なぜトロイの木馬が入口になるのか
トロイの木馬がランサムウェア攻撃の入口として選ばれる理由は、その特性が段階的な攻撃に最適だからです。攻撃者にとって、トロイの木馬は「偵察兵」であり「橋頭堡」であり、最終的な破壊活動への準備を整える重要なツールとなっています。
- 初期侵入の成功率が高い
- トロイの木馬は、有用なソフトウェアや正当な文書ファイルに偽装することで、ユーザー自身に実行させることができます。セキュリティソフトも「ユーザーが意図的に実行したプログラム」として認識しやすく、初期防御をすり抜ける確率が高くなります。特にEmotetやTrickBotといった高度なトロイの木馬は、70%以上の確率で初期侵入に成功しています。最新の調査では、フィッシングメールに添付されたトロイの木馬の開封率は25%に達し、そのうち60%が実際に感染に至っています。
- 潜伏期間中の内部調査
- ランサムウェアを即座に実行するのではなく、トロイの木馬として数週間から数ヶ月潜伏することで、攻撃者は徹底的な内部調査が可能になります。ネットワーク構造の完全把握、重要データの保存場所特定、バックアップシステムの仕組み解明、管理者アカウントの特定、業務フローの理解など、効果的なランサムウェア攻撃に必要なすべての情報を収集します。この期間中、トロイの木馬は通常の業務トラフィックに紛れて活動し、検出を回避します。
- 権限昇格の時間確保
- 一般ユーザー権限で侵入した後、管理者権限やドメイン管理者権限を獲得するには時間と戦略が必要です。トロイの木馬は、この権限昇格のプロセスを隠蔽しながら実行できます。Mimikatzなどのツールを使用したパスワードダンプ、Pass-the-Hash攻撃、Kerberoasting攻撃など、様々な手法を試行錯誤しながら、最終的にドメイン全体を制御できる権限を獲得します。
- バックアップの特定と破壊
- 最も重要な点は、バックアップシステムの特定と無効化です。ランサムウェアが成功するためには、被害者がバックアップから復旧できない状況を作る必要があります。トロイの木馬は、バックアップサーバーの場所、バックアップスケジュール、保持期間、リストア手順などを詳細に調査し、ランサムウェア実行前にこれらを破壊または暗号化する準備を整えます。
攻撃の段階的エスカレーション
トロイの木馬からランサムウェアへの攻撃は、綿密に計画された段階的プロセスを経て実行されます。各段階での活動と、それに要する時間を詳しく見ていきましょう。
Phase 1:侵入と偵察(1-30日)
| 活動内容 | 目的 | 使用ツール/手法 | 所要時間 |
|---|---|---|---|
| 初期感染 | システムへの足がかり確立 | フィッシング、脆弱性悪用 | 数分〜数時間 |
| 永続化 | 再起動後も生存 | レジストリ、タスク登録 | 1-2日 |
| 内部偵察 | ネットワーク把握 | ADスキャン、ポートスキャン | 3-7日 |
| 認証情報収集 | 権限獲得の準備 | Mimikatz、キーロガー | 7-14日 |
| データマッピング | 重要データ特定 | ファイル共有探索 | 14-30日 |
- トロイの木馬による初期感染
- フィッシングメール、ソフトウェアの脆弱性、RDPの総当たり攻撃など、様々な手法で最初のトロイの木馬を送り込みます。この段階では、目立たない小さなプログラムとして動作し、次の段階への準備を整えます。感染後最初の48時間は、セキュリティソフトの種類や設定を調査し、検出を回避する方法を確立します。
- ネットワーク構造の把握
- Active Directoryの構造、サーバーの配置、ネットワークセグメント、ファイアウォールルール、VLANの構成などを詳細に調査します。この情報は、後の横展開と効率的な暗号化のために不可欠です。特に重要なのは、ドメインコントローラーの特定と、管理者が使用する特権アカウントの把握です。
- 重要データの位置特定
- 財務データ、顧客情報、知的財産、医療記録、研究データなど、企業にとって最も価値のあるデータの保存場所を特定します。ファイルサーバー、データベースサーバー、クラウドストレージの同期フォルダなど、すべてのデータ保存場所をマッピングします。
- 管理者権限の奪取
- Mimikatzなどのツールを使用して、メモリから認証情報を抽出します。また、キーロガーを使用してパスワードを記録したり、ソーシャルエンジニアリングで管理者を騙したりして、より高い権限を獲得します。最終目標は、ドメイン管理者権限の取得です。
