ランサムウェアは「単なるマルウェア」ではない

かつてのランサムウェアは、運悪くスパムメールを開いた個人 PC を暗号化し、数万円分のビットコインを要求する愉快犯的なものでした。しかし現在、攻撃者たちは**RaaS(Ransomware as a Service)**と呼ばれる高度に分業化されたビジネスモデルを構築し、年間数百億円規模の利益を上げる国際的なサイバー犯罪シンジケートへと変貌しています。

その分業構造は以下の通りです。

  • 開発者(Operator): マルウェア本体・交渉用ポータル・インフラを開発・提供する。
  • アフィリエイト(Affiliate): 実際に企業ネットワークへ侵入し、データを盗み、ランサムウェアを展開する実行犯。身代金の70〜80%を受け取る。
  • 初期アクセスブローカー(IAB): 企業への侵入経路(VPN の ID/PW や脆弱性)だけを専門にハッキングし、アフィリエイトに販売する。

現代の攻撃トレンドと「脅迫」の進化

単純暗号化から「二重恐喝・三重恐喝」へ

企業がバックアップを堅牢化し「暗号化されても復旧できるから身代金を払わない」という対策を講じたため、攻撃者も戦術をシフトしました。

フェーズ攻撃者の脅迫手法
第一の恐喝「データを暗号化した。システムを復旧したければ金を払え」
第二の恐喝「暗号化する前に機密データ(顧客情報や財務データ)をTB単位で盗み出した。Tor上のリークサイトで全世界に公開されたくなければ金を払え」
第三の恐喝「応じないなら取引先企業や顧客に直接メールを送り『あなたのデータが盗まれた』と暴露する。さらに自社サイトへDDoS攻撃も行う」

BYOVD(Bring Your Own Vulnerable Driver)によるEDR無効化

LockBit や BlackCat などの主要グループが多用する手法です。「EDRが導入されていれば安心」という常識を覆します。攻撃者は権限昇格後、正規の署名が付与されているが脆弱性を持つ古いドライバをシステムに意図的に読み込ませ、カーネルレベルの特権を奪取して EDR プロセスを強制終了させます。EDR が沈黙した直後に、暗号化プロセスが一斉に走ります。

ハイパーバイザー(VMware ESXi)の直接狙い撃ち

Windows サーバーを 1 台ずつ暗号化するのではなく、仮想マシンを束ねる土台の VMware ESXi に直接侵入し、ストレージ(データストア)ごとすべてのサーバーを一瞬で暗号化する手法が急増しています。対策が仮想化レイヤーに及んでいない組織は、このアプローチの前に完全に無力です。

組織防御の要となる戦略

ランサムウェア対策は「防ぐ」こと以上に、**「被害を局所化し、確実に復旧する」**ことに主眼を置きます。

1. 最後の命綱:3-2-1バックアップルール

どれほど高度な多層防御を敷いても、侵害リスクをゼロにはできません。ランサムウェア対策の究極の切り札は強固なバックアップです。

• 3つのデータコピーを持て(本番データ + バックアップ1 + バックアップ2) • 2種類の異なるメディアに保存せよ(ディスク + クラウド等) • 1つはオフサイト(地理的に離れた場所)に保管せよ

【現代の必須要件:Immutable(不変)バックアップ】 攻撃者はバックアップサーバーを最優先で探し出し、バックアップデータから先に破壊します。 AWS S3の「オブジェクトロック」機能に代表される、管理者キーを奪われても「指定期間は 絶対にデータを削除・改ざんできないストレージ」への保存が現在では必須です。

2. 認証情報の保護と MFA

初期侵入の大部分は、VPN 機器のパッチ未適用か、フィッシング・クレデンシャルスタッフィングによる ID/PW の突破から始まります。インターネットに露出しているすべての入り口(VPN・O365・RDP)への**多要素認証(MFA)**適用は絶対条件です。

3. 横展開(ラテラルムーブメント)の阻止

攻撃者が 1 台の PC に侵入しても、そこから Active Directory(ドメインコントローラー)を乗っ取られなければ、被害は「PC 1台」で済みます。マイクロセグメンテーションによるネットワーク分割と、特権 ID(ドメイン管理者権限)の分離(Tier モデル)が重要です。

インシデント発生時の「やってはいけない」初動

万が一、画面にランサムウェアの脅迫文(Ransom Note)が表示された場合、現場がパニックに陥って致命的なミスを犯すことがよくあります。

絶対にやってはいけない3つのこと

  1. 電源ケーブルを抜く(シャットダウンする) メモリ上に存在するマルウェア本体や、復旧の糸口となる「暗号化鍵」のデータが完全に消失(揮発)します。正しい初動は「ネットワークケーブルを抜く(隔離する)」です。

  2. 自分でマルウェアを駆除しようとする アンチウイルスで実行ファイルを削除すると、暗号化解除プログラムまで失われ、二度と復号できなくなるリスクがあります。

  3. 身代金をすぐに支払う 支払ってもデータが復旧する保証はなく、むしろ「カモ」として別の犯罪グループに狙われるリスクが高まります。警察庁や CISA も支払いを推奨していません。

理解度チェック

【確認問題】ITインフラにおける「3-2-1バックアップルール」において、現代のランサムウェアがバックアップデータそのものを破壊・暗号化しにくる攻撃への最も強力な対抗策となる、クラウドストレージ等の機能特性はどれですか?