Eilmeldung
ARإيران تدعو للثأر لخامنئي وتستأنف مفاوضات غير مباشرة مع واشنطنARمقتل أكثر من 10 أشخاص في هجوم روسي واسع على كييفARعلماء يصنعون خلايا اصطناعية "سبود سيل" من مكونات كيميائية بحتةARالولايات المتحدة تستأنف شحنات الدولار جواً إلى العراق بعد تعليقهاARفولكس فاجن تعيد تقييم بيع لامبورغيني ودوكاتي لتمويل إعادة الهيكلةARالكشف عن طاقم الحكام لمباراة مصر وأستراليا الحاسمة في كأس العالم 2026ARأمريكا تعلن شراء أنظمة لمكافحة الطائرات بدون طيار بقيمة 500 مليون دولارARتقدم إيجابي في محادثات أمريكا وإيران بشأن اتفاق إطاريARالدولار يتراجع قليلاً وسط ترقب بيانات الوظائف الأمريكية والين الياباني يسجل أدنى مستوى في 40 عاماًARالفاتيكان يحرم جمعية كهنوتية بسبب رسامة أساقفة جدد دون موافقة الباباARإيران تدعو للثأر لخامنئي وتستأنف مفاوضات غير مباشرة مع واشنطنARمقتل أكثر من 10 أشخاص في هجوم روسي واسع على كييفARعلماء يصنعون خلايا اصطناعية "سبود سيل" من مكونات كيميائية بحتةARالولايات المتحدة تستأنف شحنات الدولار جواً إلى العراق بعد تعليقهاARفولكس فاجن تعيد تقييم بيع لامبورغيني ودوكاتي لتمويل إعادة الهيكلةARالكشف عن طاقم الحكام لمباراة مصر وأستراليا الحاسمة في كأس العالم 2026ARأمريكا تعلن شراء أنظمة لمكافحة الطائرات بدون طيار بقيمة 500 مليون دولارARتقدم إيجابي في محادثات أمريكا وإيران بشأن اتفاق إطاريARالدولار يتراجع قليلاً وسط ترقب بيانات الوظائف الأمريكية والين الياباني يسجل أدنى مستوى في 40 عاماًARالفاتيكان يحرم جمعية كهنوتية بسبب رسامة أساقفة جدد دون موافقة البابا
Newsgather
Backランサムウェア攻撃とは?サイバーキルチェーンで理解する攻撃の流れと対策
ランサムウェア攻撃とは?サイバーキルチェーンで理解する攻撃の流れと対策
In Entwicklung
ITmedia11 sa önceTechnik9 dk okumaJapan

ランサムウェア攻撃とは?サイバーキルチェーンで理解する攻撃の流れと対策

Auf einen Blick

身代金要求型マルウェア「ランサムウェア」の仕組みを、攻撃者がシステム侵入からデータ窃取・暗号化に至るまでの「サイバーキルチェーン」に沿って解説。初期侵入を防げなくても、途中の段階で攻撃を検知・遮断できれば被害を防げると説明。

KI-generierte Zusammenfassung

Warum es wichtig ist

ランサムウェア攻撃は多くの企業が被害に遭っており、その恐ろしさは広まっているが、まだ周知が足りていない。本稿は、攻撃の仕組みを解説し、理解を深めることを目的とする。

Schriftgröße

世間を騒がせる身代金要求型マルウェア「ランサムウェア」。直近ではアサヒグループホールディングスやアスクルなどをはじめとした国内でも多くの企業が被害を報告している。

ここ数年の被害拡大に伴い、その恐ろしさは普段ITに携わることがない人々にも少しずつ広まっているが、まだまだ周知が足りていないのも事実だ。そこで本稿は、あらためてランサムウェア攻撃とはどのようなものかを解説する。

普段からIT・セキュリティに携わっていても「ITにあまり詳しくない人にランサムウェアを説明できるか」と聞かれて即答できる人は少ないだろう。ぜひランサムウェアへの理解をより深める他、経営層や一般従業員向けの啓発にこの記事を活用してほしい。

なお、アイティメディアが運営する「YouTube」チャンネル「TechLIVE」では、攻撃者視点の理解を深める番組『攻撃者の目』を公開している。

最新回では、現役ホワイトハッカーをゲストに迎え、攻撃者がどのようにターゲットを選定し、どのような手口でシステムを侵入・掌握するのかを、検証環境によるデモや具体的な解説を交えて生々しく描き出している。ランサムウェアの侵入後の動向や、攻撃者の心理のさらに深い部分が、映像を通して視覚的に理解できる内容だ。

自社のセキュリティ対策に不安を感じているエンジニアや、次の一手を模索しているIT・セキュリティ担当者は、ぜひこの動画を視聴し、防御力を高めるための「攻撃者の思考回路」を体得してほしい。

ランサムウェアを「正しく」知って、「正しく」恐れる

まずランサムウェアとは、「身代金(ランサム)」と「ソフトウェア」を組み合わせた造語だ。一言で言うと「あなたのPCや会社のサーバ内の重要なデータを人質に取って、元に戻してほしければお金を払えと脅してくるウイルス」のことである。土足でシステムに踏み込んできて、目の前で大事なデータに強固な「鍵(暗号化)」をかけて使えなくしてしまう。

そして端末の画面に「データを返してほしければ、△△日以内に○○円払え」といった脅迫文(ランサムノート)を表示させる。さらにタチが悪いことに、最近の攻撃者は「お金を払わないなら、盗んだ顧客情報や社外秘のデータをインターネットにバラまくぞ」という二重の脅迫をしてくる。これが、今多くの企業を震撼させているランサムウェアの正体だ。