Phase 2:拡散と準備(30-60日)
この段階では、攻撃者は取得した権限と情報を使用して、ネットワーク全体に影響力を拡大します。
| 活動内容 | 詳細 | リスクレベル |
|---|---|---|
| 横展開(Lateral Movement) | 他システムへの感染拡大 | 高 |
| バックドア設置 | 複数の侵入経路確保 | 中 |
| データ窃取 | 二重脅迫の準備 | 極高 |
| ツール配置 | ランサムウェア準備 | 高 |
| 通信経路確立 | C&Cサーバー接続 | 中 |
- 横展開(Lateral Movement)
- 取得した認証情報を使用して、ネットワーク内の他のシステムに感染を広げます。SMBプロトコル、RDP接続、WMI、PSExecなどを悪用し、サーバーやワークステーションに侵入します。この段階で、攻撃者は「Living off the Land」技術を使用し、PowerShellやWMICなどの正規ツールを悪用することで、検出を回避します。
- バックドアの複数設置
- 複数の永続化メカニズムとバックドアを設置し、一つが発見されても攻撃を継続できるようにします。Cobalt Strike、Metasploit、カスタムマルウェアなど、様々なツールを使用して、冗長性のある侵入経路を確保します。これらのバックドアは、異なるプロトコルや通信ポートを使用し、検出を困難にします。
- データの事前窃取
- 暗号化前に重要データをコピーして外部サーバーに送信し、二重脅迫の準備をします。この段階で窃取されるデータ量は、平均して100GB〜10TBに及びます。データは暗号化され、複数の中継サーバーを経由して、攻撃者のインフラに送信されます。
- ランサムウェア投下準備
- ランサムウェア本体をダウンロードし、ネットワーク内の戦略的な場所に配置します。グループポリシー、ログオンスクリプト、スケジュールタスクなどを使用して、一斉実行の準備を整えます。この段階で、攻撃者はランサムウェアの暗号化速度とカバー範囲を最適化します。
Phase 3:実行(D-Day)
最終段階は通常、金曜日の夜や連休前など、IT部門の対応が遅れやすく、業務への影響が最大化するタイミングで実行されます。
-
バックアップの破壊
- Volume Shadow Copy(VSS)の削除
- バックアップサーバーの暗号化
- クラウドバックアップの削除または暗号化
- テープバックアップの物理的アクセス妨害
-
ランサムウェアの一斉展開
- グループポリシーを使用した全端末への配布
- PsExecやWMICを使用した遠隔実行
- 感染したシステムからの自動拡散
-
データの暗号化実行
- 重要度の高いファイルから優先的に暗号化
- データベースファイル、仮想マシンイメージを標的
- 数時間で全社のデータを暗号化
-
身代金要求の表示
- 各端末のデスクトップに身代金要求メッセージ
- 暗号化されたファイルの拡張子変更
- 復号方法と支払い手順の詳細説明
二重脅迫(Double Extortion)の仕組み
第一の脅迫:暗号化
従来型のランサムウェア攻撃の主要な脅迫手段は、データの暗号化による業務停止です。
- ファイルの使用不能化
- 文書、画像、動画、データベース、設定ファイルなど、すべてのファイルが強力な暗号化アルゴリズム(AES-256、RSA-2048など)で暗号化され、開けない状態になります。ファイル名も変更され、「.locked」「.encrypted」などの拡張子が付加されます。
- 業務の完全停止
- 基幹システム、生産管理システム、顧客管理システム、会計システムなど、企業のすべての業務システムが停止します。メールサーバー、ファイルサーバー、アプリケーションサーバーも影響を受け、通常業務の遂行が不可能になります。
- 復号鍵と引き換えの身代金
- 暗号化を解除する唯一の方法として、復号鍵の提供と引き換えに身代金を要求します。支払いは通常、ビットコインなどの暗号通貨で要求され、追跡を困難にします。
- 平均要求額
- 日本企業の場合、平均要求額は5000万円から3億円の範囲です。企業規模、業界、データの重要性により金額は変動しますが、年々高額化する傾向にあります。
第二の脅迫:データ公開
2019年頃から主流となった二重脅迫は、単なる暗号化以上の脅威をもたらします。
| 脅迫段階 | 内容 | タイミング | 影響度 |
|---|---|---|---|
| 第1段階 | データ窃取の通知 | 暗号化と同時 | 中 |
