2025年に向け、ランサムウェアの脅威はますます高度化しています。特に、トレンドマイクロによると、PHOBOSやLOCKBITといった新たなマルウェアが企業を直撃しています。さらに、NTTデータは、生成AIを悪用した攻撃が急増していると指摘。これにより、中小企業も高度なサイバー攻撃のリスクにさらされています。
本記事では、カシオ計算機や東京海上日動が直面した事例を基に、具体的な対策と今すぐ実行すべきステップをご紹介します。
ランサムウェア攻撃の最新動向:PHOBOSとLOCKBITが企業を狙う
2025年に向けて、ランサムウェア攻撃はさらに高度化しており、その中でも注目されているのがPHOBOSとLOCKBITです。トレンドマイクロの2024年第1四半期のレポートでは、PHOBOSというランサムウェアが急速に勢力を伸ばしていると報告されています。PHOBOSは、主に中小企業を狙い、セキュリティが脆弱なネットワークを経由して感染を拡大させています。
一方、従来から強力なランサムウェアとして知られているLOCKBITは、引き続きその脅威を拡大し、依然として業界内で最も多くの被害をもたらしているとされています。LOCKBITは、ランサムウェア攻撃者が「RaaS(Ransomware-as-a-Service)」として提供するサービスを利用して、攻撃を拡大しています。このRaaSは、攻撃者がツールを提供し、別の犯罪者がそれを使って攻撃を行うという、サイバー犯罪の新たなビジネスモデルです。
2024年のレポートでは、特にVPN経由の感染経路が減少している一方で、エンドポイントデバイスや社内ネットワークへの直接侵入が増加していることが報告されています。これにより、企業のネットワーク全体が短時間で麻痺状態に陥るケースが増えており、特に多国籍企業や大手金融機関が標的にされています。攻撃手法も巧妙化しており、企業が保有するバックアップデータやリカバリ手段さえも無効化する高度な技術が使われています。
このように、PHOBOSやLOCKBITのような進化するランサムウェア攻撃に対して、企業はこれまで以上に高度なセキュリティ対策を講じる必要があります。特に、侵入防止策や脅威の早期検知、迅速な被害抑制が重要となるでしょう。
ランサムウェア「RaaS(Ransomware-as-a-Service)」の急成長
「RaaS(Ransomware-as-a-Service)」という言葉が急速にサイバーセキュリティ業界で注目されています。CosmicBeetleグループなどのランサムウェア攻撃者がこのサービスモデルを利用して、より大規模かつ高度な攻撃を展開しているのです。RaaSは、ランサムウェア攻撃をサービスとして提供する新しいビジネスモデルで、技術的に未熟な犯罪者でも高度な攻撃を実行できるようにしています。
具体的には、RaaSの提供者が攻撃ツールを用意し、他の攻撃者がそのツールを使用して実際の攻撃を行います。攻撃者は、攻撃が成功した場合に得た身代金をRaaS提供者と分け合う形で利益を得ます。このビジネスモデルにより、ランサムウェア攻撃のスピードと規模が大幅に拡大しています。たとえば、CosmicBeetleグループは、数ヶ月で数百件の攻撃を実行しており、世界中の企業に深刻な被害をもたらしています。
RaaSの利点は、攻撃者が自分でランサムウェアを開発する必要がなく、簡単に攻撃を実行できることです。これにより、中小規模の犯罪グループや個人が、大規模なサイバー攻撃を展開できるようになっています。このような攻撃の増加により、企業はセキュリティインシデントの発生頻度が飛躍的に上昇していると報告されています。
特に、日本国内の企業でもRaaSを利用した攻撃が増加しており、2024年のZscaler ThreatLabzレポートでは、特定の業種が狙われるケースが増えていることが確認されています。攻撃は、特に医療機関や教育機関など、サイバーセキュリティリソースが限られている業界で深刻化しています。
RaaSの急成長により、従来の防御策では対応が難しくなっているため、企業はセキュリティ対策の見直しと強化が急務となっています。
