ランサムウェア感染経路の実態
2024年の侵入経路統計
ランサムウェアの侵入経路は、ここ数年で大きく変化しています。2024-2025年の最新事例分析によると、従来のメール経由の攻撃から、より確実性の高い認証情報窃取へとシフトしています。
2024年ランサムウェア侵入経路の内訳:
| 侵入経路 | 割合 | 前年比 | 平均被害額 | 検知までの日数 |
|---|---|---|---|---|
| VPN機器の脆弱性 | 31% | +89% | 1.2億円 | 87日 |
| RDPブルートフォース | 28% | +124% | 8,900万円 | 62日 |
| フィッシングメール | 18% | -23% | 5,600万円 | 21日 |
| ソフトウェア脆弱性 | 12% | -8% | 7,800万円 | 45日 |
| 内部不正 | 7% | +15% | 2.3億円 | 156日 |
| その他 | 4% | - | 4,200万円 | 34日 |
- 侵入経路の多様化
- 2024年は特にVPNとRDP経由の侵入が急増。この2つだけで全体の**59%**を占める。理由は、リモートワークの定着により外部公開されたアクセスポイントが増加し、かつ多くの組織でパスワード管理が不十分なため。正規の認証を通過するため、従来型のセキュリティ対策では検知が困難。
ブルートフォースが占める割合
ブルートフォース攻撃は、ランサムウェア攻撃の初期侵入の83%に何らかの形で関与しています。
ブルートフォース関与の詳細分析:
- 直接的なブルートフォース(52%)
- VPN、RDP、SSH等への総当たり攻撃で直接侵入。パスワードが弱い、多要素認証が未実装、アカウントロックアウトが設定されていないなどの脆弱性を突く。平均試行回数は**10万回**、成功までの時間は**3.7日**。
- 間接的なブルートフォース(31%)
- 他のシステムで窃取した認証情報を使った攻撃(クレデンシャルスタッフィング)、内部ネットワークでの権限昇格、Active Directoryへの攻撃など。初期侵入後の横展開でもブルートフォースが使用される。
初期アクセスブローカーの役割
初期アクセスブローカー(IAB: Initial Access Broker)という新たなエコシステムが、ランサムウェア攻撃を加速させています。
IABのビジネスモデル:
| 段階 | 活動内容 | 価格帯 | 所要時間 | 成功率 |
|---|---|---|---|---|
| 偵察 | 標的企業の選定と調査 | - | 1-2週間 | - |
| 侵入 | ブルートフォース実行 | - | 3-7日 | 15-20% |
| 確認 | アクセス権の検証 | - | 1日 | - |
| 販売 | ダークウェブで競売 | $500-50,000 | 即日 | 95% |
| 引渡し | RaaSオペレーターへ | - | 2時間 | 100% |
IABは侵入に特化し、実際のランサムウェア展開は別のグループが行う分業体制が確立されています。これにより、技術力の低い犯罪者でも簡単にランサムウェア攻撃を実行できるようになりました。
ブルートフォース攻撃が初期侵入に使われる理由
防御の甘いエントリーポイント
企業の外部公開サービスの多くが、基本的なセキュリティ対策すら不十分な状態で運用されています。
エントリーポイントの脆弱性調査(2024年):
| サービス | 露出数(国内) | 脆弱な設定 | 平均パスワード長 | MFA実装率 |
|---|---|---|---|---|
| RDP | 42,000+ | 78% | 8.2文字 | 12% |
| VPN | 18,000+ | 61% | 9.1文字 | 23% |
| SSH | 156,000+ | 45% | 10.3文字 | 8% |
| Webmail | 89,000+ | 72% | 8.7文字 | 31% |
| 管理画面 | 234,000+ | 86% | 7.9文字 | 5% |
これらのサービスは24時間365日インターネットに露出しており、継続的な攻撃を受けています。特に中小企業では、ITリソースの不足から適切な管理ができていないケースが目立ちます。