| 第2段階 | サンプル公開 | 交渉開始時 | 高 |
| 第3段階 | 部分公開 | 支払い期限前 | 極高 |
| 第4段階 | 全面公開 | 交渉決裂時 | 壊滅的 |
- 事前に窃取したデータの暴露威嚇
- 「支払わなければ、窃取した機密データをインターネット上に公開する」という脅迫を行います。顧客リスト、財務情報、従業員の個人情報、知的財産など、企業の評判と競争力に直接影響するデータが人質となります。
- ダークウェブでの段階的公開
- 攻撃者は専用のリークサイトを運営し、被害企業のデータを段階的に公開します。最初は企業名と窃取データの概要、次にサンプルデータ、最終的には全データという段階的アプローチで、支払いへの圧力を高めます。
- 顧客・取引先への影響
- データ流出により、顧客や取引先の情報も漏洩します。これにより、被害企業は顧客からの訴訟、取引停止、信用失墜など、長期的な影響を受けることになります。
- GDPR/個人情報保護法違反リスク
- 個人情報の流出は、各国のプライバシー法違反となり、巨額の制裁金が課される可能性があります。GDPRでは年間売上高の4%または2000万ユーロのいずれか高い方が上限となります。
三重脅迫の出現
2021年以降、攻撃者はさらに巧妙な三重脅迫、四重脅迫へとエスカレートしています。
- DDoS攻撃の追加
- 身代金を支払わない場合、企業のWebサイトやオンラインサービスに対して大規模なDDoS攻撃を実行し、オンラインビジネスを妨害します。これにより、暗号化とデータ流出に加えて、サービス停止という第三の脅威が加わります。1秒あたり数百ギガビットの攻撃により、企業のオンラインプレゼンスを完全に遮断します。
- 顧客への直接連絡
- 窃取したデータから顧客の連絡先を抽出し、「あなたの個人情報が○○社から流出しました」と直接連絡します。これにより、顧客からの問い合わせが殺到し、企業は対応に追われます。さらに、顧客に対して「あなたの情報を削除してほしければ、○○社に身代金を支払うよう要求してください」というメッセージを送ることもあります。
- 内部情報を使った恐喝
- 経営者の個人情報、不正行為の証拠、機密プロジェクトの情報などを使って、追加の恐喝を行います。「この情報を公開されたくなければ、追加の身代金を支払え」という脅迫により、企業は二重、三重の支払いを強要されることがあります。
- サプライチェーンへの攻撃予告
- 「身代金を支払わなければ、取引先企業も攻撃する」という脅迫を行います。実際に、被害企業の認証情報を使用して取引先のシステムに侵入し、連鎖的な被害を引き起こすケースが報告されています。
主要な攻撃チェーンの実例
Emotet → TrickBot → Ryuk
最も有名で破壊的な攻撃チェーンの一つを詳しく分析します。
実際の攻撃フロー
-
Emotetでの初期感染(メール経由)
- 請求書、履歴書、COVID-19情報などを装ったフィッシングメール
- マクロ付きWord/Excelファイルまたは悪意のあるリンク
- 感染率:メール開封者の約25%
-
TrickBotのダウンロード(1-3日後)
- EmotetがTrickBotモジュールをダウンロード
- バンキング情報の窃取開始
- ネットワーク内での横展開準備
-
Cobalt Strike展開(1週間後)
- より高度な侵入ツールとして展開
- C2通信の確立
- 管理者権限の取得
-
ドメイン管理者権限奪取(2週間後)
- Active Directory全体の制御
- すべてのシステムへのアクセス確保
- GPOを使用した展開準備
-
Ryukランサムウェア展開(3週間後)
- バックアップシステムの破壊
- 全システムへの一斉展開
- 暗号化の実行
-
全社システム暗号化(数時間)
- 平均300台/時間の速度で暗号化
- ファイルサーバー優先的に暗号化
- 身代金要求の表示
被害規模
| 指標 | 数値 | 詳細 |
|---|---|---|
| 感染企業数 | 5000社以上 | 全世界累計 |
| 平均身代金 | 1.5億円 | 支払い事例の平均 |
| 復旧期間 | 21日 | 完全復旧まで |
| 売上影響 | 30%減 | 3ヶ月間の平均 |
| データ復旧率 | 65% | 身代金支払い後 |
QakBot → ProLock → Egregor
より洗練された攻撃チェーンとして、人間のオペレーターが深く関与するパターンです。
- より高度な回避技術
