ランサムウェア感染の仕組み
ランサムウェアは、企業や組織のデータを暗号化し、身代金を要求する最も破壊的なサイバー攻撃の一つです。その感染の多くは、不正アクセスから始まります。攻撃者は数週間から数ヶ月をかけて慎重に準備を進め、最大の被害を与えるタイミングで暗号化を実行します。
不正アクセスからの感染プロセス
典型的な攻撃シナリオ
ランサムウェア攻撃は、平均31日間の準備期間を経て実行されます。この期間を「滞留時間(Dwell Time)」と呼び、攻撃者は以下のような段階的なプロセスを踏みます:
【ランサムウェア攻撃の典型的タイムライン】
==============================================
【Day 0-1】初期侵入
↓ VPN脆弱性悪用(68%)
↓ フィッシングメール(20%)
↓ RDP総当たり攻撃(10%)
【Day 2-7】内部偵察
↓ ネットワーク構造の把握
↓ 重要サーバーの特定
↓ 管理者アカウントの発見
【Day 8-14】権限昇格
↓ 脆弱性悪用による管理者権限奪取
↓ パスワードハッシュの窃取
↓ ドメイン管理者への昇格
【Day 15-20】横展開(Lateral Movement)
↓ 他システムへのアクセス拡大
↓ バックアップサーバーの特定
↓ 重要データの位置確認
【Day 21-30】データ窃取
↓ 機密データの圧縮
↓ 外部サーバーへの転送(二重脅迫準備)
↓ 証拠隠滅の準備
【Day 31】暗号化実行
↓ バックアップの削除
↓ 一斉暗号化開始
↓ 身代金要求メッセージ表示
==============================================
この長い準備期間は、攻撃者が最大限の被害を与えるために必要な時間です。初期侵入から暗号化まで1ヶ月以上かかることが多いため、早期発見と対応が極めて重要になります。
攻撃者は、アカウント乗っ取り(ATO)により正規ユーザーになりすまし、通常業務を装いながら内部調査を進めます。特に危険なのは、ドメイン管理者権限を奪取された場合で、これによりActive Directory配下のすべてのシステムが攻撃対象となります。
Kill Chain分析
サイバーキルチェーンの観点から見ると、ランサムウェア攻撃は以下の7つのフェーズで構成されます:
| フェーズ | 攻撃者の行動 | 検知ポイント | 対策 |
|---|---|---|---|
| 1. 偵察 | ・公開情報収集 ・従業員SNS調査 ・技術情報収集 |
異常なアクセスログ | ・情報公開制限 ・SNSガイドライン ・技術情報管理 |
| 2. 武器化 | ・マルウェア準備 ・エクスプロイト開発 ・C2インフラ構築 |
(外部のため検知困難) | ・脅威インテリジェンス ・情報共有 |
| 3. 配送 | ・フィッシングメール ・水飲み場攻撃 ・USBドロップ |
・メールフィルタ ・Webフィルタ ・エンドポイント検知 |
・メールセキュリティ ・セキュリティ教育 ・USB無効化 |
| 4. 攻撃 | ・脆弱性悪用 ・ゼロデイ攻撃 ・認証情報窃取 |
・IDS/IPS ・SIEM ・異常検知 |
・パッチ管理 ・脆弱性管理 ・多要素認証 |
| 5. インストール | ・バックドア設置 ・持続性確保 ・権限昇格 |
・EDR ・ファイル監視 ・プロセス監視 |
・実行制限 ・最小権限 ・アプリ制御 |
| 6. C&C通信 | ・遠隔操作確立 ・データ送信 ・追加ツール取得 |
・ファイアウォール ・プロキシログ ・DNS監視 |
・通信遮断 ・URLフィルタ ・DNSフィルタ |
| 7. 目的実行 | ・データ暗号化 ・身代金要求 ・データ公開脅迫 |
・異常なファイル活動 ・大量の書き込み ・拡張子変更 |
・バックアップ ・EDR自動対応 ・インシデント対応 |
各フェーズで適切な対策を実施することで、攻撃の連鎖(キルチェーン)を断ち切ることが可能です。特に重要なのは、早期のフェーズでの検知と対応です。暗号化実行まで進んでしまうと、被害の回避は困難になります。
主要なランサムウェアファミリー
2025年現在、世界中で猛威を振るっているランサムウェアグループを理解することは、効果的な対策を立てる上で重要です。
2025年の脅威トップ5
1. LockBit 3.0
最も活発なランサムウェアグループの一つで、RaaS(Ransomware as a Service)モデルを採用しています。
- 暗号化速度:業界最速の4分で100GB
- 攻撃手法:二重脅迫(暗号化+データ公開)
- 特徴:バグバウンティプログラムを実施し、脆弱性報告に報奨金を支払う
- 平均身代金要求額:5,000万円
- 主な標的:大企業、政府機関
2. BlackCat (ALPHV)
Rust言語で開発された新世代のランサムウェアです。
- 技術的特徴:クロスプラットフォーム対応(Windows、Linux、ESXi)
- 攻撃手法:四重脅迫(暗号化+データ公開+DDoS+顧客への連絡)
- 暗号化方式:AES/ChaCha20のハイブリッド
- 平均身代金要求額:3,000万円
- 特記事項:VMware ESXiサーバーを標的とすることが多い
3. Royal
比較的新しいグループですが、急速に勢力を拡大しています。
- 攻撃手法:部分暗号化による高速処理
- 特徴:復号不可能な強力な暗号化アルゴリズム
- 脅迫方法:電話による直接的な脅迫も実施
- 平均身代金要求額:2,000万円
- ターゲット:医療機関、教育機関
4. Play
二重暗号化を特徴とする高度なランサムウェアです。
- 技術的特徴:異なる暗号化アルゴリズムでの二重暗号化
- 主要標的:仮想化環境、特にESXiサーバー
- 破壊的機能:データ復旧を困難にする破壊型機能
- 平均身代金要求額:1,500万円
5. Clop
ゼロデイ脆弱性の悪用に特化したグループです。
- 攻撃手法:サプライチェーン攻撃を得意とする
- 有名な事件:MOVEit Transfer脆弱性による大規模感染
- 標的業種:金融機関、大手企業
- 平均身代金要求額:8,000万円
- 被害規模:一度の攻撃で数百社に影響
侵入経路の詳細分析
VPN機器の脆弱性(68%)
2025年のランサムウェア感染の約7割がVPN機器の脆弱性を起点としています。リモートワークの普及により、VPN機器は企業ネットワークの入口として重要な役割を果たしていますが、同時に攻撃者の主要な標的にもなっています。
悪用される脆弱性TOP10
2025年上半期に最も悪用されたVPN関連の脆弱性:
# 2025年上半期 VPN脆弱性悪用統計
CVE-2024-3400: Palo Alto Networks PAN-OS (35%)
- 認証バイパスによる任意コード実行
- パッチ未適用率:55%
CVE-2024-21887: Ivanti Connect Secure (25%)
- コマンドインジェクション脆弱性
