ランサムウェア2024〜2025年:激動の2年間

2024年:摘発の嵐

2024年はランサムウェア生態系にとって劇的な1年でした。

摘発・壊滅(2024年):

  • 2024年2月 Operation Cronos: 国際共同捜査でLockBitのインフラを解体。34サーバー押収、暗号化ツールと復号鍵を入手
  • 2024年3月 ALPHV/BlackCat: FBI主導の摘発により事実上壊滅

2025年:生態系の再編と過去最大の攻撃件数

2025年はランサムウェア攻撃件数が6,604件(前年比52%増、Cyble調査)を記録し、2023年に次ぐ過去2番目の規模となりました。アクティブなグループ数は85にまで増加し、生態系の断片化が進んでいます。

主要な変動:

  • RansomHub: 2024年に最大のRaaSに成長したが、2025年4月以降活動休止。被害ゼロの状態に
  • LockBit 5.0: 2025年9月に復活。摘発から1年半で新バージョンをリリースし、15以上の組織を攻撃
  • Qilin: 2025年最も活動的なグループに成長。Q3には月平均75組織を攻撃
  • DragonForce: RansomHub休止後に勢力を3倍に拡大。アフィリエイト積極募集中
  • Scattered Spider: DragonForceと提携し、英国小売大手(Marks & Spencer、Co-op、Harrods)を連続攻撃
Ransomware as a Service(RaaS)モデル

現代のランサムウェアの多くはRaaSモデルで運営されています。「開発者」がマルウェアとインフラを提供し、「アフィリエイト」が実際の攻撃を担当し、身代金を分配します。LockBitが摘発されても、アフィリエイトは別のRaaSグループに乗り換えるため、エコシステム全体は維持されます。2025年にはトップ10グループが被害者全体の**56%**しか占めず(年初は71%)、小規模な独立グループの台頭が顕著です。

Scattered Spider — ソーシャルエンジニアリングの脅威

Scattered Spider(UNC3944)は技術的な脆弱性よりもヘルプデスクへのビッシングやSIMスワップを主な侵入手法とするグループです。2025年にはDragonForceランサムウェアと提携し、英国の大手小売チェーン3社を連続攻撃。さらにFBIは航空業界への標的拡大を警告しています(2025年7月)。CISAは2025年7月にScattered Spiderに関するアドバイザリを更新しました。

身代金支払いの減少

ランサムウェア支払いの動向(Chainalysis調査)
支払い総額変化主な要因
2023年約11億ドル(過去最高)大規模攻撃の増加
2024年約8.1億ドル前年比約35%減支払い拒否の浸透、摘発の心理的効果

支払いが減少した背景には、身代金を払っても復旧できないケースが多いという認識の普及、FBI・CISAによる「支払わない」勧告、保険会社の支払い審査強化があります。

2025年のランサムウェア攻撃手法

BYOVD(Bring Your Own Vulnerable Driver)

正規の署名付きドライバーの脆弱性を悪用してEDR(エンドポイント検出)を無効化する技術です。

攻撃フロー:
1. 権限昇格後、脆弱な正規ドライバー(Windowsカーネル)をロード
2. ドライバーの脆弱性を使ってカーネル空間に侵入
3. EDRプロセスを強制終了・無効化
4. EDR無効化後にランサムウェアを展開

対策:
- Microsoft推奨ドライバーブロックリストの有効化
- Hypervisor Protected Code Integrity (HVCI) の有効化
- 脆弱なドライバーのブロックポリシー設定
主要EDRが無効化される現実

BYOVDは2022年以降多くのランサムウェアグループが使用しており、CrowdStrike・SentinelOne・Carbon Black などの主要EDRが無効化された事例が報告されています。「EDRを入れていれば安全」という考え方は通用しません。

ESXi(VMwareハイパーバイザー)への直接攻撃

2024〜2025年に急増した攻撃パターンです。

なぜESXiが狙われるか:

  • ESXiを暗号化すると、その上で動作する全仮想マシンが一度に停止
  • 従来のEDRはESXiに対応していないことが多い
  • ESXi Shellへの直接アクセスで大量の仮想ディスク(VMDK)を暗号化
  • 重要インフラ・病院・金融機関が多くESXiを使用しているため、身代金の交渉力が高い

攻撃グループ: Qilin、LockBit 5.0、DragonForce、Akira(RansomHubは2025年4月以降休止中)

二重恐喝(Double Extortion)と三重恐喝

恐喝の段階内容
単純暗号化データを暗号化して復号と引き換えに要求
二重恐喝暗号化 + 「支払わなければ盗んだデータを公開する」
三重恐喝二重 + 「顧客・取引先にも通知する」「DDoS攻撃を行う」

組織防御の7層戦略

1. 初期侵入の遮断

ランサムウェアの初期侵入経路(Verizon DBIR 2024):

  • 脆弱性の悪用: 前年比180%増で最大の侵入経路に
  • フィッシング: メール添付・リンクによるマルウェア配信
  • 認証情報の窃取: クレデンシャルスタッフィング・RDP総当たり
遮断策:
□ 外部公開サービスのパッチ管理(24〜48時間以内)
□ MFA必須化(特にVPN・RDP・メール)
□ RDPの直接公開禁止(VPN経由のみに限定)
□ メールフィルタリング(添付ファイル・URLサンドボックス)
□ CISA KEVカタログに基づく緊急パッチ適用