- QakBotは、サンドボックス検出、仮想環境回避、デバッガー検出などの高度な回避技術を実装しています。また、正規のプロセスに注入することで、検出を困難にします。
- 人間のオペレーター介入
- 自動化されたツールだけでなく、熟練したハッカーがリアルタイムで攻撃を調整します。標的の環境に応じて戦術を変更し、防御を回避しながら目的を達成します。
- カスタマイズされた攻撃
- 標的企業の業界、規模、セキュリティ体制に応じて、攻撃手法をカスタマイズします。医療機関には医療記録を、製造業には設計図を優先的に暗号化するなど、最大の影響を与える戦術を選択します。
- 成功率:約40%
- 初期侵入から身代金回収まで成功する確率は約40%と、自動化された攻撃よりも高い成功率を誇ります。
IcedID → Maze → Conti
金融機関を主要標的とする、データ窃取に特化した攻撃チェーンです。
| 段階 | ツール | 主な活動 | 期間 |
|---|---|---|---|
| 初期感染 | IcedID | バンキング情報窃取 | 1-7日 |
| 権限昇格 | Mimikatz等 | 管理者権限取得 | 7-14日 |
| データ窃取 | カスタムツール | 大量データ外部送信 | 14-30日 |
| ランサムウェア | Maze/Conti | 暗号化と脅迫 | 30日目以降 |
トロイの木馬の種類別ランサムウェアリスク
高リスク型(90%がランサムウェア化)
トロイの木馬の種類によって、ランサムウェアに発展するリスクは大きく異なります。
1. Emotet系
- 最も一般的な経路
- 全ランサムウェア攻撃の35%がEmotet経由で始まっています。Emotetは「マルウェアのデパート」として機能し、様々なランサムウェアグループに初期アクセスを提供します。その自己拡散能力と検出回避技術により、組織全体への感染が容易です。
- 自動化された展開
- Emotetは、感染後自動的に追加のペイロードをダウンロードし、人間の介入なしにランサムウェアまで展開できます。この自動化により、攻撃のスケールが可能になります。
- 検出困難性
- ポリモーフィック技術により、シグネチャベースの検出を回避します。また、正規のプロセスを装うことで、振る舞い検知も困難にします。
2. TrickBot系
- 銀行情報も窃取
- TrickBotは、ランサムウェア展開前に銀行口座情報、クレジットカード情報なども窃取します。これにより、攻撃者は二重の収益源を確保できます。
- モジュール式構造
- 必要な機能を後から追加できるモジュール式設計により、環境に応じた最適な攻撃が可能です。パスワード窃取、画面キャプチャ、キーロギングなど、20種類以上のモジュールが確認されています。
- 継続的な更新
- 開発者が活発に更新を続けており、新しいセキュリティ対策への対抗手段が迅速に実装されます。週単位で新しいバージョンがリリースされることもあります。
3. QakBot系
- 長期潜伏型
- QakBotは平均45日間システムに潜伏し、その間に詳細な内部調査を行います。この長期潜伏により、攻撃者は標的の環境を完全に把握し、最適なランサムウェア展開計画を立てることができます。
- 企業ネットワーク特化
- Active Directory環境に最適化されており、企業ネットワークでの拡散に特化しています。ドメインコントローラーへの侵入、グループポリシーの悪用など、企業環境特有の攻撃手法を実装しています。
- 高度な権限昇格
- ゼロデイ脆弱性の悪用、Pass-the-Hash攻撃、Kerberoasting など、様々な権限昇格手法を駆使します。
中リスク型(30-50%)
| マルウェア | 主目的 | ランサムウェア化率 | 特徴 |
|---|---|---|---|
| Dridex | 金融情報窃取 | 45% | 主に金融機関標的 |
| IcedID | バンキング詐欺 | 40% | 高度な回避技術 |
| BazarLoader | バックドア | 50% | 選択的攻撃 |
| Bumblebee | アクセス販売 | 35% | 2022年登場の新型 |
低リスク型(10%以下)
低リスク型のトロイの木馬は、主に情報窃取や広告表示など、ランサムウェア以外の目的で使用されます。
- 単純なバンキング型:金銭窃取が主目的で、システム破壊には興味がない
- アドウェア型:広告収入が目的で、システムの安定性を保つ必要がある