- 影響バージョン:9.x, 22.x
CVE-2023-46805: Ivanti ICS/Policy Secure (15%)
- 認証バイパス脆弱性
- チェーン攻撃で使用
CVE-2023-35078: Ivanti EPMM (10%)
- APIの認証不備
- モバイルデバイス管理への侵入
CVE-2023-27997: Fortinet FortiOS (8%)
- ヒープオーバーフロー
- リモートコード実行
CVE-2023-20198: Cisco IOS XE (4%)
- Webインターフェースの脆弱性
- 権限昇格可能
CVE-2023-2868: Barracuda ESG (2%)
- リモートコマンド実行
- メールセキュリティゲートウェイ
CVE-2022-40684: Fortinet Multiple Products (1%)
- 認証バイパス(HTTPヘッダー操作)
- 複数製品に影響
攻撃の詳細な流れ
VPN機器への攻撃は、以下のような段階を経て実行されます:
# VPN攻撃の段階的プロセス(教育目的のシミュレーション)
def vpn_attack_simulation():
"""
警告:このコードは教育目的のみ。実環境での使用は違法です。
"""
# Step 1: インターネット全体をスキャンして脆弱なVPNを発見
print("[偵察] Shodan/Censysで対象機器を検索")
vulnerable_devices = scan_for_vulnerable_vpns([
"CVE-2024-3400", # Palo Alto
"CVE-2024-21887", # Ivanti
"CVE-2023-46805" # Ivanti ICS
])
# Step 2: 脆弱性を悪用して認証をバイパス
for device in vulnerable_devices:
print(f"[攻撃] {device}の認証バイパスを試行")
if exploit_auth_bypass(device):
# Step 3: 管理者セッションを乗っ取り
print("[権限昇格] 管理者セッションハイジャック")
admin_session = hijack_admin_session(device)
# Step 4: 永続的なバックドアを設置
print("[持続化] Webshell/バックドア設置")
backdoor_url = install_persistent_backdoor(admin_session)
# Step 5: 内部ネットワークへ侵入
print("[横展開] 内部ネットワークへピボット")
internal_access = pivot_to_internal_network(device)
# Step 6: ランサムウェア展開の準備
print("[準備] ランサムウェア配布インフラ構築")
prepare_ransomware_deployment(internal_access)
return "シミュレーション完了 - 実際の攻撃は違法行為です"
対策パッチの適用状況
VPN機器のパッチ適用は、多くの組織で遅れているのが現状です:
| ベンダー | 製品 | パッチ提供 | 適用率 | 未適用リスク | 推奨対応 |
|---|---|---|---|---|---|
| Palo Alto | PAN-OS | 即日 | 45% | 最高 | 緊急適用必須 |
| Ivanti | Connect Secure | 3日後 | 30% | 最高 | 代替製品検討 |
| Fortinet | FortiOS | 1週間後 | 60% | 高 | IPS有効化 |
| Cisco | ASA/FTD | 2日後 | 70% | 高 | 自動更新設定 |
| SonicWall | SMA | 5日後 | 25% | 最高 | 即時対応 |
| Pulse Secure | PCS | 7日後 | 35% | 最高 | EOL製品は交換 |
パッチ適用が遅れる主な理由は、24時間365日稼働の要件と、適用による業務影響への懸念です。しかし、不正アクセスのリスクを考慮すると、計画的なメンテナンス時間の確保が不可欠です。
メール経由の感染(20%)
フィッシングメールは、依然として主要な感染経路の一つです。AIの進化により、攻撃手法も高度化しています。
最新の手口
【2025年のランサムウェア配布メール トレンド】
================================================
1. AIによる文面生成
✓ 自然な日本語(文法ミスがない)
✓ 業界用語の適切な使用
✓ 文脈に応じた内容(取引先を装う)
✓ 過去のメールを学習した文体模倣
2. QRコード悪用
✓ 添付ファイルスキャンを回避
✓ モバイル端末を標的
✓ URLフィルタリング回避
✓ 「安全確認」を装うQRコード
3. OneNote/ISOファイル
✓ マクロ不要で実行可能
✓ サンドボックス検知を回避
✓ 二重拡張子で偽装(.pdf.one)
✓ 正規ファイルに見せかける
4. 正規クラウドサービス悪用
✓ SharePoint の共有リンク
✓ OneDrive の「重要書類」
✓ Google Drive の「請求書」
✓ Dropbox の「契約書」
5. サプライチェーン偽装
✓ 取引先からの「緊急連絡」
✓ 銀行からの「セキュリティ通知」
✓ 配送業者の「不在通知」
✓ 政府機関の「重要なお知らせ」
================================================
これらの手法は、ソーシャルエンジニアリングの要素を含み、技術的対策だけでなく、従業員教育が重要になります。
RDP総当たり攻撃(10%)
Remote Desktop Protocol(RDP)へのパスワード総当たり攻撃は、古典的ながら依然として有効な手法です。
攻撃の実態
RDP攻撃を検知・分析するためのPowerShellスクリプト:
# RDP攻撃検知スクリプト
# 過去24時間のRDP失敗ログインを分析
# イベントログから失敗したRDP接続を抽出
$FailedRDP = Get-WinEvent -FilterHashtable @{
LogName='Security'
ID=4625 # ログオン失敗イベント
StartTime=(Get-Date).AddHours(-24)
} | Where-Object {$_.Message -match "ログオン タイプ:\s+10"} # Type 10 = RDP
# 攻撃元IPアドレスを集計
$AttackIPs = $FailedRDP |
ForEach-Object {
$xml = [xml]$_.ToXml()
$eventData = $xml.Event.EventData.Data
