ランサムウェア攻撃は依然として深刻な問題です。2025年に入り報告されたセキュリティホール(CVE)が急増しており、あらゆるプログラムやサービスを絶え間なくパッチ適用・更新し続ける必要性が浮き彫りになっています。新たなITツールやシステムの導入はこれをさらに困難にし、管理業務の増加と古い技術的負債の積み上げを招いています。
ある調査会社によれば、ランサムウェア被害の90%以上がMicrosoftベースの環境を標的としています。現代の攻撃は体系化され、多段階にわたり横方向の移動、権限昇格を焦点とし、最終的にはActive Directoryを主目標とする基幹システムの完全な侵害を目指します。したがって、多層的なセキュリティ計画の構築が不可欠です。
ここでは、各ランサムウェアグループが現在用いる侵入手法を検証し、システムを大幅に強化する対抗策を共有します。
目次
一般的な攻撃ベクトル
では、ランサムウェアは通常どのように侵入するのでしょうか?あらゆる侵害は一つの脆弱なリンクから始まり、これらの侵入経路を理解することが強固な防御構築の助けとなります。最も一般的な攻撃ベクトルを見てみましょう:
公開されたRDP/VPNアクセス
公開されたリモートアクセスは、しばしば最初かつ最も重大な弱点となります。設定ミスやパッチ未適用のリモートアクセスサービス(RDP、Ivanti、Fortinet、Citrix)は、依然として最も一般的な初期アクセスベクトルです。パブリックRDPアクセスの無効化、SMTP/VPNゲートウェイでのMFAと地理的ブロックの徹底により、曝露リスクを大幅に低減できます。
レガシープロトコルの悪用
パスワードスプレー攻撃やブルートフォース攻撃が成功するのは、古いプロトコル(POP3、IMAP、SMTP AUTH、MAPI over HTTP)にフィッシング耐性のあるMFA(多要素認証)が欠如しているためです。攻撃者はこれらの手法をクレデンシャルスタッフィングと組み合わせて、他のサービスから漏洩した認証情報をEntra ID(Azure AD)やADFSなどのSSOポータルに悪用することが多くあります。
N-day脆弱性
ワンデイ(またはn-day)脆弱性とは、パッチや緩和策が既に存在するにもかかわらず適用されていない既知のセキュリティ欠陥を示します。「ワンデイ」という用語は、脆弱性が公表されてから影響を受けるシステムが更新されるまでの期間を意味します。実際にはこの期間が長引くことが多いため、「n-day」という別称が用いられます。
公開アプリケーション、ロードバランサー、Webサーバー、コラボレーションツールは、CVE公開後数時間以内に標的とされることが多く、迅速にパッチを適用しない場合、高いリスクを伴います。
ソフトウェアサプライチェーン攻撃
ソフトウェアサプライチェーン攻撃は、開発者、ツール、サードパーティコンポーネント間の信頼関係を悪用します。ライブラリ、リポジトリ、CI/CDパイプラインを侵害することで、攻撃者は正当なソフトウェア更新を通じて拡散する悪意のあるコードを注入できます。信頼されたソースから侵入するため、これらの攻撃は検出が困難であり、厳格な依存関係管理、署名付きビルド、完全性チェックが防御に不可欠です。
悪意のある電子メール添付ファイルとリンク
フィッシングメールは、攻撃者にとって最も一般的な侵入経路の一つであり続けています。これらは感染したWordやExcelファイル、または開くと悪意のあるコードを起動するリンクを頻繁に含んでいます。目的は通常、ユーザのデバイスを侵害し、認証情報を窃取するか、ネットワーク内に足場を築くことです。訓練されたユーザでさえ、ソーシャルエンジニアリングや正当なビジネス通信を模倣した説得力のあるメッセージによって騙される可能性があります。
Active Directory攻撃
最終的に内部に侵入すると、攻撃者は焦点をActive Directoryに移します。Kerberoasting、AS-REP Roasting、Golden Ticket攻撃などの手法により、権限昇格と持続的侵入の維持が可能になります。侵害されたADは、多くの組織にとって「ゲームオーバー」の瞬間です。
ランサムウェア攻撃は本質的に機会主義的であり、最も脆弱な標的を探します。多くの場合、組織は新たに発見された脆弱性(N-day脆弱性)が悪用され、初期アクセスを得ることで侵害されます。
対策
では、どのような対策を講じるべきでしょうか?悲しい現実として、ランサムウェアを完全に阻止できる単一のツールは存在しません。目標は、環境を侵入困難かつ復旧容易にすることです。この場合、IDセキュリティ、システム強化、確実な復旧に焦点を当てた多層防御こそが、唯一持続可能なアプローチです。
フェーズ1:IDファーストセキュリティ
攻撃者はファイアウォールではなく、まずIDを狙います。ハードウェアキー(FIDO2/WebAuthn)、スマートカード、または証明書ベース認証を利用したフィッシング耐性のあるMFAは、全ユーザー(特に管理者)に必須です。
テナントレベル(Entra ID、Exchange Online)で全てのレガシー認証プロトコルを無効化
これによりパスワードスプレー攻撃の大半を遮断