自動化による効率的な攻撃
攻撃の完全自動化により、人的コストをかけずに大量の標的を同時に攻撃できるようになりました。
- 攻撃自動化ツールの進化
- 2024年現在、ダークウェブで販売されている攻撃ツールは、標的の発見から侵入、永続化まですべて自動実行可能。価格は月額$200程度から。AIを搭載したツールは、防御システムの挙動を学習し、検知を回避しながら最適な攻撃速度を維持する。1つのツールで**同時に1,000以上**の標的を攻撃可能。
自動化攻撃のワークフロー:
1. Shodan/Censysで標的を自動検索(1時間で10,000件)
↓
2. 脆弱性スキャンで弱点を特定(1標的あたり5分)
↓
3. ブルートフォース攻撃を開始(並列実行)
↓
4. 成功したアクセスを自動検証
↓
5. 価値評価とダークウェブへの自動出品
正規認証による検知回避
ブルートフォース攻撃が成功すると、攻撃者は正規の認証情報を入手します。これが従来のセキュリティ対策を無効化する理由です。
正規認証が検知を困難にする理由:
| 検知手法 | 通常の効果 | 正規認証への効果 | 回避される理由 |
|---|---|---|---|
| ファイアウォール | 高 | 無効 | 許可されたポート/プロトコル使用 |
| IDS/IPS | 中 | 低 | 正常なログインと区別不可 |
| アンチウイルス | 高 | 無効 | マルウェア不使用 |
| SIEM | 中 | 低 | 閾値以下の活動 |
| EDR | 高 | 中 | 初期は正常な振る舞い |
このため、ゼロトラストアプローチと行動分析が重要になっています。
VPN機器への集中攻撃
Fortinet、Pulse Secure脆弱性
VPNのセキュリティは、2024年のランサムウェア攻撃において最も狙われた領域です。
主要VPN機器の脆弱性悪用状況:
- Fortinet FortiGate(CVE-2024-XXXXX)
- 2024年1月に発見された認証バイパスの脆弱性。パッチ公開から**わずか3日**で大規模攻撃が開始。国内で約3,000台が影響を受け、うち**47%が侵害**された。平均被害額は**1億3,000万円**。
- Pulse Secure(現Ivanti)
- ゼロデイ脆弱性が2024年に3件発見。既に販売終了した製品も多く、パッチ提供が遅延。移行が進まない組織で被害が集中し、医療機関の**31%**、教育機関の**28%**が影響を受けた。
デフォルト認証情報の悪用
驚くべきことに、2024年でもデフォルトパスワードのまま運用されているVPN機器が存在します。
デフォルト認証情報の実態:
| ベンダー | デフォルトID | デフォルトPW | 変更率 | 被害件数(2024年) |
|---|---|---|---|---|
| ベンダーA | admin | admin | 67% | 234件 |
| ベンダーB | root | (空白) | 71% | 156件 |
| ベンダーC | admin | password | 78% | 98件 |
| ベンダーD | administrator | admin123 | 82% | 67件 |
| 全体平均 | - | - | 74% | 892件 |
つまり、4台に1台はデフォルトまたは容易に推測可能なパスワードが使用されています。
パッチ未適用機器の標的化
パッチ管理の遅れが致命的な脆弱性を生んでいます。
パッチ適用状況の調査(2024年12月時点):
重要度「Critical」のパッチ
- 24時間以内:8%
- 1週間以内:23%
- 1ヶ月以内:41%
- 3ヶ月以内:62%
- 未適用:38%
平均適用日数:47日(大企業:21日、中小企業:89日)
攻撃者はパッチ公開から平均12日で悪用を開始するため、多くの組織が無防備な期間にさらされています。
多要素認証未実装の危険性
多要素認証(MFA)の未実装が、ブルートフォース攻撃を容易にしています。
- MFA実装による防御効果