$ip = ($eventData | Where-Object {$_.Name -eq "IpAddress"}).'#text'
$username = ($eventData | Where-Object {$_.Name -eq "TargetUserName"}).'#text'
[PSCustomObject]@{
IP = $ip
Username = $username
Time = $_.TimeCreated
}
} | Group-Object -Property IP |
Where-Object {$_.Count -gt 10} # 10回以上の試行
# 結果出力
Write-Host "=== RDP Brute Force Attack Detection ===" -ForegroundColor Yellow
Write-Host "Detection Period: Last 24 hours" -ForegroundColor Cyan
Write-Host ""
if ($AttackIPs.Count -gt 0) {
Write-Host "⚠ Suspicious IPs Detected:" -ForegroundColor Red
$AttackIPs | ForEach-Object {
Write-Host " IP: $($_.Name) - Attempts: $($_.Count)" -ForegroundColor Yellow
# 試行されたユーザー名の表示
$usernames = $_.Group | Select-Object -ExpandProperty Username -Unique
Write-Host " Targeted Users: $($usernames -join ', ')" -ForegroundColor Gray
}
# 対策の推奨
Write-Host "`n推奨対策:" -ForegroundColor Green
Write-Host " 1. 該当IPをファイアウォールでブロック"
Write-Host " 2. RDPポート(3389)を変更"
Write-Host " 3. VPN経由のみRDPを許可"
Write-Host " 4. 多要素認証の導入"
} else {
Write-Host "✓ No suspicious RDP activity detected" -ForegroundColor Green
}
サプライチェーン経由(2%)
サプライチェーン攻撃は、発生頻度は低いものの、被害規模が大きくなる傾向があります:
- MSP(マネージドサービスプロバイダー)経由:信頼関係を悪用し、管理ツール経由で侵入
- ソフトウェアサプライチェーン:正規ソフトウェアのアップデートにマルウェアを仕込む
- ハードウェアサプライチェーン:製造段階でバックドアを埋め込む
- 信頼関係の悪用:取引先のシステムから横展開
多層防御による対策
EDR/XDR導入
EDR(Endpoint Detection and Response)とXDR(Extended Detection and Response)は、ランサムウェア対策の最前線防御システムです。
主要製品比較
| 製品 | 検知率 | 誤検知 | 価格/年 | 特徴 | 適用企業規模 |
|---|---|---|---|---|---|
| CrowdStrike Falcon | 99.8% | 極低 | 10,000円/台 | ・クラウドネイティブ ・AIベース検知 ・軽量エージェント |
中〜大企業 |
| Microsoft Defender | 99.1% | 低 | 6,000円/台 | ・Windows統合 ・Office 365連携 ・コスパ良好 |
全規模 |
| SentinelOne | 99.5% | 低 | 8,000円/台 | ・自動対応機能 ・ロールバック機能 ・オフライン保護 |
中〜大企業 |
| Carbon Black | 98.5% | 中 | 7,000円/台 | ・詳細な分析 ・VMware統合 ・行動分析 |
大企業 |
| Cybereason | 99.0% | 低 | 9,000円/台 | ・日本語完全対応 ・国内サポート ・MITRE対応 |
中〜大企業 |
| Trend Micro XDR | 98.8% | 低 | 7,500円/台 | ・国産ベンダー ・メール連携 ・クラウド対応 |
全規模 |
検知ロジック
EDRの検知ルール例(YAML形式):
# ランサムウェア検知ルール設定
ransomware_detection_rules:
# ルール1: 大量ファイル変更の検知
- rule: mass_file_modification
description: "短時間での異常なファイル変更を検知"
condition:
file_events: > 100 # 100ファイル以上
time_window: 60s # 60秒以内
file_extensions:
- .encrypted
- .locked
- .crypto
- .[ランダム8文字]
severity: CRITICAL
action:
- isolate_endpoint # 端末を隔離
- notify_soc_team # SOCチームに通知
- capture_memory_dump # メモリダンプ取得
# ルール2: シャドウコピー削除の検知
- rule: shadow_copy_deletion
description: "バックアップ削除の試みを検知"
condition:
process:
- vssadmin.exe
- wmic.exe
- bcdedit.exe
command_contains:
- "delete shadows"
- "shadowcopy delete"
- "recoveryenabled no"
severity: CRITICAL
action:
- block_process # プロセスをブロック
- alert_immediately # 即座にアラート
# ルール3: 異常な暗号化活動
- rule: unusual_encryption_activity
description: "CPU/ディスク使用率から暗号化を推定"
condition:
cpu_usage: > 80% # CPU使用率80%以上
disk_write: > 100MB/s # ディスク書き込み100MB/s以上
process_reputation: unknown # 不明なプロセス
file_entropy_change: > 7.5 # エントロピー急上昇
severity: HIGH
action:
- suspend_process # プロセスを一時停止
- request_user_confirmation # ユーザー確認要求
# ルール4: 既知ランサムウェアの挙動
- rule: known_ransomware_behavior