特権アクセス管理(PAM)はAzure PIM等のツールを通じ一時的なJIT権限を発行し最小権限原則を強制。攻撃者が恒久的に窃取できる対象を排除
ADとEntra IDの強化により、一般的な攻撃経路を排除します:
- オンプレミスの管理者アカウント(例:ドメイン管理者)をEntra IDに同期しない
- 階層型管理モデルを導入し、特権アカウントを分離
- ADグループメンバーシップの閲覧権限を制限
- 脆弱なKerberos設定を監視・修正
- インシデント対応訓練を定期的に実施し、ID侵害発生時に即座に対応できる体制を確保
フェーズ2:内部強化とゼロトラスト
「侵害を前提とする」ゼロトラストの考え方を採用するには、ネットワーク内部を外部と同様に厳重に保護する必要があります。これには3つのアプローチが必要です:アクセス制限の強化、全エンドポイントの堅牢化、侵入した脅威の検知です。
1. ゼロトラストネットワークアクセス(ZTNA)の適用
まず、横方向の移動を困難にします。特にドメインコントローラーなどの重要システムを隔離し、安全な管理用ワークステーションまたはジャンプホストからのみアクセス可能にします。侵害されたマシンがC2サーバーに到達するのを防ぐため、アウトバウンドトラフィックを制限します。
ゼロトラストアクセスソリューション(Microsoft Conditional Access、Cloudflare Access、Zscaler ZPAなど)でユーザレベルでこれを強制します。これにより、健全で管理されたデバイスのみが内部サービスにアクセスできるようになります。
2. すべてのエンドポイントとサーバーを強化
エンドポイントは主要な戦場です。全ユーザーのローカル管理者権限を削除してください。セキュリティベースライン(MicrosoftやCISベンチマークなど)を適用し、攻撃対象領域削減(ASR)ルールを展開します。最低限以下の対策を実施:
- Officeアプリケーションの子プロセス生成をブロック
- メールクライアント/ウェブメールからの実行可能コンテンツをブロック
- 署名なし/信頼できない実行ファイルをブロック
- JavaScript/VBScriptによるダウンロードコンテンツの実行をブロック
さらに攻撃経路を削減するため、インターネットからのマクロをブロックし、危険なファイルタイプ(HTA、JS、VBS)をメモ帳で開くよう強制し、ブラウザを集中管理して安全でない拡張機能をブロックします。
3. 継続的検知と対応の実装
侵入者を検知できる体制が必要です。エンドポイント検知・対応(EDR)またはXDRツールを導入し、資格情報の窃取、不審なプロセス、メモリ注入の兆候を監視します。これらのツールは自動的に悪意のあるマシンを隔離できます。
ドメインコントローラー、ファイアウォール、ID管理システムからのログを中央SIEM(Azure SentinelやRapid7 InsightIDRなど)に送信し、横方向移動の初期兆候を捕捉します。最後に、既知の悪意あるドメインをブロックするため、すべてのDNSをフィルタリングサービス(Quad9やCisco Umbrellaなど)経由でルーティングします。
フェーズ3:確実な復旧
最強の防御策でも失敗はあり得ます。「3-2-1-1-0」ルールに基づく回復力のあるバックアップ戦略こそが、インシデントが短期間の混乱で終わるか、事業終焉の危機となるかを決定づけます。
- データの3重コピー 稼働用コピー1部とバックアップ2部を保持。
- 2種類の異なるメディア 少なくとも2種類の異なる技術(例:ディスクとクラウド)にバックアップを保存。
- 1xコピーをオフサイトに。地理的に分離したバックアップを少なくとも1つ維持する。
- 1xコピーをオフラインまたは不変状態に。これがランサムウェア対策の要です。バックアップはエアギャップ化または不変状態(例:オブジェクトロックやWORMストレージ経由)でなければなりません。攻撃者はアクセスできないものを暗号化も削除もできません。
- 復元検証におけるエラーゼロ。テストされていないバックアップはバックアップではない。完全性を検証するため、定期的な自動復元テストを実施する。
充実した復旧計画には、VPN、ファイアウォール、バックアップソフトウェア、ハイパーバイザーを含む全システムに対する積極的なパッチ管理も含まれます。バックアップインフラ自体も本番環境の認証から隔離し、異常を監視する必要がある。不変かつ検証可能なバックアップこそが、ランサムウェア被害を一時的な問題に抑えられるか、永久的な損失となるかを決める最終防衛線です。
結論
忘れないでください。ほとんどのランサムウェア攻撃は、従来のオンプレミスADとファイル共有環境に依存しています。エンドポイントをクラウドネイティブのEntra ID(Azure AD)モデルに移行することで、この攻撃チェーンと脅威アクターが構築したロジックの大半を効果的に断ち切れます。攻撃者が侵害されたクライアントから重要なサーバーインフラへ移動するために使用する主要な横方向移動経路を遮断するのです。
環境を保護する方法を理解した上で、攻撃者に機会を与えないよう、これらの手順を直ちに適用してください。
RSSフィードを取得する