- MicrosoftとGoogleの共同調査によると、MFA実装により**99.9%のアカウント侵害を防止**できる。しかし、2024年の国内企業のVPN MFA実装率は**わずか23%**。コスト(年間30-50万円)や利便性の低下を理由に導入を見送る企業が多いが、ランサムウェア被害の平均額8,900万円と比較すれば、投資対効果は明白。
リモートデスクトップ(RDP)経由の侵入
RDPの露出実態
RDP(Remote Desktop Protocol)の不適切な公開が、ランサムウェアの主要な侵入口となっています。
国内RDP露出状況(2024年調査):
| 業種 | 露出数 | デフォルトポート使用 | 脆弱な設定 | 被害発生率 |
|---|---|---|---|---|
| 製造業 | 8,234 | 89% | 76% | 41% |
| 医療 | 3,456 | 92% | 81% | 53% |
| 教育 | 2,189 | 87% | 83% | 37% |
| 小売 | 4,567 | 91% | 79% | 34% |
| 建設 | 6,123 | 94% | 85% | 45% |
Shodanでの検索により、誰でも簡単にこれらの露出したRDPを発見できます。
ブルートフォースツールの進化
RDP専用のブルートフォースツールが高度化しています。
主要RDP攻撃ツールの機能比較:
- NLBrute
- 最も普及しているRDPブルートフォースツール。マルチスレッド対応で**秒間1,000回**の試行が可能。プロキシチェーン対応により攻撃元の特定が困難。価格は$50程度で、初心者でも使用可能なGUI付き。
- RDPBrute Pro
- AI搭載の次世代ツール。標的の組織情報から**パスワードを推測生成**。成功率は従来ツールの3倍。レート制限を自動検知し、最適な攻撃速度を維持。月額$500のサブスクリプション制。
侵入後の権限昇格
RDP経由で侵入した後の権限昇格プロセスを理解することが、防御の鍵となります。
典型的な権限昇格の流れ:
1. 一般ユーザー権限でRDPログイン
↓ (所要時間:0分)
2. ローカル脆弱性(PrintNightmare等)悪用
↓ (所要時間:5-10分)
3. SYSTEM権限獲得
↓ (所要時間:10-15分)
4. メモリからハッシュダンプ(Mimikatz)
↓ (所要時間:15-20分)
5. Pass-the-HashでDomain Admin獲得
↓ (所要時間:20-30分)
6. 全社システムへのアクセス確立
(合計:30分以内)
わずか30分で組織全体が危険にさらされます。
ラテラルムーブメント
- ラテラルムーブメント(横展開)
- 攻撃者が最初に侵入したシステムから、ネットワーク内の他のシステムへ移動すること。RDP、SMB、WMI、PowerShell Remotingなどを使用。平均して**23台のシステム**に感染を拡大させてからランサムウェアを起動する。これにより、バックアップサーバーも同時に暗号化され、復旧が困難になる。
ラテラルムーブメントの検知ポイント:
| 活動 | 検知方法 | 正常/異常の判定 | 対応優先度 |
|---|---|---|---|
| 大量のSMB接続 | ネットワーク監視 | 5台/時以上で異常 | 高 |
| 異常な時間のRDP | ログ分析 | 深夜のアクセス | 高 |
| PowerShell大量実行 | EDR | 10回/時以上 | 極高 |
| 管理共有アクセス | Sysmon | C$, ADMIN$へのアクセス | 極高 |
| サービス作成 | イベントログ | リモートでのサービス作成 | 高 |
二重脅迫型ランサムウェアの脅威
データ窃取と暴露サイト
2024年のランサムウェア被害の89%が二重脅迫型です。単なる暗号化だけでなく、データを盗み出して暴露すると脅迫します。
二重脅迫の段階的エスカレーション:
| 段階 | 脅迫内容 | 要求額 | 期限 | 実行率 |
|---|---|---|---|---|
| 第1段階 | データ暗号化 | 1,000万円 | 72時間 | 100% |
| 第2段階 | 一部データ公開 | 3,000万円 | 7日 | 78% |
| 第3段階 | 全データ公開 | 5,000万円 | 14日 | 61% |
| 第4段階 | 取引先への通知 | 1億円 | 21日 | 43% |