注意したいのは、ランサムウェア攻撃はある日突然データが暗号化されるわけではないということだ。攻撃者は段階を踏み、時には数カ月も前から綿密な計画に基づいてターゲットを追い詰めていく。この「攻撃者が狙いを定めてから、最後にデータを人質に取るまでの作戦ロードマップ」のことを、専門用語で「サイバーキルチェーン」と呼ぶ。

ここではランサムウェア攻撃を理解しやすくするため、サイバーキルチェーンの考え方をベースに、泥棒が家に忍び込んで金庫を開けるまでのステップに例えて、攻撃の流れを見ていこう。

ステップ1:標的選定

どのような攻撃にも共通しているのが、標的を選定するフェーズだ。攻撃者は戸締りが甘い家や外から見て侵入しやすそうな家、身代金を支払ってくれそうな家を調査してターゲットを決める。

企業で言えば、VPNの脆弱性を放置していたり、アカウント情報が漏えいしていたりすると“狙い目”になりがちだ。また、本命である大企業に侵入する踏み台としてそのサプライチェーンに属する企業を標的にすることもある。

ステップ2:家への侵入(初期侵入)

ターゲットを決めたら、攻撃者は家の中に入り込むための隙を探す。よくあるのは「本物の取引先を装った電子メール」を従業員に送ってウイルスを開かせたり、会社の「リモートワーク用の接続機器」にある弱いポイントを見つけて、そこから静かに侵入したりするパターンだ。

先のVPNの脆弱性などは特に攻撃者にとって鉄板の侵入口となっているため、放置せずに必ず対処するようにしたい。

ステップ3:家の中の下見(権限昇格・探索)

攻撃者は侵入に成功後、すぐに攻撃を仕掛けるわけではない。騒ぐと見つかって警察(セキュリティソフト)に通報されてしまうからだ。そのため攻撃者は家中の部屋を自由に開けられる「マスターキー(管理者権限)」を盗み出す。その後、静かに、家の中を歩き回って「どこに一番大事な金庫(重要データ)があるか」「どこに防犯カメラのスイッチ(EDRやバックアップサーバ)があるか」を下見するのだ。

実際には攻撃者はまず管理者権限の取得を試み、その権限を使って社内ネットワークや重要資産を調査する。

ステップ4:部屋から部屋に移動する(横展開)

マスターキーを作るのにはもう一つ意味がある。それが横展開だ。攻撃者が最初に会社のPC1台をウイルスに感染させた状態は、泥棒が「家の『玄関の鍵』だけをピッキングして、玄関に一歩足を踏み入れた状態」である。

しかし、攻撃者の本当の目的は玄関マットを盗むことではなく、この家のどこかにある「金庫の中身(機密データ)」だ。そこで攻撃者は、玄関から一歩も動かないわけにはいかない。最終目的である金庫を目指して家の中を移動するのだ。

このように侵入済みの場所を足場に、さらに家の奥の部屋(他のPCやサーバ)へと次々に移動し、支配地域を広げる行為が横展開である。

ステップ5:お宝を外に運び出す(データの窃用)

攻撃者はデータを壊す前に、まずは金庫の中身(顧客情報や機密データ)を丸ごとコピーし、自分たちの秘密基地(外部のサーバ)にこっそりと運び出す。例えるなら泥棒と誘拐を同時に実行するようなものだ。

ステップ6:金庫の鍵を独自の鍵に変えて脅迫(データの暗号化)

ここまで来れば全ての準備が整った状態だ。攻撃者は仕上げに、会社がデータを元通りに復旧できないように重要なデータおよびバックアップデータも含めて一斉に鍵(暗号化)をかける。そして復旧と引き換えに身代金を要求するのだ。

なぜこの「流れ」を知ることが大事なのか?

ランサムウェアの話を聞くと、「一度侵入されたらおしまいだ」と思われがちだ。しかし、ここまで説明してきたサイバーキルチェーン(泥棒のマニュアル)を知ると、見方が変わる。

攻撃者は、ステップ1~5までを順番にクリアしないと攻撃を成功できない。ステップ2の「初期侵入」を防げなかったとしても、ステップ3の「下見」をしている段階で「おや、誰もいないはずの部屋の電気がついているぞ」と気が付いて捕まえられれば、身代金要求という最悪の結末は防げるだろう。

つまり、サイバーキルチェーンのどこか一つのプロセスでも防げればチェーンを断ち切ることができる。サイバーセキュリティの基本的な考え方としてぜひこれを覚えておいてほしい。

Offene Fragen

  • ランサムウェア攻撃の具体的な検知・防御策は?
  • 攻撃者の心理をさらに深く理解するには?

Verwandte Themen

This article was originally published by ITmedia.

Ähnliche Meldungen

PlayStation discs to be discontinued after January 2028
In Entwicklung·2 sa önce

PlayStation discs to be discontinued after January 2028

Sony Interactive Entertainment (SIE) announced on the 1st that it will end the release of new software for PlayStation (PS) in disc format after January 2028. This marks the end of disc-based software after more than 30 years since the first PS was released in 1994, with future releases exclusively in download format. This decision reflects the rapid digital shift in the game market, where download versions accounted for about 80% of game software sales in Sony Group's fiscal year ending March 2026.

朝日新聞
Mehr zu diesem Themaランサムウェア