生成AIが加速するランサムウェアの脅威
2025年に向けて、ランサムウェア攻撃は新たな段階に突入しつつあります。その中心にあるのが、生成AIの活用です。NTTデータが報告したように、生成AI技術を利用することで、攻撃者はランサムウェアの作成や展開をこれまで以上に迅速かつ効果的に行うことが可能になっています。従来、ランサムウェアの作成には高度なプログラミングスキルが必要でしたが、生成AIはそのハードルを下げ、サイバー攻撃を誰でも行える状況に変えつつあります。
例えば、生成AIを活用することで、ターゲット企業の脆弱性を迅速に分析し、カスタマイズされたランサムウェアを自動生成することができます。このような技術により、攻撃者は企業の内部ネットワークや特定のシステムにピンポイントで攻撃を仕掛けることが可能です。加えて、生成AIはソーシャルエンジニアリングにも利用されており、攻撃対象の企業の従業員や取引先に偽のメールやメッセージを送りつけるフィッシング攻撃も高度化しています。
さらに、生成AIはマルウェアそのものの進化にも寄与しています。2024年に報告されたLOCKBITやPHOBOSなどのランサムウェアは、AIによって複雑な暗号化プロセスや侵入経路を自動的に最適化する機能を持っており、これまでよりも短期間で広範囲にわたるシステム破壊が可能になっています。このような攻撃に対処するには、企業側のセキュリティ強化が急務です。
AIによる自動生成されたランサムウェアに対抗するためには、XDR(拡張検出と対応)やEDR(エンドポイント検出と対応)などの高度な防御策を導入し、常に最新の脅威インテリジェンスを取り入れる必要があります。生成AIの進化により、企業が従来の防御策に依存するだけでは不十分な時代に突入しているのです。
カシオ計算機や東京海上日動が直面したランサムウェア被害
2024年、カシオ計算機が大規模なランサムウェア攻撃を受け、重要な個人情報や契約書が流出するという深刻な被害を受けました。この攻撃は同社の業務にも影響を及ぼし、製品の出荷遅延や取引先への説明対応に追われる結果となりました。具体的には、ランサムウェアにより社内ネットワークが一時的に停止し、復旧作業に多大な時間を要したことが報告されています。これは日本国内でも注目を集め、ランサムウェアによる被害がいかに重大であるかを浮き彫りにしました。
また、同じく東京海上日動も顧客情報7.2万件が流出した可能性があると報じられました。この事件は、日本の大手金融機関がサイバー攻撃の標的になる危険性がますます高まっていることを示しています。損保ジャパンや三井住友海上も同様にランサムウェア攻撃を受けており、金融業界全体がサイバー脅威に対する対策を強化する必要性に迫られています。
これらの事例からわかるように、ランサムウェア攻撃は一企業の問題にとどまらず、サプライチェーン全体に波及するリスクをはらんでいます。特に、個人情報や契約データが攻撃対象となる場合、その影響は甚大です。企業はこれに対応するため、内部のセキュリティシステムだけでなく、取引先やサプライヤーとの連携強化、さらに外部からの攻撃に対する即時対応策の策定が必要不可欠です。
カシオ計算機や東京海上日動のように、ランサムウェア被害を受けた企業は、復旧作業や顧客への対応に多くのリソースを割かなければなりません。これに対して、従来の防御策では十分でないケースが多く、セキュリティ対策の再検討が急務となっています。
2025年のランサムウェア対策:多層防御とXDR(拡張検出・対応)の重要性
2025年に向けたランサムウェア対策として、多層防御とXDR(拡張検出・対応)が注目されています。従来のセキュリティ対策は、主に境界防御に重点を置いていましたが、ランサムウェアがますます高度化する中で、これだけでは不十分です。特に、侵入される前提での対応が重要視されています。