description: "既知のランサムウェアTTP検知"
mitre_technique:
- T1486 # Data Encrypted for Impact
- T1490 # Inhibit System Recovery
- T1489 # Service Stop
condition:
behavior_score: > 80
action:
- immediate_isolation
- forensic_collection
導入時の考慮事項
EDR導入には、技術的・運用的な準備が必要です:
1. リソース消費
- CPU使用率:通常時5-10%増加(スキャン時は20-30%)
- メモリ使用量:200-500MB(機能により変動)
- ディスク容量:ログ保存用に1-2GB
- ネットワーク帯域:クラウド型は常時通信(1-5Mbps)
2. 運用体制
- 24時間365日の監視体制(SOC構築またはMDRサービス利用)
- インシデント対応手順の策定
- エスカレーションフローの確立
- 定期的な訓練実施
3. 既存環境との競合
- 既存アンチウイルスとの共存設定
- パフォーマンスへの影響評価
- 業務アプリケーションとの相性確認
- 誤検知対応プロセスの確立
バックアップ戦略
ランサムウェアに対する最後の砦となるのが、適切に設計されたバックアップシステムです。
3-2-1-1-0ルール
最新のバックアップ戦略である「3-2-1-1-0ルール」を実装します:
【3-2-1-1-0ルールの詳細】
=========================================
3:データのコピーを最低3つ保持
- 本番データ(オリジナル)
- ローカルバックアップ
- リモートバックアップ
2:2種類の異なるメディアに保存
- ディスク(高速リストア用)
- テープ/クラウド(長期保管用)
1:1つはオフサイトに保管
- 物理的に離れた場所
- 災害対策も兼ねる
1:1つはイミュータブル(変更不可)
- ランサムウェアからの保護
- 管理者でも削除不可期間設定
0:エラーゼロの定期検証
- 月次リストアテスト
- 整合性チェック
- 自動検証プロセス
=========================================
イミュータブルバックアップの実装
変更不可能なバックアップは、ランサムウェアが削除・暗号化できない最強の防御策です:
# AWS S3 Object Lockの設定
# バケットレベルでのObject Lock有効化
aws s3api put-object-lock-configuration \
--bucket critical-backup-bucket \
--object-lock-configuration '{
"ObjectLockEnabled": "Enabled",
"Rule": {
"DefaultRetention": {
"Mode": "COMPLIANCE",
"Days": 30
}
}
}'
# 個別オブジェクトの保護設定
aws s3api put-object \
--bucket critical-backup-bucket \
--key backup-2025-01-01.tar.gz \
--body backup-2025-01-01.tar.gz \
--object-lock-mode COMPLIANCE \
--object-lock-retain-until-date 2025-02-01T00:00:00Z
# Azure Immutable Blob Storage設定
# ストレージアカウントでイミュータビリティポリシー作成
az storage container immutability-policy create \
--resource-group BackupResourceGroup \
--account-name criticalbackupstorage \
--container-name immutable-backups \
--period 30 \
--policy-mode Locked
# バックアップファイルのアップロード(自動的に保護)
az storage blob upload \
--account-name criticalbackupstorage \
--container-name immutable-backups \
--file backup-2025-01-01.tar.gz \
--name backup-2025-01-01.tar.gz
エアギャップバックアップ
物理的または論理的にネットワークから完全に分離されたバックアップ:
【エアギャップバックアップの実装方法】
================================================
1. テープバックアップ
✓ LTO-9テープ(18TB/本)使用
✓ 週次でフルバックアップ
✓ オフライン保管(耐火金庫)
✓ 年2回の読み取りテスト
2. 外付けHDD輪番システム
✓ 3台のHDDでローテーション
- A: 月曜日〜水曜日
- B: 木曜日〜土曜日
- C: 日曜日(フルバックアップ)
✓ 使用しないHDDは金庫保管
✓ 月次でHDD間のデータ検証
3. 別拠点レプリケーション
✓ 専用線での接続(インターネット経由禁止)
✓ 定時レプリケーション後に自動切断
✓ 災害対策(DR)サイトとしても機能
✓ 年4回のフェイルオーバーテスト
4. クラウドへの論理的エアギャップ
✓ Write Once Read Many (WORM) ストレージ
✓ API経由でのみアクセス(認証必須)
✓ 時限式アクセス制御
✓ バックアップ後は読み取り専用
================================================
バックアップテスト手順
バックアップは定期的なテストなしには意味がありません:
#!/bin/bash
# 月次バックアップ検証スクリプト
# 実行日:毎月第一月曜日
set -euo pipefail
# 設定
BACKUP_DIR="/mnt/backup"
TEST_DIR="/tmp/restore_test"
LOG_FILE="/var/log/backup_test_$(date +%Y%m%d).log"
ALERT_EMAIL="security-team@example.com"
# ログ関数
log_message() {
echo "[$(date '+%Y-%m-%d %H:%M:%S')] $1" | tee -a "$LOG_FILE"
}
# テスト開始
log_message "=== バックアップ検証テスト開始 ==="
# 1. ランダムファイル選択(5ファイル)
log_message "テスト対象ファイルを選択中..."
