アスクルがランサムウェア(身代金要求型ウイルス)によるサイバー攻撃を受けてシステム障害が起きていましたが、12月3日から法人サイトのASKULの「アスクルWebサイトでの注文受付が再開になった」とニュースが流れてきました!
出荷作業は手作業で行なっていますが、12月中旬ごろには復旧が見込まれているとのことです。
アスクルへのサイバー攻撃は2025年10月19日に発生したので、約45日ぶりに再開ですね。
ランサムウェアとは?
アスクルが攻撃を受けたランサムウェアとは、感染した端末やサーバー内のデータを勝手に暗号化して使えなくし、元に戻す代わりに“身代金(Ransom)”を要求するサイバー攻撃手法。
ランサムウェアの主な特徴
◯ データを暗号化して使えなくする
→ 会社のシステム、工場ライン、病院のカルテなども停止する。
◯ 身代金(通常は暗号資産)を要求
→ BTC・Moneroなどで数億〜数十億円要求されることも。
◯ データ公開を材料に“二重脅迫”
→ 「払わなければ漏えいさせるぞ」
◯ 復旧しても公開すると脅し続ける“三重恐喝”
◯ 侵入経路が多様化
- VPNの脆弱性
- 古いサーバー
- フィッシングメール
- 社員のPC
- サプライチェーン(外部委託会社)
ランサムウェア攻撃の一般的な手順(6ステップ)
① 侵入(Initial Access)
攻撃者が企業のネットワークに入り込む最初の段階。
よく使われる侵入口:不審メール(フィッシング)、添付ファイル / URL、VPNのパスワード漏洩、古いソフトの脆弱性(更新してないシステム)、不正ログイン(ID/PWが流出していた)
※ 9割以上はここからスタート。
② 内部探索(Reconnaissance / Discovery)
侵入に成功したら、攻撃者は内部を調べ始める。
- 社内サーバーの構造を調べる
- 管理者権限を奪える場所を探す
- バックアップの位置を調べる
- どの情報が価値があるか分析
※「どこを攻撃すれば儲かるか」を静かに検索する。
③ 権限昇格(Privilege Escalation)
より高い権限を得て、自由に操作できるようにする。
- 管理者IDの奪取
- ドメイン管理者の奪取
- パスワードハッシュの盗み出し
※ ここが成功すると、攻撃者は社内システムを“合法ユーザーのように”操作できる。
④ 横移動(Lateral Movement)
- 社内ネットワークの他のPC・サーバーへ感染を広げる。
- ファイルサーバ
- データベースサーバ
- バックアップサーバ
- 重要部署のPC
※ 数日に渡って少しずつ広げるので、バレにくい。
⑤ データ窃取(Exfiltration / Double Extortion)
最近のランサムウェアの“主流”は二重恐喝だが、三重恐喝も増えてきた。
企業の重要データを先に盗む
↓
暗号化して業務停止させる
↓
「身代金払わないなら盗んだデータを公開する」と脅す
盗むデータの例:顧客情報、社員情報、取引先データ、設計データ、経営資料
⑥ ファイル暗号化 & 身代金要求(Encryption & Ransom Note)
最終攻撃。
ここで初めて企業は“異常に気づく”。
- 全サーバーのデータを暗号化
- 業務システム停止
- ログイン不能
- 売上や配送が停止する企業も多数
脅迫文(Ransom Note)を表示
「●●日までに暗号通貨で◯◯億円払え。そうしなければデータを公開する」
日本でよく見られる主要ランサムウェアグループTOP5
以下の5グループはJPCERT/IPAでも注意喚起が多く、実際の国内被害でも頻繁に登場しているそうです。
1. LockBit(LockBit 2.0 / 3.0 / LockBit Black)
- 世界で最も活動量が多いグループの1つ
- 医療、自治体、製造、物流など幅広く攻撃
- 2024~2025も日本企業を多数攻撃
- RaaS(ランサムウェア・アズ・ア・サービス)モデルの代表格
2. ALPHV(BlackCat)
- 2023〜2025で最も急増
- Rust言語で作られ検出が難しい
- Sony・医療機関・エネルギー関連などを攻撃
- 日本企業も複数被害報告あり
3. Play(PLAY / Balloon)
- ラテン系ハッカーが多いとされる
- 中小〜大企業まで幅広く攻撃
- セキュリティホールを突くスピードが速い
- 日本の自治体・小売企業なども被害多数
4. Rhysida
- 2023年後半から台頭
- 医療・教育機関への攻撃が多い
- 恐喝サイトでのデータ公開を積極的に実施
- 日本の大学・教育関連組織の被害も報告されている
5. Black Basta
- 2022〜2025で被害が急増
- Contiの後継グループとされる
- 企業ネットワークに侵入してから暗号化までが非常に早い
- 製造業・医療・金融などが被害
ほかに活動が目立つグループ
- Royal(大企業に絞った高額身代金要求。North America・EU中心に活動するがアジアも増加中)
- Akira(VPN脆弱性を狙う。ファイルの部分暗号化で高速に感染)
- Hive → Hunters Internationalへ移行(医療・公共インフラへの攻撃が多い)
- RansomEXX / RansomEXX2(官公庁・交通・医療インフラへの攻撃例が多い)
- Vice Society(教育機関を狙う傾向が強い)
ランサムウェア以外の主要サイバー攻撃一覧
① フィッシング(Phishing)
目的:ユーザーのパスワード・カード情報を盗む
