・手法

  • 暗号化型(Crypto Ransomware):データを暗号化し、復号キーを要求する、典型的なランサムウェア攻撃の手法です。
  • 漏洩型(Leakage Ransomware):データを盗み、公開をネタに脅迫。暗号化と併用されることも多く、暗号化を行わない場合は「ノーウェアランサム」とも呼ばれます。
  • RaaS(Ransomware as a Service):攻撃ツールをブラックマーケットで販売・レンタルするビジネスモデル。技術力の低い犯罪者でも簡単に攻撃可能で、近年の被害増加要因の一つです。

大規模インシデントとなった原因

企業の内部ネットワークに置かれている重要システムや機密情報にアクセスするために、攻撃者は何らかの手段で内部に侵入する必要があります。この段階を初期アクセス(initial access)と呼びますが、そのアクセス経路には、メールの添付ファイルやWebサイト閲覧を通じたマルウェアの送り込みや、ネットワーク・アクセスを通じた直接侵入など、さまざまな方法があります。

主な初期アクセス経路の例

  1. 悪意のあるWebサイトからの感染
  2. インターネットに面したアプリケーションや機器に対する攻撃
  3. VPNなどのリモートアクセス経由での侵入
  4. USBメモリ等を経由した感染
  5. メール添付ファイルや本文リンクからの感染
  6. 関連会社間のシステム連携、ネットワーク連携を通じた攻撃

ランサムウェア攻撃を想定したバックアップ施策の例

  • バックアップ・データの保護
    オフライン・バックアップにより、バックアップ・データがネットワーク経由でアクセスできない箇所に保存されていれば、バックアップ・データ自体が暗号化されてしまう被害を受けるリスクを低減できます。

  • 復旧能力の確認
    複数サーバーで同時多発的に被害が発生するため、復旧能力(テープ・ドライブの台数、バックアップサイトからのデータ転送速度、一時ストレージの空き容量 等)が想定を超えてしまう場合があります。

  • 復旧優先順位の決定
    被害にあった全てのサーバーを迅速に復旧できない場合もあるため、業務再開に必要なシステムをあらかじめ特定し、優先的に復旧するポリシーを定めることが重要です。

  • 復旧テストの実施
    いざバックアップから復旧しようとしたらうまくいかない、というケースを見かけます。実際にバックアップ・データから復旧させるテストを行うことで、復旧自体を確実にし、さらに、さまざまな課題が発見できる場合もあります。

まとめ

ランサムウェア攻撃が最終的に大規模な被害に至るには、さまざまな原因が複合的に結びついています。自組織の弱い箇所がどこにあるのか、すでに把握できているのであれば、ただちに強化に着手して、少しでも被害を受けるリスクを低減させましょう。
しかし、自組織のどこに弱みがあるかまだ把握しきれていない、もしくは見えていない課題があるのでは……と思われたら、まずはリスク・アセスメント等を通じて、自組織の置かれた状況と、全体像を把握し、弱い箇所を特定することが重要です。
サイバー攻撃への対策を有効に施すには、組織的なガバナンスの確立から、実際の脅威の特定・防御・検知、そして万が一インシデントが発生してしまった場合の対応から復旧に至る、一連のフェーズを意識することが重要です。
当社では、問診に相当する簡易なリスク・アセスメントをはじめ、サイバー攻撃対策のすべてのフェーズに一気通貫で対応できるソリューションおよびサービスを提供していますので、ぜひお気軽にご相談ください。

ランサムウェア攻撃対策サービスの例の図版 図:ランサムウェア攻撃対策サービスの例

執筆者

天野 寛生

日本アイ・ビー・エム株式会社, コンサルティング事業本部, サイバーセキュリティー, アソシエイト・パートナー