TEST_FILES=$(find "$BACKUP_DIR" -type f -name "*.tar.gz" | shuf -n 5)
# 2. 各ファイルのリストアテスト
for backup_file in $TEST_FILES; do
log_message "Testing: $backup_file"
# テスト用ディレクトリ作成
rm -rf "$TEST_DIR"
mkdir -p "$TEST_DIR"
# リストア実行
if tar -xzf "$backup_file" -C "$TEST_DIR" 2>/dev/null; then
# 整合性確認(チェックサム)
original_sum=$(sha256sum "$backup_file" | cut -d' ' -f1)
# リストアデータの再圧縮
cd "$TEST_DIR"
tar -czf test_repack.tar.gz * 2>/dev/null
restored_sum=$(sha256sum test_repack.tar.gz | cut -d' ' -f1)
if [[ -n "$(ls -A "$TEST_DIR")" ]]; then
log_message "✓ リストア成功: $backup_file"
else
log_message "✗ リストア失敗: $backup_file"
echo "バックアップリストア失敗: $backup_file" | \
mail -s "【緊急】バックアップ検証エラー" "$ALERT_EMAIL"
fi
else
log_message "✗ バックアップファイル破損: $backup_file"
alert_critical "バックアップファイル破損検出"
fi
done
# 3. 全体リストア訓練(四半期に1回)
CURRENT_MONTH=$(date +%m)
if [[ $CURRENT_MONTH =~ ^(03|06|09|12)$ ]]; then
log_message "四半期全体リストア訓練を開始..."
# 仮想環境での全システムリストア
perform_full_restore_drill() {
# VMware vSphere環境での例
vim-cmd vmsvc/snapshot.create VMID "Before_Restore_Test" \
"Quarterly restore drill"
# フルリストアの実行
# ... (実装詳細は環境依存)
log_message "全体リストア訓練完了"
}
perform_full_restore_drill
fi
# 4. レポート生成
generate_report() {
cat > "/tmp/backup_test_report.html" <<EOF
<html>
<head><title>バックアップ検証レポート</title></head>
<body>
<h1>月次バックアップ検証レポート</h1>
<p>実施日: $(date)</p>
<p>検証結果: $(grep -c "成功" "$LOG_FILE") / $(echo "$TEST_FILES" | wc -l) 成功</p>
<pre>$(cat "$LOG_FILE")</pre>
</body>
</html>
EOF
}
generate_report
log_message "=== バックアップ検証テスト完了 ==="
ネットワークセグメンテーション
ネットワークを適切に分割することで、ランサムウェアの感染拡大を防止します。
マイクロセグメンテーション設計
ゼロトラストアーキテクチャに基づく細分化されたネットワーク設計:
【企業ネットワークのセグメント構成】
====================================================
インターネット
↓
[外部ファイアウォール]
↓
DMZ(非武装地帯)
├── Webサーバー(公開サービス)
├── メールゲートウェイ
└── VPNゲートウェイ
↓
[内部ファイアウォール + IPS]
↓
Web層(プレゼンテーション層)
├── Webアプリケーションサーバー
├── APIゲートウェイ
└── ロードバランサー
↓
[ファイアウォール + WAF]
↓
アプリケーション層
├── アプリケーションサーバー
├── マイクロサービス
└── コンテナ環境
↓
[ファイアウォール + DLP]
↓
データベース層
├── 本番データベース
├── データウェアハウス
└── ビッグデータ基盤
↓
[専用ファイアウォール + DAM]
↓
管理セグメント(特権アクセス)
├── 管理サーバー
├── 監視システム
└── ログ収集システム
↓
[エアギャップまたは厳格な制御]
↓
バックアップセグメント(隔離環境)
├── バックアップサーバー
├── テープライブラリ
└── イミュータブルストレージ
====================================================
VLANとACL設定
Ciscoスイッチでの実装例:
! VLAN定義
vlan 10
name DMZ_SERVERS
vlan 20
name WEB_SERVERS
vlan 30
name APP_SERVERS
vlan 40
name DB_SERVERS
vlan 100
name MANAGEMENT
vlan 200
name BACKUP_ISOLATED
! 各VLANのIPアドレス設定
interface vlan 10
description DMZ Network
ip address 10.0.10.1 255.255.255.0
interface vlan 20
description Web Servers
ip address 10.0.20.1 255.255.255.0
