ランサムウェア対策というと「バックアップしておけばOK」と思われがちです。
しかし現在の攻撃はそれだけでは防げません。
「暗号化」+「情報漏えい(二重脅迫)」が主流
つまり、復元できても情報が外に出るリスクがあります。
なぜ従来の対策では不十分なのか
従来
- バックアップがあれば復旧できる
- 身代金を払わなくて済む
現在
- 事前にデータを盗まれる
- 公開を脅される(リークサイト)
- 顧客・取引先への影響が大きい
「復旧できる=安全」ではない
技術的に押さえるべきポイント
① バックアップ戦略
1箇所だけのバックアップは不十分
推奨:3-2-1ルール
- 3つのコピーを持つ
- 2種類の媒体に保存
- 1つはオフライン(ネットから切り離す)
具体例
- クラウド(AWS / Azure / Google Cloud)
- オンプレNAS
- オフラインバックアップ(外付け・テープ)
ランサムウェアはネットワーク上のバックアップも暗号化する
② 権限管理(最小権限の原則)
侵入後、攻撃者は横展開します。
- 管理者権限の分離
- 不要な権限の削除
- 特権アカウントの監視
「1つ侵害されたら全滅」を防ぐ
③ EDR / XDRの導入
- Microsoft Defender for Endpoint
- CrowdStrike
- SentinelOne
従来のアンチウイルスでは検知できない挙動を検知します。
侵入後の動きを止める
④ ログ監視と検知
- SIEM(Splunk / Sentinel)
- ログの長期保存
- 異常検知ルールの設定
初期侵入を早期発見できるかが勝負
⑤ ネットワーク分離(セグメンテーション)
- 社内ネットワークを分割
- 重要サーバは隔離
- ゼロトラストの導入
横展開(ラテラルムーブメント)対策
情報漏えい対策(ここが本質)
暗号化よりも「持ち出し」が本当のリスク
- DLP(データ持ち出し防止)
- 通信の監視(プロキシ / FW)
- 外部送信の制御
「侵入される前提」で設計する
実際の被害事例
■ アサヒグループ(2025年)
アサヒグループの関連企業が、ランサムウェアグループ「Qilin(キリン)」による攻撃を受けました。
- 手口:不正アクセス → データ窃取 → 暗号化
- 特徴:情報を盗んだうえで身代金を要求
- 懸念:情報漏えいの可能性
攻撃グループは、データ公開を示唆するなど、いわゆる二重脅迫の典型例です。
復旧できても漏えいは止められない
■ トヨタ自動車(2022年)
- 影響:国内全工場停止
- 原因:取引先の侵害
- ポイント:サプライチェーンリスク
■ KADOKAWA(2024年)
- 影響:サービス長期停止
- 特徴:復旧に時間
- ポイント:事業停止リスク
■ 大阪急性期・総合医療センター(2022年)
- 影響:診療制限
- ポイント:社会インフラへの影響
どの業界でも被害は現実に起きている
ランサムウェアの典型的な侵入フロー
ランサムウェアは以下の流れで被害を広げます。
- ① メールやVPNから侵入
- ② 権限を奪取
- ③ 横展開
- ④ データを外部送信
- ⑤ 最後に暗号化
暗号化は最後の段階
インシデント対応(発生時)
- ネットワーク遮断
- 影響範囲の特定
- 証拠保全
- 専門業者へ連絡
初動ミス=被害拡大
まとめ
バックアップだけでは不十分
情報漏えい前提で考える
侵入後対策が重要
コメント