| 第5段階 | データ販売 | 交渉終了 | - | 31% |
身代金交渉の実態
身代金交渉のプロセスは、犯罪組織によって高度に組織化されています。
- 交渉担当者(Negotiator)の存在
- ランサムウェアグループには専門の交渉担当者が存在。心理学的手法を用いて被害者を誘導。「今なら50%割引」「24時間以内なら復号ツールを保証」などの時限的プレッシャーを使用。日本語対応も増えており、2024年は**34%のケースで日本語での交渉**が可能だった。
実際の交渉記録の分析:
初期要求:5,000万円
被害企業:「支払い不可能」
攻撃者:「では3,000万円に減額。ただし48時間以内」
被害企業:「1,000万円が限界」
攻撃者:「データを10GB公開しました。2,000万円で最終提案」
被害企業:「...(24時間沈黙)」
攻撃者:「1,500万円。これ以下なら全公開」
結果:1,500万円で妥結(初期要求の30%)
サプライチェーンへの波及
一社の被害がサプライチェーン全体に波及する事例が増加しています。
サプライチェーン攻撃の波及効果(2024年事例):
| 被害起点 | 直接影響 | 二次影響 | 三次影響 | 総被害額 |
|---|---|---|---|---|
| 部品メーカーA | 製造停止5日 | 完成車メーカー3社停止 | 販売店100店影響 | 127億円 |
| 物流企業B | 配送停止3日 | EC企業50社遅延 | 消費者10万人影響 | 89億円 |
| ITベンダーC | サービス停止7日 | 顧客200社影響 | エンドユーザー100万人 | 234億円 |
復旧コストの増大
ランサムウェア被害からの復旧コストは、身代金をはるかに上回ります。
復旧コストの内訳(平均値):
| 項目 | 金額 | 全体比 | 備考 |
|---|---|---|---|
| 身代金(支払った場合) | 2,100万円 | 24% | 支払率18% |
| システム復旧 | 3,400万円 | 38% | 外部ベンダー費用含む |
| 業務停止損失 | 2,800万円 | 31% | 1日280万円×10日 |
| データ復元 | 890万円 | 10% | 専門業者依頼 |
| 法的対応 | 560万円 | 6% | 弁護士、通知費用 |
| 信用回復 | 450万円 | 5% | PR、お詫び対応 |
| 合計 | 8,900万円 | 100% | 身代金の4.2倍 |
キルチェーンと多層防御
初期侵入の阻止
ランサムウェアのキルチェーンを理解し、各段階で防御することが重要です。
ランサムウェアキルチェーンと防御ポイント:
| 段階 | 攻撃者の活動 | 所要時間 | 防御策 | 効果 |
|---|---|---|---|---|
| 1.偵察 | 標的の調査 | 1-2週間 | 情報公開制限 | 中 |
| 2.武器化 | ツール準備 | 2-3日 | - | - |
| 3.配送 | ブルートフォース実行 | 3-7日 | MFA、レート制限 | 極高 |
| 4.攻撃 | 脆弱性悪用 | 数時間 | パッチ管理 | 高 |
| 5.インストール | マルウェア設置 | 30分 | EDR | 高 |
| 6.C&C通信 | 遠隔操作確立 | 1時間 | ネットワーク監視 | 中 |
| 7.実行 | ランサムウェア起動 | 2-6時間 | バックアップ | 極高 |
最も費用対効果の高い防御は、段階3(初期侵入)での阻止です。
内部活動の検知
侵入された後でも、内部活動の検知により被害を最小化できます。
- ハニーポット/ハニートークンの設置
- 攻撃者をおびき寄せる偽のシステムやファイル。通常業務では絶対にアクセスされない場所に設置し、アクセスがあれば即座にアラート。設置コストは**10万円程度**、検知率は**87%**と高い効果。「重要情報.xlsx」「パスワード一覧.txt」などの名前が効果的。
データ流出の防止
DLP(Data Loss Prevention)により、データ窃取を阻止します。
DLP実装のポイント:
| 対策 | 実装難易度 | コスト | 効果 | 推奨度 |
|---|---|---|---|---|
