この記事は Check Point Advent Calendar 2025 向けのエントリです。
本記事の内容は筆者個人の見解であり、所属組織・企業の公式見解ではありません。また、本記事の原案は AI を用いて作成していますが、ここで整理した概念や考え方については筆者自身が確認しています。
はじめに
IPA の「情報セキュリティ10大脅威 2025」では、組織向け脅威の 1 位が「ランサム攻撃による被害」となっています。しかも 2016 年以降、10 年連続でトップ 10 に入り続けており、「10年連続10回目」という常連入りです。
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い(2016年以降) |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 10年連続10回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 7年連続7回目 |
| 3 | システムの脆弱性を突いた攻撃 | 2016年 | 5年連続8回目 |
| 4 | 内部不正による情報漏えい等 | 2016年 | 10年連続10回目 |
| 5 | 機密情報等を狙った標的型攻撃 | 2016年 | 10年連続10回目 |
| 6 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 5年連続5回目 |
| 7 | 地政学的リスクに起因するサイバー攻撃 | 2025年 | 初選出 |
| 8 | 分散型サービス妨害攻撃(DDoS攻撃) | 2016年 | 5年ぶり6回目 |
| 9 | ビジネスメール詐欺 | 2018年 | 8年連続8回目 |
| 10 | 不注意による情報漏えい等 | 2016年 | 7年連続8回目 |
出典:IPA「情報セキュリティ10大脅威 2025」
https://www.ipa.go.jp/security/10threats/10threats2025.html
つまりランサム攻撃は、もはや「いつかどこかの誰かが遭うかもしれない特別な事故」ではなく、どの企業や組織でも現実的に直面しうるリスクとして定着していると言えます。
この記事では、
- 今年発生した具体的なインシデント事例(2件)
- そのうえで、ランサム攻撃を「起きないように祈る」のではなく「起こる前提」でどう備えるか
という流れで整理してみます。
事例 1: Web カメラを足掛かりにした Akira ランサムウェア攻撃
1 件目は、S-RM が公開している Akira ランサムウェアのインシデント事例です。ここでは、エンドポイントに EDR が導入されていたにもかかわらず、「社内ネットワーク上の Web カメラ」を踏み台にされてしまった点が特徴的です。
攻撃の流れ
ざっくり流れを整理すると次のようになります。
- 攻撃者は、リモートアクセス系の仕組みを起点にネットワークに侵入
- AnyDesk などのツールを使って持続的なリモートアクセスを確保
- Windows サーバ上でランサムウェアを実行しようとするが、EDR によって検知・隔離され失敗
- そこで攻撃者は内部ネットワークをスキャンし、複数の IoT デバイス(Web カメラなど)を発見
- その中の 1 台の Web カメラに深刻な脆弱性があり、EDR も導入されていなかった
- 攻撃者はこの Web カメラを侵害し、Linux 版のランサムウェアを経由してサーバ群へと感染を拡大
結果として、「EDR を入れているサーバやクライアント」そのものではなく、「同じネットワーク上にあった Web カメラ」が侵入・横展開の入り口になってしまいました。
事例 2: アサヒグループのサイバー攻撃と情報漏えい
2 件目は、アサヒグループホールディングスが 2025 年 11 月に公表した、サイバー攻撃によるシステム障害と情報漏えいの事案です。
※本日(2025年12月10日)の最新情報によると、流出した情報が闇サイトに公開された可能性もあります
事案の概要
- 2025年9月29日、社内システムに障害が発生し、調査の中で暗号化されたファイルを確認
- 影響拡大を防ぐため、同日午前中のうちにネットワーク遮断とデータセンターの隔離を実施
- 調査の結果、グループ内拠点にあるネットワーク機器を経由してデータセンターネットワークに侵入され、ランサムウェアが一斉に実行されたことが判明