interface vlan 30
description Application Servers
ip address 10.0.30.1 255.255.255.0
interface vlan 40
description Database Servers
ip address 10.0.40.1 255.255.255.0
interface vlan 100
description Management Network
ip address 10.0.100.1 255.255.255.0
interface vlan 200
description Backup Network (Isolated)
ip address 10.0.200.1 255.255.255.0
! アクセスコントロールリスト(ACL)設定
! Web層からApp層への通信制限
access-list 120 remark === Web to App Communication ===
access-list 120 permit tcp 10.0.20.0 0.0.0.255 10.0.30.0 0.0.0.255 eq 8080
access-list 120 permit tcp 10.0.20.0 0.0.0.255 10.0.30.0 0.0.0.255 eq 8443
access-list 120 deny ip any any log
! App層からDB層への通信制限
access-list 130 remark === App to DB Communication ===
access-list 130 permit tcp 10.0.30.0 0.0.0.255 10.0.40.0 0.0.0.255 eq 3306
access-list 130 permit tcp 10.0.30.0 0.0.0.255 10.0.40.0 0.0.0.255 eq 5432
access-list 130 deny ip any any log
! バックアップネットワークの完全隔離
access-list 200 remark === Backup Network Isolation ===
access-list 200 permit tcp 10.0.40.0 0.0.0.255 10.0.200.0 0.0.0.255 eq 22 time-range BACKUP_WINDOW
access-list 200 deny ip any any log
! 時間ベースのアクセス制御
time-range BACKUP_WINDOW
periodic daily 2:00 to 4:00
! ACLの適用
interface vlan 20
ip access-group 120 out
interface vlan 30
ip access-group 130 out
interface vlan 200
ip access-group 200 in
被害事例と対応実例
国内病院2ヶ月停止事例
2024年10月に発生した大規模病院のランサムウェア被害は、医療機関の脆弱性を浮き彫りにしました。
タイムライン
【某総合病院ランサムウェア被害の詳細タイムライン】
=======================================================
2024/10/15 02:30 - VPN機器(Fortinet)への不正アクセス発生
CVE-2023-27997の脆弱性を悪用
2024/10/15-10/25 - 内部偵察期間(10日間)
- Active Directory情報収集
- 電子カルテシステムの構造把握
- バックアップサーバーの特定
2024/10/26 03:00 - ランサムウェア(LockBit 3.0)実行
- 全サーバーの同時暗号化開始
- バックアップサーバーも暗号化
2024/10/26 07:30 - 始業時に電子カルテアクセス不可を発見
- 身代金要求メッセージ表示
- 要求額:5億円相当の暗号通貨
2024/10/26 09:00 - 経営会議で診療停止を決定
- 新規外来受付停止
- 救急受入停止
2024/10/26 12:00 - 記者会見実施
- 被害状況の公表
- 患者への謝罪
2024/10/27-11/30 - 紙カルテでの限定診療(35日間)
- 手書きカルテ運用
- 検査結果の手渡し
- 処方箋の手書き発行
2024/12/01-12/15 - 段階的システム復旧
- 新規システム構築
- データ部分復旧(85%)
2024/12/20 - 通常診療再開
- 一部データは復旧不可
- セキュリティ体制刷新
=======================================================
被害の詳細
この事例がもたらした甚大な被害:
- 影響患者数:延べ15,000人(外来・入院含む)
- 手術延期:312件(うち緊急手術は他院へ転送)
- 救急受入停止:45日間(地域医療に深刻な影響)
- 経済損失:約8億円(システム復旧費、機会損失、賠償等)
- データ復旧率:85%(15%は永久消失)
- 信頼失墜:患者の30%が他院へ転院
教訓と改善点
- VPN機器の脆弱性放置(根本原因)
- パッチリリースから6ヶ月間未適用だった。医療機器への影響を懸念し、メンテナンスを先送りしていた。
→ 改善策:パッチ適用体制の構築、脆弱性情報の即時把握システム導入、医療機器ベンダーとの連携強化 - バックアップのオンライン保存
- コスト削減のため、バックアップサーバーも常時ネットワーク接続されていた。
→ 改善策:オフラインバックアップの導入、イミュータブル設定の実装、3-2-1-1-0ルールの徹底 - BCP(事業継続計画)の形骸化
- 紙カルテ運用訓練を5年間実施していなかった。スタッフの多くが紙カルテを使用したことがなかった。