- 情報窃取特化型:継続的な情報収集が目的で、発見されないことが重要
攻撃者グループの分業体制
アクセスブローカー
初期アクセスを専門に扱う犯罪者グループの役割と活動を詳しく見ていきます。
- 初期アクセス権の販売
- 侵入に成功した企業のアクセス権を、ダークウェブのマーケットプレイスで販売します。価格は企業規模、業界、アクセスレベルにより変動し、10万円から50万円が相場です。Fortune 500企業へのドメイン管理者アクセスは、数百万円で取引されることもあります。
- トロイの木馬の運用
- Emotet、TrickBot、QakBotなどのボットネットを運用し、継続的に新しい標的に感染を広げます。これらのボットネットは、数万から数百万の感染端末で構成され、巨大なインフラとなっています。
- 価格設定
- アクセスの価格は、企業の年間売上、従業員数、業界、地理的位置、取得した権限レベルなどにより決定されます。医療機関や金融機関へのアクセスは特に高値で取引されます。
- 主要マーケット
- Exploit、RaidForums(閉鎖)、XSSなどのダークウェブフォーラムで取引が行われます。評価システムにより信頼性が担保され、エスクローサービスにより安全な取引が保証されます。
ランサムウェアオペレーター
ランサムウェア本体の開発と運営を行うグループです。
| 活動内容 | 詳細 | 収益モデル |
|---|---|---|
| RaaS運営 | プラットフォーム提供 | 利用料・成功報酬 |
| インフラ提供 | C&Cサーバー、決済システム | 月額利用料 |
| 技術サポート | 暗号化支援、交渉代行 | コンサルティング料 |
| マネーロンダリング | 暗号通貨の換金 | 手数料10-20% |
アフィリエイト
実際にランサムウェア攻撃を実行する実行部隊です。
- 実際の攻撃実行
- 購入したアクセス権を使用して、ランサムウェアを展開します。標的の環境を調査し、最適なタイミングと方法で暗号化を実行します。
- ターゲット選定
- 収益性の高い標的を選定します。サイバー保険に加入している企業、規制の厳しい業界、ダウンタイムのコストが高い企業などを優先的に狙います。
- 交渉担当
- 被害企業との身代金交渉を担当します。心理的圧力をかけながら、最大限の身代金を引き出す交渉術を持っています。
- 平均収益
- 成功した案件では、1件あたり平均500万円の収益を得ます。大規模な攻撃では、数億円の収益となることもあります。
防御戦略:キルチェーンの遮断
初期侵入の防止(トロイの木馬対策)
技術的対策
- メールセキュリティ強化
- サンドボックス機能付きのメールゲートウェイを導入し、添付ファイルを仮想環境で実行して検証します。機械学習を活用した異常検知により、未知の脅威も検出可能です。SPF、DKIM、DMARCの適切な設定により、なりすましメールを防ぎます。
- EDR/XDRの導入
- エンドポイントでの異常な動作をリアルタイムで検知し、自動的に隔離・駆除します。ファイルレスマルウェアやゼロデイ攻撃にも対応可能で、攻撃の初期段階で阻止できます。
- アプリケーション制御
- AppLockerやWindows Defender Application Controlにより、許可されたアプリケーションのみの実行を許可します。未署名のプログラムや、信頼できない発行元のプログラムは自動的にブロックされます。
- マクロの無効化
- グループポリシーでOfficeマクロを原則無効化し、必要最小限の例外のみ許可します。インターネットからダウンロードしたファイルのマクロは、デフォルトでブロックする設定を推奨します。
人的対策
| 対策 | 実施頻度 | 目標値 | 効果測定 |
|---|---|---|---|
| 標的型メール訓練 | 月1回 | 開封率10%以下 | 開封率・報告率 |
| セキュリティ研修 | 四半期 | 受講率100% | 理解度テスト |
| インシデント訓練 | 半期 | 対応時間30分以内 | 初動対応時間 |
| 意識調査 | 年1回 | 意識レベル80点以上 | アンケート |
横展開の阻止
ネットワーク分離
- セグメンテーション実装
- VLANやファイアウォールでネットワークを細分化し、感染拡大を物理的に制限します。重要システムは独立したセグメントに配置し、通常業務ネットワークからのアクセスを制限します。マイクロセグメンテーション技術により、アプリケーションレベルでの分離も実現します。
- 最小権限の原則