2. 横展開(ラテラルムーブメント)の阻止

ランサムウェアの最大の被害は、ネットワーク全体への拡散です。

阻止策:
□ ネットワークセグメンテーション(マイクロセグメンテーション)
□ VLAN分離(OT/IT/ゲスト/管理ネットワークの分離)
□ 最小権限の原則(管理者権限の制限)
□ Windows Defender Credential Guard の有効化
□ SMB署名の強制(Pass-the-Hash攻撃の防止)
□ Kerberoastingへの対策(強力なサービスアカウントパスワード)

3. EDR・XDR の導入と強化

EDRだけでは不十分 — XDRへの移行

エンドポイントだけでなく、ネットワーク・クラウド・メールを横断して相関分析する XDR(Extended Detection and Response) の採用が2024〜2025年に加速しています。BYOVDでEDRが無効化されるリスクに対しては、複数のセキュリティ製品を使った多層防御が有効です。

4. バックアップ戦略(最重要)

ランサムウェア対策で最も重要かつ確実な対策がバックアップです。

3-2-1バックアップルール:

3 — データのコピーを3つ保持
    (本番データ + バックアップ1 + バックアップ2)
2 — 2種類の異なるメディアに保存
    (例: NAS + クラウドストレージ)
1 — 1つはオフサイト(物理的に離れた場所)に保存

さらにランサムウェア対策として:
+ オフライン/エアギャップバックアップ(ネットワーク非接触)
+ イミュータブルバックアップ(書き換え不可能なストレージ)

検証の重要性:

バックアップが存在しても復元できなければ意味がない

定期的なテスト項目:
□ バックアップデータの整合性チェック(月次)
□ 完全復元テスト(四半期)
□ 重要システムの復元時間目標(RTO)の確認
□ バックアップの暗号化確認(バックアップ自体の漏洩対策)

5. 特権アカウント管理(PAM)

攻撃者がドメイン管理者権限を取得すると、全社ネットワークへの展開が容易になります。

対策:
□ Tiered Admin Model(管理者階層分離)
□ Just-in-Time(JIT)特権付与(常時権限付与の廃止)
□ Privileged Access Workstation(PAW)の導入
□ Active DirectoryのProtected Users グループ活用
□ LAPS(ローカル管理者パスワードソリューション)の展開

6. インシデントレスポンス計画

攻撃検知後の初動対応(最初の1時間が最重要):

T+0分: ランサムウェアの展開を確認
T+5分: セキュリティチームへの即時報告
T+15分: 影響を受けたシステムのネットワーク切断
T+30分: バックアップシステムの安全確認
T+60分: 経営層への報告・外部専門家の召集判断

身代金支払いの判断:

  • FBI・CISA・国家サイバーセキュリティセンターは支払いを推奨していない
  • 支払っても復号ツールが機能しないケースが多い(2024年: 約60%)
  • 支払いはさらなる攻撃の対象になるシグナルを送る
  • 制裁対象のグループへの支払いは法的リスクを伴う

7. サプライチェーンセキュリティ

2024年のXZ Utilsバックドア(CVE-2024-3094)は、オープンソースプロジェクトへの2年以上をかけた侵入攻撃でした。サードパーティ経由の攻撃も重要な防御対象です。

対策:
□ 依存関係のSBOM(ソフトウェア部品表)管理
□ 重要コンポーネントのサードパーティ審査
□ パッケージ署名の検証(npm audit, Sigstore)
□ サプライチェーン・セキュリティポリシーの策定

ランサムウェア対応チェックリスト

平時(準備段階)

インフラ:
□ 全資産のインベントリ(何を守るべきか把握)
□ ネットワークセグメンテーションの実施
□ 重要システムへのMFA必須化
□ EDR/XDRの全エンドポイント展開
□ 3-2-1バックアップ + イミュータブルバックアップ
□ バックアップ復元テストの定期実施(四半期)

プロセス:
□ インシデントレスポンス計画(IRP)の整備・訓練
□ 法律・保険・広報の緊急連絡先リスト整備
□ 身代金支払いに関する組織方針の事前決定
□ 重要ベンダーへの連絡プロトコル整備

有事(攻撃発生時)

封じ込め(最初の1時間):
□ 感染システムの即時ネットワーク切断
□ バックアップシステムの安全性確認
□ 横展開の有無を確認(他ホストのEDRアラート確認)
□ Active Directoryの侵害有無を確認

調査・復旧:
□ 初期侵入ポイントの特定
□ 横展開の範囲特定
□ データ持ち出しの有無確認(二重恐喝)
□ クリーンなバックアップからの段階的復旧
□ 再感染防止策の適用後に復旧
感染システムを急いで復旧してはいけない

ランサムウェアの展開自体は攻撃の「最終段階」です。攻撃者はその数週間〜数ヶ月前から環境に潜伏し、バックドアを仕掛けています。感染システムを急いで復旧しても、バックドアが残っていれば再感染します。復旧前に必ず初期侵入ポイントの特定と封じ込めを行ってください。

理解度チェック

3-2-1バックアップルールで「1」が意味することはどれですか?

理解度チェック

ランサムウェアに感染した場合、復旧の前に最も重要な確認事項はどれですか?