→ 改善策:年2回の実践的な訓練実施、紙運用マニュアルの更新、新人研修への組み込み - 初動対応の遅れ
- 異常検知から4時間後にようやく全システム遮断。この間に暗号化が進行した。
→ 改善策:EDR導入による自動遮断、24時間365日のSOC監視体制、インシデント対応訓練の定期実施 - セキュリティ投資の軽視
- IT予算の1%未満しかセキュリティに配分していなかった。
→ 改善策:IT予算の15%以上をセキュリティに配分、専門人材の採用、外部専門家の活用
製造業での成功防御事例
一方、適切な対策により被害を最小限に抑えた成功事例も存在します。
防御成功の要因
ある自動車部品メーカーでの防御成功事例:
1. EDRによる早期検知
- CrowdStrike Falconが異常なプロセス起動を検知(攻撃開始から3分後)
- 自動隔離機能により、感染端末を即座にネットワークから切断
- SOCチームへの自動通知により、5分以内に対応開始
2. ネットワーク分離の徹底
- 生産系ネットワークと情報系ネットワークの完全分離
- エアギャップにより生産ラインは無傷
- 被害は情報系の一部(全体の5%)に限定
3. 迅速な初動対応
- 5分以内:異常検知端末のネットワーク遮断
- 15分以内:全社員への注意喚起メール送信
- 30分以内:緊急対策本部設置、CEO参加
- 1時間以内:フォレンジック調査開始
4. バックアップからの復旧
- イミュータブルバックアップから4時間で主要システム復旧
- データロスゼロ(30分前の状態に復元)
- 翌日には通常業務再開
身代金支払いの是非
ランサムウェアの身代金を支払うべきではない明確な理由があります。
支払わない理由
| 理由 | 詳細 | 統計データ |
|---|---|---|
| 復号されない | 支払っても復号キーが提供されない、または正常に復号できないケースが多い | 30%が復号不可 |
| 再攻撃リスク | 一度支払った組織は「カモリスト」に載り、繰り返し標的にされる | 80%が1年以内に再被害 |
| 犯罪助長 | 支払った資金が次の攻撃の資金源となり、被害を拡大させる | 100%が犯罪資金化 |
| 法的リスク | OFAC制裁対象組織への送金は違法行為となる可能性 | 制裁違反で罰則 |
| 企業イメージ | 支払い企業として公表され、他の攻撃者からも標的にされる | 60%が標的リスト入り |
| データ流出 | 暗号化解除されても、既に盗まれたデータは公開される | 45%がデータ公開 |
代替策
身代金を支払う代わりに、以下の対策を実施:
- バックアップからの復旧:適切なバックアップがあれば、これが最も確実
- 復号ツールの利用:No More Ransomプロジェクトで無料ツール提供
- フォレンジック企業への依頼:専門企業による復号可能性の調査
- サイバー保険の活用:復旧費用をカバー(ただし身代金支払いは対象外)
- 新規システム構築:完全に新しいシステムを構築し、事業を再開
インシデント対応フロー
初動24時間の対応
ランサムウェア感染が確認された場合の、最初の24時間が最も重要です。
graph TD
A[ランサムウェア検知] --> B{感染範囲確認}
B -->|限定的| C[該当システム隔離]
B -->|広範囲| D[全システム遮断]
C --> E[証拠保全]
D --> E
E --> F[対策本部設置]
F --> G[被害調査]
G --> H{身代金要求確認}
H -->|あり| I[要求内容記録]
H -->|なし| J[攻撃継続監視]
I --> K[復旧方針決定]
J --> K
K --> L[ステークホルダー通知]
L --> M[関係機関報告]
M --> N[復旧作業開始]
N --> O[広報対応]
具体的な行動指針:
0-1時間:即座の封じ込め
- 感染端末の物理的なネットワーク遮断
- 影響範囲の初期評価
- 経営層への第一報
1-6時間:状況把握と体制構築
- インシデント対応チーム招集
- 詳細な被害調査開始
- バックアップ状態確認
- 身代金要求の内容確認(支払いはしない)
6-12時間:対外対応準備
- 広報文案作成
- 顧客への通知準備
- 関係機関への報告準備
12-24時間:復旧計画策定
- 復旧優先順位決定
- 必要リソース確保
- 外部専門家の手配
関係機関への報告
法的義務と社会的責任から、適切な報告が必要です。
報告先と期限
-
警察(即日)
- 都道府県警察本部サイバー犯罪対策課
- 被害届提出(不正アクセス禁止法違反)
- 捜査協力(ログ提供等)
-
IPA(情報処理推進機構)(3日以内)
- J-CRAT(サイバーレスキュー隊)への支援要請
- インシデント情報の提供
- 技術的アドバイスの取得
-
JPCERT/CC(1週間以内)
- インシデント報告フォーム提出
- 技術支援要請
- 他組織への注意喚起協力
-
個人情報保護委員会(3日以内)
- 個人情報漏洩の可能性がある場合
- 速報と確報の2段階報告
- 本人通知の実施
-
業界団体・ISAC(適時)
- 同業他社への注意喚起
- 情報共有による被害拡大防止
よくある質問(FAQ)
- Q: ランサムウェアに感染したら、まず何をすべきですか?
- A: 即座にネットワークから切断することが最優先です。LANケーブルを物理的に抜き、Wi-Fiも無効化してください。電源は切らないでください(証拠が消える可能性があります)。その後、(1)IT部門またはセキュリティ責任者に連絡、(2)画面の写真を撮影、(3)時刻を記録、(4)他の端末も確認、という順序で対応します。決して身代金要求画面の指示に従ったり、攻撃者と交渉したりしないでください。早期の適切な対応により、被害を最小限に抑えることが可能です。
- Q: VPN機器のパッチ適用で業務が止まるのを避けたいのですが?