- 各ユーザーには業務に必要な最小限の権限のみを付与します。管理者権限は時限的に付与し、使用後は自動的に剥奪されます。特権アカウントは定期的に棚卸しを行い、不要なアカウントは即座に削除します。
- 特権アクセス管理(PAM)
- 管理者権限の使用を厳格に管理し、すべての操作を記録・監視します。Just-In-Time(JIT)アクセスにより、必要な時だけ権限を付与し、作業完了後は自動的に権限を剥奪します。
- MFAの全面導入
- すべての重要システムへのアクセスに多要素認証を要求します。特に、管理者アカウント、VPNアクセス、クラウドサービスへのアクセスには必須とします。生体認証やハードウェアトークンの使用を推奨します。
ランサムウェア実行の防止
最終防衛線として、ランサムウェアの実行を阻止する対策です。
- ランサムウェア対策機能
- 専用の振る舞い検知エンジンにより、ランサムウェア特有の動作(大量ファイルの暗号化、拡張子の一括変更など)を検知し、即座に停止します。
- Controlled Folder Access
- Windows Defenderの機能により、重要フォルダへの不正なアクセスをブロックします。ドキュメント、デスクトップ、ピクチャなどのフォルダを保護します。
- バックアップの隔離保護
- バックアップシステムを本番環境から完全に分離し、異なる認証情報で管理します。バックアップデータへのアクセスは、専用端末からのみ許可します。
- イミュータブルバックアップ
- 一度作成されたバックアップは変更・削除不可能な状態で保存します。WORM(Write Once Read Many)技術により、ランサムウェアからの破壊を防ぎます。
バックアップ戦略3-2-1ルール
基本原則
効果的なバックアップ戦略の基本となる3-2-1ルールを詳しく解説します。
| 要素 | 内容 | 目的 |
|---|---|---|
| 3つのコピー | 本番+バックアップ2つ | 冗長性確保 |
| 2種類のメディア | HDD+テープ/クラウド | メディア障害対策 |
| 1つはオフサイト | 遠隔地保管 | 災害対策 |
ランサムウェア対応の強化版
3-2-1-1-0ルール
- 追加の「1」:オフライン/エアギャップ
- 少なくとも1つのバックアップは、ネットワークから完全に切り離された状態で保管します。テープメディアの物理的な保管、ネットワーク接続を物理的に遮断したストレージなどが該当します。
- 追加の「0」:エラーの定期検証
- すべてのバックアップは定期的にリストアテストを実施し、エラーがゼロであることを確認します。月1回以上のテスト実施を推奨します。
クラウドバックアップの注意点
- 同期型は危険
- リアルタイム同期型のクラウドストレージは、暗号化されたファイルも同期してしまうため、バックアップとして機能しません。必ずバージョニング機能やスナップショット機能を有効にします。
- バージョニング機能必須
- 最低30日分、可能であれば90日分のバージョン履歴を保持します。ランサムウェアの潜伏期間を考慮し、十分な期間のバージョンを保存します。
- アクセス権限の分離
- バックアップ管理者と本番システム管理者のアカウントを完全に分離します。バックアップシステムへのアクセスは、多要素認証を必須とし、アクセスログを監査します。
- 定期的なリストアテスト
- 月1回以上、実際にバックアップからのリストアテストを実施します。部分リストア、完全リストア、別環境へのリストアなど、様々なシナリオでテストします。
まとめ
トロイの木馬とランサムウェアの組み合わせは、現代のサイバー脅威において最も破壊的な攻撃手法です。初期侵入から数週間かけて準備を整え、最終的に企業全体を人質に取る二重脅迫、三重脅迫は、従来のセキュリティ対策では防ぎきれません。
重要なのは、攻撃チェーンの各段階で防御策を講じる多層防御と、感染を前提とした迅速な対応体制の構築です。技術的対策と人的対策を組み合わせ、継続的な改善を行うことで、この脅威に対抗することができます。特に、バックアップ戦略の強化と、従業員教育の徹底は、最後の砦として機能します。
2025年の脅威環境では、AIを活用した攻撃の自動化、サプライチェーンを経由した複合攻撃、クラウド環境を標的としたランサムウェアなど、さらに高度な攻撃が予想されます。企業は、ゼロトラストアーキテクチャの採用、EDR/XDRの導入、インシデント対応体制の強化など、包括的な対策を講じる必要があります。
更新履歴
- 初稿公開