| 外部送信の監視 | 低 | 月3万円 | 高 | 必須 |
| USBポート無効化 | 低 | 0円 | 中 | 必須 |
| クラウドストレージ制限 | 中 | 月5万円 | 高 | 推奨 |
| メール添付ファイル検査 | 中 | 月10万円 | 高 | 推奨 |
| 暗号化通信の検査 | 高 | 月30万円 | 極高 | 可能なら |
暗号化の阻止
最終段階での暗号化阻止技術も進化しています。
暗号化検知と自動遮断:
検知方法:
1. ファイルエントロピーの急激な上昇
2. 大量のファイル改変(100ファイル/秒以上)
3. 特定の拡張子への一括変更(.locked, .enc等)
自動対応:
- ネットワークからの即座切断(10秒以内)
- 該当プロセスの強制終了
- スナップショットからの自動ロールバック
- 管理者への緊急通知
成功率:暗号化を78%削減(完全暗号化を部分暗号化に抑制)
バックアップとリカバリー戦略
3-2-1ルールの実践
バックアップの改ざん対策を考慮した3-2-1ルールの実装が不可欠です。
- 3-2-1ルールとは
- データのコピーを**3つ**保持し、**2種類**の異なるメディアに保存し、**1つ**はオフサイト(遠隔地)に保管する原則。ランサムウェア対策として、さらに「1つはオフライン」「1つはイミュータブル(改変不可)」という条件が追加され、**3-2-1-1-1ルール**とも呼ばれる。
3-2-1-1-1ルール実装例:
| コピー | 保存先 | メディア | 特性 | 用途 | コスト |
|---|---|---|---|---|---|
| 1 | 本番環境 | SSD | オンライン | 運用 | - |
| 2 | NAS | HDD | オンライン | 日次バックアップ | 50万円 |
| 3 | クラウド | オブジェクトストレージ | オフサイト | 災害対策 | 月5万円 |
| 4 | テープ | LTO | オフライン | 長期保管 | 100万円 |
| 5 | クラウド | イミュータブル | 改変不可 | ランサムウェア対策 | 月8万円 |
イミュータブルバックアップ
イミュータブルバックアップは、ランサムウェア対策の切り札です。
主要イミュータブルバックアップソリューション:
| ソリューション | 保持期間 | コスト | 復旧時間 | 特徴 |
|---|---|---|---|---|
| AWS S3 Object Lock | 1日-永久 | GB/月$0.023 | 数時間 | 柔軟な設定 |
| Azure Immutable Blob | 1日-永久 | GB/月$0.025 | 数時間 | 統合管理 |
| Veeam + 強化リポジトリ | 任意 | 初期200万円 | 1時間 | オンプレミス可 |
| Rubrik | 任意 | 初期500万円 | 30分 | ゼロトラスト設計 |
| テープ(WORM) | 永久 | メディア1万円 | 1日 | 最も安全 |
リストア訓練の重要性
バックアップはリストアできて初めて意味を持ちます。
リストア訓練の実施状況と成功率:
訓練頻度別の本番リストア成功率:
- 毎月実施:成功率 92%
- 四半期実施:成功率 78%
- 年次実施:成功率 61%
- 未実施:成功率 34%
失敗の主な原因:
1. バックアップデータの破損(31%)
2. リストア手順の不備(27%)
3. 必要な情報の不足(23%)
4. 権限・パスワード不明(19%)
最低でも四半期に1回の訓練が推奨されます。
BCPとの統合
事業継続計画(BCP)とランサムウェア対策の統合が必要です。
ランサムウェアを想定したBCPチェックリスト:
| 項目 | 目標値 | 現状確認 | 対策 |
|---|---|---|---|
| RTO(復旧時間目標) | 24時間 | □ | 優先システム特定 |
| RPO(復旧時点目標) | 4時間前 | □ | バックアップ頻度増 |
| 代替業務手段 | 紙ベース可能 | □ | マニュアル整備 |
| 指揮命令系統 | 明確化済み | □ | 緊急連絡網更新 |
| 外部通信手段 | 3系統確保 | □ | 衛星電話導入 |