ソフトバンクは、XDRを活用した新しいセキュリティアプローチを提案しています。XDRは、従来のEDR(エンドポイント検出・対応)と比較して、ネットワーク全体にわたる包括的な監視と脅威の検出を可能にします。具体的には、エンドポイントだけでなく、クラウドやサーバー、アプリケーションレイヤーなど複数のデータソースを統合して脅威を検知し、攻撃が広がる前に迅速に対応することができます。
また、NTT東日本は、多層防御が効果的であると指摘しています。ランサムウェアが複数の攻撃経路を使用するため、各層で異なる防御策を配置することが求められます。具体的には、外部ネットワークのアクセス制御、データの暗号化、ファイアウォール、侵入検知システム、そしてバックアップの定期的な検証が多層防御の一部として推奨されています。
企業はこれらの技術を駆使して、ランサムウェアによる被害を最小限に抑えることが可能です。特に、攻撃が多層の防御をすり抜けても、XDRによる早期検知と自動化された対応がランサムウェアの拡散を食い止める鍵となります。企業がこうした高度な対策を取り入れることで、2025年に向けたサイバーセキュリティの強化が進むでしょう。
感染防止のために押さえるべき初動対応策
ランサムウェアに感染した場合、初動対応が被害を最小限に抑えるための鍵となります。特に重要なのは、感染が確認されたデバイスを直ちにネットワークから隔離することです。感染が広がる前に、ネットワークを物理的に切断することで、他のデバイスやサーバーへの拡散を防止することが可能です。
IPA(情報処理推進機構)が提供するガイドラインでは、ランサムウェアに感染した場合、迅速な対応が求められています。具体的な対応策としては、感染端末のシャットダウンやネットワークケーブルの抜去、さらに感染が広がった場合には、ネットワーク全体のトラフィックを停止させるなどの緊急措置が推奨されています。また、ランサムウェア攻撃が疑われる場合は、即座にバックアップからのリストアを行うことが求められます。
初動対応では、企業内部のIT担当者だけでなく、外部のサイバーセキュリティ専門家との迅速な連携も重要です。多くの企業では、こうしたサイバー攻撃に備え、事前に外部の専門家との契約を結んでおくことが推奨されています。トレンドマイクロのレポートでは、ランサムウェア攻撃を受けた企業の多くが、初動対応の遅れが被害の拡大を招いた事例を挙げています。
さらに、被害が発生した場合は、法的対応も重要です。警察やセキュリティ機関に連絡し、攻撃の詳細を報告することで、今後の被害拡大を防ぐことが可能です。迅速かつ適切な初動対応は、企業の業務継続と被害の拡大防止に大きく貢献します。
RaaSや生成AIに備えるための今すぐ実行すべき3つの対策
ランサムウェアのRaaS(Ransomware-as-a-Service)や生成AIを利用した攻撃が増加している中で、企業が取るべき具体的な対策は3つあります。まず最も重要なのは、EDR(エンドポイント検出と対応)の導入です。EDRは、企業のエンドポイントで発生する異常な活動をリアルタイムで検知し、即座に対応することが可能です。これにより、ランサムウェアの感染が広がる前に封じ込めることができます。
次に、社員向けのセキュリティ研修を強化することが求められます。多くのランサムウェア攻撃は、従業員のミスやフィッシングメールの開封をきっかけに発生しています。社員が疑わしいメールやファイルに対して警戒心を持つことは、感染防止の第一歩です。特に、生成AIを利用したフィッシングメールはますます巧妙化しており、従業員が最新の手口に対する知識を持つことが重要です。
さらに、バックアップ管理の強化も欠かせません。ランサムウェアの攻撃によってデータが暗号化されても、事前にバックアップを適切に管理していれば、データの復元が可能です。ソフトバンクやNTTデータは、定期的にオフラインバックアップを行うことで、ランサムウェアに対するリスクを大幅に減らすことができると指摘しています。特に、バックアップデータが攻撃対象にならないよう、ネットワークから切り離した状態で保存することが推奨されます。
これらの対策を今すぐ実行することで、企業はRaaSや生成AIを利用した高度なランサムウェア攻撃から自社を守るための体制を整えることができます。