メール・SMS・偽サイトに誘導し、「ログインしてください」「荷物の再配達はこちら」などで情報をだまし取る。
(例:Amazon・ヤマトをかたる偽SMSが急増)
② 不正アクセス(アカウント侵害)
目的:他人のアカウント乗っ取り
弱いパスワード、パスワード使い回し、流出したID・PWの悪用
→ SNS・EC・銀行アプリなどの乗っ取りが発生。
③ DDoS攻撃(サーバー破壊攻撃)
目的:ウェブサイトをパンクさせて停止させる
大量のアクセスを意図的に送りつけ、サイトやサービスを落とす。
(例:2023〜2025に政府・自治体サイトが狙われる)
④ 脆弱性攻撃(ゼロデイ攻撃含む)
目的:システムの“穴”から侵入して情報奪取
OS・機器・VPN・Webアプリの弱点を突く攻撃。
- VPN機器の脆弱性
- ルーターの脆弱性
- WordPressプラグインの脆弱性
→ 2025年の日本で特に多い。
⑤ サプライチェーン攻撃
目的:小さな会社を突破口にして大企業へ侵入
(例:IT保守会社 → 取引先の企業大量感染、クラウドベンダー → 利用者全社へ拡散)
⑥ ソフトウェアの改ざん(サプライチェーン型)
目的:攻撃者が“最初から仕込んだウイルス入りソフト”を、企業や利用者に正規の更新としてインストールさせる
攻撃者がソフトやアップデート自体を改ざんして配布。
- 2020 SolarWinds
- 2023 3CX VoIP
- 2024 Windowsドライバー署名偽造
など世界的にも増加。
⑦ スマホを狙うマルウェア
目的:銀行・QR決済の情報盗難
- 偽アプリ
- Adware(広告系マルウェア)
- 銀行トロイの木馬
Androidストア外アプリに多い。
⑧ ソーシャルエンジニアリング(人間を狙う攻撃)
目的:社員を騙して侵入する
- なりすまし電話
- 偽の請求書(BEC攻撃)
- 偽サポート詐欺
人間の心理をハックする攻撃で、技術対策が効きにくい。
⑨ ビジネスメール詐欺(BEC)
目的:企業の経理を騙して不正送金させる
役員・取引先になりすまし、「今日中にこの口座へ送金を」などの指示を出す攻撃。
日本企業で年間100億円以上の被害と言われる。
⑩ クリプトジャッキング
目的:企業のサーバーを勝手に“仮想通貨マイニング”に使う
ランサムウェアのように派手ではないが、電気代・サーバー負荷が爆増する被害が出る。
⑪ AIを悪用した新型攻撃(2024〜2025)
- 自然な日本語でのフィッシング
- 自動化された侵入スキャン
- 文章・画像・音声の偽造(ディープフェイク詐欺)
特にディープフェイクによる送金指示が世界で急増。
まとめ
ランサムウェアは“氷山の一角”
ランサムウェアは「最終段階の攻撃」であり、その前に「侵入 → 調査 → 破壊」のステップがある。
最初の侵入は別の攻撃(フィッシング・脆弱性)、その後ランサムウェアで“とどめ”を刺されるという流れが多いそうです。
ランサムウェアの侵入口ランキング
| ランク | 侵入口(侵入経路) | 概要/なぜ多いか |
|---|---|---|
| 1位 | フィッシングメール / スピアフィッシング | 添付ファイルや不正リンクを経由してマルウェアを送り込む方法。ユーザーの“うっかり”が起点になるため、最も多く使われる。大企業・中小企業問わず、もっとも多い侵入口。 |
| 2位 | VPN・リモートアクセスの脆弱性 | リモートワークの普及で外部からアクセスできる機器(VPN、リモートデスクトップなど)が増加。古い機器やパッチ未適用、弱い認証で侵入されやすい。 |
| 3位 | 既知のソフト/OSの脆弱性(未更新) | OS、ミドルウェア、古いサーバーアプリなどのセキュリティパッチ未適用で狙われる。“ゼロクリック”で侵入できる場合もあるため、非常に危険。 |
| 4位 | サプライチェーン攻撃 / ソフト改ざん | 正規ソフトやライブラリ、サプライヤーを攻撃し、改ざん済みソフトを通じて多数の企業へ侵入。一度に多くの企業・ユーザーをまとめて感染させられる高効率ルート。 |
| 5位 | 管理者アカウントの乗っ取り / 認証情報の流出 | 流出したパスワード使いまわし、不十分なパスワード管理、二段階認証未設定などからアカウント乗っ取り。管理者権限を奪われるとネットワークの奥まで侵入できる。 |
| 6位 | サードパーティーの委託先/ベンダー経由 | アウトソーシング先や保守会社などの弱いセキュリティを突かれ、そこから本来守るべき企業に侵入する「踏み台攻撃」。サプライチェーン攻撃と近く、実は比重が高まっている。 |
| 7位 | 物理的な持ち込み・USB/メモリ経由 | USBメモリ、外部記憶装置、ノートPC持ち込みなどからマルウェアを持ち込むパターン。“内部の人”や“現場の運用ミス”経由のリスク。 |
なぜ、このランキングなのか?
- フィッシングメールは万人を対象にでき、スキル不要のため被害報告が最も多い。
- VPN/リモートアクセスはコロナ以降拡大し、多くの企業で、古い機器のまま放置されていた。
- ソフト・OSの脆弱性放置は“見落とし”が多く、自動スキャン/悪用が簡単。
- サプライチェーン攻撃・ベンダー経由は「多数企業への一斉侵入」が可能なので、規模の大きさで危険性が高い。
- 認証情報の流出・管理ミスは、人のミスや不注意が原因のため頻度が高い。
最後に
色んなサイバー攻撃がありましたね。
ちなみにランサムウェアグループは名前がしょっちゅう変わるそうです。
その理由として、捜査機関から逃れるためや、内部メンバーの独立などが考えられるそうです。
次回はなぜ、日本でサイバー攻撃が増えたのか調べてみたいと思います。