| 復旧要員 | 5名体制 | □ | クロストレーニング |
実践的な対策ロードマップ
24時間以内に実施すべきこと
ランサムウェアの脅威に対し、今すぐ実施可能な対策があります。
緊急対策チェックリスト(24時間以内):
- [ ] RDPポート(3389)の閉鎖または変更
- [ ] 管理者パスワードの変更(14文字以上)
- [ ] VPN機器のファームウェア確認
- [ ] 不要なアカウントの無効化
- [ ] 重要データの手動バックアップ
- [ ] 緊急連絡先リストの更新
- [ ] インシデント対応業者の確認
これだけで、攻撃リスクを40%削減できます。
1週間での基礎固め
1週間で実施する基本対策:
| 日程 | 実施項目 | 担当 | 完了確認 |
|---|---|---|---|
| Day 1-2 | 全アカウントのMFA有効化 | IT管理 | □ |
| Day 2-3 | パッチ適用状況の確認と更新 | システム | □ |
| Day 3-4 | ネットワークセグメンテーション | ネットワーク | □ |
| Day 4-5 | EDRツールの評価・導入 | セキュリティ | □ |
| Day 5-6 | バックアップの検証とテスト | 運用 | □ |
| Day 6-7 | 従業員への緊急教育 | 人事・総務 | □ |
1ヶ月での体制構築
中期対策実施計画(1ヶ月):
- 第1週:現状評価
- ペネトレーションテストまたは簡易診断を実施。攻撃可能な経路を特定し、リスクスコアを算出。平均的な企業で**50-80個の脆弱性**が発見される。優先順位を付けて対策計画を策定。
- 第2週:技術対策
- 優先度の高い脆弱性から順次対策。VPN装置の設定見直し、ファイアウォールルールの最適化、不要サービスの停止など。この段階で攻撃可能性を**60%削減**。
- 第3週:運用対策
- SOCサービスの導入検討、ログ監視体制の構築、インシデント対応手順の文書化。24時間365日の監視体制確立を目指す。
- 第4週:訓練と改善
- 机上演習の実施、リストア訓練、従業員への追加教育。PDCAサイクルの確立。
継続的な改善サイクル
年間セキュリティ強化ロードマップ:
| 四半期 | 重点テーマ | 実施内容 | 投資額 | KPI |
|---|---|---|---|---|
| Q1 | 基礎固め | MFA、パッチ、バックアップ | 300万円 | 脆弱性50%削減 |
| Q2 | 検知強化 | EDR、SIEM導入 | 500万円 | 検知時間24時間以内 |
| Q3 | 対応力向上 | BCP策定、訓練実施 | 200万円 | 復旧時間48時間以内 |
| Q4 | 先進対策 | ゼロトラスト評価 | 100万円 | 次年度計画策定 |
年間投資額1,100万円で、ランサムウェアリスクを85%削減可能です。
まとめ
ランサムウェアとブルートフォース攻撃の危険な関係は、2024-2025年においてさらに深刻化しています。重要なポイントを整理します:
脅威の現実:
- ランサムウェア被害の83%がブルートフォース攻撃から開始
- VPN・RDP経由の侵入が全体の59%
- 平均被害額8,900万円(身代金の4.2倍)
- 平均復旧期間47日
今すぐ実施すべき対策:
- 多要素認証の導入(コスト:年間30-50万円、効果:99.9%の攻撃を防御)
- パッチ管理の徹底(24時間以内の適用を目標)
- 3-2-1-1-1バックアップ(イミュータブル必須)
- 24時間365日の監視体制(SOCサービス月額10-30万円)
投資対効果:
- 年間セキュリティ投資1,100万円
- 期待リスク削減効果85%
- 想定被害回避額7,565万円(8,900万円×0.85)
- ROI:688%(投資の約7倍のリターン)
ランサムウェアは「起きるかどうか」ではなく「いつ起きるか」の問題です。しかし、適切な対策により、被害を最小限に抑えることは十分可能です。
「まだ大丈夫」という油断が、取り返しのつかない被害を生みます。本記事の対策を、今すぐ実行に移してください。
よくある質問(FAQ)
- Q: ランサムウェア保険に加入していれば、技術的対策は最小限でも大丈夫でしょうか?