- A: 業務影響を最小化する方法があります。(1)冗長構成の活用:Active-Standby構成であれば、Standby機から順次適用、(2)段階的適用:深夜や週末の業務影響が少ない時間帯に実施、(3)事前検証:検証環境で影響を確認してから本番適用、(4)代替接続手段の準備:パッチ適用中は別のVPN経路を提供。ただし、不正アクセスのリスクを考えると、緊急度の高い脆弱性は業務時間中でも適用すべきです。年間のメンテナンス計画を立て、定期的なパッチ適用時間を確保することが重要です。
- Q: バックアップはクラウドだけで十分ですか?
- A: クラウドだけでは不十分です。ランサムウェアの中には、クラウドストレージにもアクセスして暗号化するものがあります。推奨は「3-2-1-1-0ルール」の実践です:3つのコピー、2種類のメディア、1つはオフサイト、1つはイミュータブル(変更不可)、0エラーの定期検証。具体的には、(1)ローカルの高速復旧用バックアップ、(2)クラウドのイミュータブルバックアップ、(3)テープやHDDのオフラインバックアップの組み合わせが理想的です。特に重要なのは、ランサムウェアが削除・暗号化できないイミュータブル設定です。
- Q: EDRは本当に必要ですか?従来のアンチウイルスでは不十分?
- A: 最新のランサムウェアに対しては従来型アンチウイルスだけでは不十分です。理由は、(1)ファイルレス攻撃やメモリ上で動作するマルウェアを検知できない、(2)ゼロデイ攻撃や未知のマルウェアに対応できない、(3)攻撃の全体像(キルチェーン)を把握できない、(4)自動対応機能がない、などです。EDRは行動分析により未知の脅威も検知し、感染端末の自動隔離により被害拡大を防ぎます。初期投資は必要ですが、ランサムウェア被害の平均額(数千万円)と比較すれば、費用対効果は明確です。
- Q: 従業員100名の中小企業ですが、どこから対策を始めるべきですか?
- A: 中小企業こそランサムウェアの標的になりやすいため、以下の優先順位で対策を実施してください:
(1)VPN機器のパッチ適用(今すぐ):最も多い侵入経路なので最優先
(2)オフラインバックアップ(1週間以内):外付けHDD3台でのローテーションから開始
(3)従業員教育(1ヶ月以内):フィッシングメール訓練の実施
(4)EDR導入(3ヶ月以内):Microsoft Defenderなど費用対効果の高い製品から
(5)ネットワーク分離(6ヶ月以内):最低限、経理システムは分離
予算が限られる場合は、無料または安価なツール(Windows Defender、オープンソースツール)を活用しながら、段階的に強化していくアプローチが現実的です。 - Q: ランサムウェア保険に入れば対策は不要ですか?
- A: 保険は対策の代替にはなりません。サイバー保険の注意点:(1)身代金の支払いは補償対象外の場合が多い、(2)セキュリティ対策が不十分だと保険金が支払われない、(3)データ復旧や事業中断の損失は一部しかカバーされない、(4)保険料が年々上昇している(前年比30-50%増)、(5)免責期間や上限額の制限がある。保険はあくまでも最後のセーフティネットです。適切なセキュリティ対策を実施した上で、残存リスクに対して保険でカバーするという考え方が重要です。また、保険会社が要求するセキュリティ基準を満たすことで、結果的にセキュリティレベルが向上する副次的効果もあります。
- Q: 攻撃者から「データを公開する」と脅迫されました。どうすべきですか?
- A: 脅迫に応じてはいけません。対応手順:(1)脅迫内容をすべて記録(スクリーンショット、メール保存)、(2)警察にサイバー犯罪として被害届提出、(3)影響を受ける可能性がある顧客・取引先に事前通知、(4)データ公開された場合の対応準備(お詫び文、コールセンター設置等)、(5)データ漏洩を前提とした対策(パスワード変更推奨等)。統計では、身代金を支払っても45%はデータを公開されています。支払いは解決策ではなく、むしろ「支払う企業」として他の攻撃者からも狙われるリスクを高めます。透明性を持って対応し、被害者への適切なケアを行うことが、長期的な信頼回復につながります。
まとめ:予防と準備の重要性
ランサムウェアは、もはや「感染するかどうか」ではなく「いつ感染するか」という前提で対策を講じる必要があります。重要なのは以下の5つのポイントです:
- 不正アクセス対策がランサムウェア対策の第一歩:侵入を防ぐことが最も効果的
- 多層防御による被害最小化:単一の対策に依存せず、複数の防御層を構築
- バックアップによる事業継続性確保:3-2-1-1-0ルールに基づく確実な復旧体制
- 定期的な訓練による対応力向上:机上訓練だけでなく、実践的な復旧訓練の実施
- 身代金は支払わない方針の徹底:支払いは問題を解決せず、さらなる被害を招く
不正アクセスからランサムウェア感染まで平均31日。この期間に適切な対策と早期発見ができれば、被害は防げます。今すぐ行動を開始してください。
ランサムウェア対策は、組織の存続に関わる経営課題です。
【重要なお知らせ】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません
- 実際に被害に遭われた場合は、警察および専門家にご相談ください
- 身代金の支払いは推奨しません
- 対策の実施は自組織の責任において判断してください
- 記載内容は2025年11月時点の情報であり、脅威は日々進化しています
更新履歴
- 初稿公開