- その結果、ネットワークにつながっていた複数サーバや一部 PC 端末のデータが暗号化
- さらに、データセンター経由で従業員向け PC の一部からデータが外部に流出していたことが確認され、データセンター内のサーバ上に保管されていた個人情報にも流出の可能性
ランサム攻撃を前提にした ASM / ASA・メールセキュリティ・PAM・バックアップ戦略
最後に、ランサム攻撃を「起こらないように祈る」前提ではなく、「いつか必ず起こるかもしれない」と仮定して、どのように守りを固めていくかを整理します。
外部攻撃表面管理(ASM)/ 評価(ASA) による攻撃対象領域の棚卸し
こうしたサービスを活用することで、
- 自社ドメインやクラウド環境にどのような公開資産があるか
- どこに脆弱なサービスや誤った設定が残っているか
- 想定していない公開ポート・未管理ホストが存在しないか
といった「攻撃対象領域」を継続的に棚卸しできます。
例えば Cybereason ASA のようなサービスを利用すると、自社の外向きインフラやクラウド環境を継続的にスキャンし、潜在的な露出ポイントを洗い出すことが可能です。
特権アクセス管理(PAM)による管理アクセスのコントロール
ここでいう特権管理とは、サーバやネットワーク機器などへの管理アクセスを、特権 ID 管理によって一元的にコントロールするイメージです。
具体的には、
- 「誰が・いつ・どの権限で・どのシステムにアクセスしたか」を記録・可視化
- 必要なタイミングだけ権限を与える JIT(Just-In-Time)アクセス
- 管理者セッションの録画やコマンドログ取得
といった仕組みによって、
- 誤操作や内部不正の抑止・早期発見
- 侵害発生時の横展開リスク低減
- フォレンジック時のトレース容易化
を図ることができます。
ランサム攻撃の多くは「ある程度の権限を持つアカウントの乗っ取り」から始まるため、特権 ID 周りをどれだけ厳密に管理できるかは、被害の広がり方を左右する大きな要素です。
メールセキュリティによる初期侵入の抑止
ランサム攻撃の初動としては、いまでも標的型メールやフィッシングメール、ビジネスメール詐欺(BEC)など「メール経由」の侵入が大きな割合を占めています。添付ファイル型のマルウェアだけでなく、リンク先サイトで認証情報を盗み取るフィッシングや、サプライチェーンを装ったスピアフィッシングなど、手口は多様化しています。
(これについてまたほかの投稿にて紹介したいと思っております。)
実際のソリューションの例としては、Microsoft 365 や Google Workspace などの SaaS メール/コラボレーション基盤を API 連携で保護する Check Point Harmony のようなクラウドメールセキュリティ製品や、疑似攻撃メールを継続的に配信して従業員のリテラシを底上げする HENNGE Tadrill のような標的型メール訓練サービスがあります。前者で「怪しいメールをそもそも届きにくくする」こと、後者で「万が一届いてもユーザーが引っかかりにくくする」ことを組み合わせることで、メール経由のランサム攻撃リスクを多層的に下げていくことができます。
ランサムウェア前提の多層バックアップ設計
バックアップについても、「とりあえずコピーを取っておけば安心」という時代ではなくなっています。ランサムウェアや内部不正を前提にするなら、バックアップデータそのものが暗号化・改ざん・削除される可能性を踏まえた設計が必要です。
そのためのアプローチとしては、例えば、イミュータブルストレージという「一定期間は書き換え・削除ができないストレージ(Arcserve などが提供)」ツールを活用し、バックアップデータ自体が改ざん・消去されにくい構成にする方法があります。
おわりに
ランサム攻撃は「10年連続10回目」という言葉が示すとおり、ここ 10 年で最も継続的に組織を悩ませているサイバー脅威のひとつです。しかも、攻撃者の手口や対象範囲は今もなお進化し続けています。
- アタックサーフェスの可視化(ASM / ASA)
- メールセキュリティによる初期侵入の抑止
- 特権 ID 管理(PAM)
- ランサムウェア前提の多層バックアップ
といった要素を組み合わせ、「侵入されないこと」だけに頼らない設計に切り替えていくことで、初めてランサム攻撃と現実的に戦える状態に近づけるのではないでしょうか。