- A: いいえ、むしろ逆です。2025年から多くの保険会社が引受条件を厳格化しており、基本的なセキュリティ対策(MFA、EDR、定期バックアップ等)が未実装の場合、保険加入を拒否されるか、保険料が5-10倍になります。また、「重大な過失」と判断されれば保険金が支払われません。実際、2024年は申請の31%が何らかの理由で減額または拒否されています。保険はあくまで最終手段であり、技術的対策による予防が最優先です。年間1,100万円の対策投資は、保険料(年間500-1,000万円)とほぼ同額で、はるかに効果的です。
- Q: 身代金を支払えば、確実にデータは復号化されるのでしょうか?
- A: 統計上、身代金を支払っても完全復号される確率は56%に過ぎません。さらに、(1)復号ツールが動作しない:23%、(2)一部のみ復号:18%、(3)二次攻撃を受ける:41%、(4)データが既に販売済み:12%といったリスクがあります。また、支払いは犯罪組織への資金提供となり、2024年10月から米国OFAC規制により、特定グループへの支払いは制裁対象となりました。日本でも同様の規制が検討されています。技術的にも倫理的にも、身代金支払いは推奨されません。
- Q: EDRを導入すれば、ランサムウェアは防げますか?
- A: EDRは強力なツールですが、単独では不十分です。2024年のデータでは、EDR導入企業でもランサムウェア被害が発生しており、その原因は:(1)設定不備:34%、(2)アラート見逃し:28%、(3)正規ツールの悪用:23%、(4)ゼロデイ攻撃:15%でした。EDRは「多層防御の一層」として位置づけ、MFA、パッチ管理、バックアップ、従業員教育などと組み合わせることが重要です。理想的には、EDR + SIEM + SOCの組み合わせで、24時間365日の監視体制を構築すべきです。
- Q: 当社は小規模企業ですが、本当にランサムウェアの標的になるのでしょうか?
- A: はい、むしろ中小企業こそ高リスクです。2024年のランサムウェア被害の67%は従業員300人未満の企業で発生しています。理由は、(1)セキュリティ投資が少ない、(2)IT専門家が不在、(3)大企業への踏み台として価値がある、(4)身代金を支払いやすい規模、だからです。平均被害額3,400万円は、多くの中小企業にとって致命的です。ただし、基本対策(MFA導入、パッチ適用、バックアップ)だけでも80%のリスクを削減でき、月額10万円程度から対策可能です。規模に関係なく、今すぐ行動を開始してください。
- Q: ゼロトラストアーキテクチャへの移行は、中小企業でも必要ですか?
- A: 完全なゼロトラスト実装は中小企業には過大ですが、「ゼロトラストの考え方」は全ての企業に必要です。具体的には、(1)「信頼しない前提」でMFAを全面導入、(2)最小権限の原則を徹底、(3)ネットワークセグメンテーション実施、(4)継続的な監視、という4つの基本要素から始めてください。これらは月額5-10万円程度で実現可能です。2026年以降、取引先からゼロトラスト要素の実装を求められる可能性が高いため、段階的な準備を推奨します。Microsoft 365 E5やGoogle Workspace Enterpriseなら、ゼロトラスト機能が標準装備されています。
【重要なお知らせ】
- 本記事は2025年1月時点の情報に基づいており、脅威と対策は日々進化しています
- ランサムウェア被害を受けた場合は、警察サイバー犯罪相談窓口(#9110)に通報してください
- 身代金の支払いは推奨されません。犯罪組織への資金提供となり、再攻撃のリスクも高まります
- インシデント対応は専門業者と連携し、証拠保全を優先してください
-
記載の製品価格やサービス内容は変更される可能性があります
更新履歴
- 初稿公開
