SQAT® Security 玉手箱 | SQAT®.jp

2025年12月5日2025年12月11日

【2025年版】ランサムウェアギャング大図鑑：脅威マップと攻撃の特徴第2回：2025年注目のランサムウェアギャング徹底分析

Security NEWS TOPに戻る
バックナンバー TOPに戻る

世界では100を超えるランサムウェアギャングが活動しており、勢力図は日々変化しています。シリーズ第2回では、LockBitやQilin、Cl0p、Akiraなど、2025年現在も活発に活動している主要なランサムウェアギャングを中心に、その手口・特徴・攻撃傾向を徹底分析します。また、BlackCatやRansomHubなど衰退したグループの動向にも触れ、再編を繰り返すランサムウェア市場の「現在地」を整理し、企業が注視すべき最新の脅威を明らかにします。

2025年の勢力図 ― ランサムウェア市場の再編

2025年現在、ランサムウェアの勢力図は大きく塗り替えられています。かつて世界中で猛威を振るったContiやREvil、そしてRansomHubが姿を消した一方で、LockBit、BlackCat（ALPHV）、Play、Cactus、8Base、Medusa、Akiraなどが急速に台頭し、攻撃の主導権を握っています。特にLockBitは依然として最も活発なグループの一つであり、世界各国の企業・自治体・医療機関を標的に、短期間で多層的な攻撃を展開しています。

また、2024年以降は「RaaS（Ransomware-as-a-Service）」モデルの成熟が進み、開発者と実行者（アフィリエイト）が分業化されることで、攻撃のスピードと規模がかつてないほど拡大しました。いまや、技術力の低い犯罪者でも高度なランサムウェア攻撃を実行できる環境が整いつつあります。一方で、法執行機関による摘発や暗号資産取引の監視強化により、いくつかの有力組織は活動停止になりました。代表例がRansomHubであり、2024年に急速に勢力を拡大したものの、2025年4月にはオンラインインフラがダークウェブ上で停止し、現在は「再編中」または「後継グループへ移行中」とみられています。

現在も活発な主要なランサムウェアギャング（2025年時点）

2025年時点で活動が顕著な代表的グループを一覧で紹介します。

グループ名	主な特徴	最近の動向
Qilin（キリン）	製造業への攻撃を中心に活動、日本でも被害多数	2025年700件超の攻撃を確認。被害最多
LockBit（ロックビット）	三重恐喝モデルの先駆者、RaaS最大手	摘発から数か月後、再登場。その際、「LockBit 5.0」を提供
BlackSuit（ブラックスーツ）	BlackCatの後継とされる。カスタム暗号化ツール、情報漏洩の脅迫	2024年に本格的な活動を開始。以前のBlackCatの戦術を引き継ぎつつ、新たな攻撃手法を採用
Play（プレイ）	シンプルな脅迫文と独自の暗号化方式を使用。正規ツール悪用が特徴	教育・行政・製造業を標的に拡大。再現性の高い攻撃手法で模倣も多い
Cactus（カクタス）	VPN機器の脆弱性を悪用。暗号化前に自身をパスワードで保護	欧州企業を中心に感染が拡大中。RaaS化も進行
Medusa（メデューサ）	攻撃的な恐喝と高額な身代金要求	医療・教育機関を中心に攻撃継続。複数の新アフィリエイトを獲得
Akira（アキラ）	VPN経由での侵入とActive Directory攻撃に長ける	北米・アジア企業への侵入増加。身代金の要求額は比較的低め*1https://www.ic3.gov/CSA/2024/240418.pdf

LockBit・BlackSuitが象徴する「持続型」攻撃モデル

LockBitは2021年以降、継続的なバージョンアップを重ね、現在の「LockBit 5.0」では暗号化速度の向上や複数OS対応を実現しています。また、被害者データを公開する「リークサイト」の運用を巧妙化し、支払い圧力を高める戦略を維持しています。一方で、米司法省などの国際捜査により一時的に活動が停止する局面も見られましたが、数週間で再建されるなど、組織の分散性と復元力が注目されています。同様に、BlackSuitは、2023年に登場したBlackCat（ALPHV）の後継とされ、依然としてRust言語を使用したカスタマイズ暗号化を得意とするグループです。BlackSuitの特徴的な点は、以前のBlackCatが行っていた情報漏洩の脅迫に加えて、さらに新たな攻撃手法を採用している点です。特に、金融機関や医療機関をターゲットにした攻撃が増加しており、その手法の精緻化が進んでいます。2024年には本格的に活動を開始し、これまでのBlackCatの後を継いで攻撃を継続中です。業界を超えて、感染経路や攻撃対象を広げると同時に、その特異な手法で注目を集めています

両者に共通するのは、「迅速な再編」と「収益性の最大化」を重視する点であり、捜査・報復措置を受けても体制を再構築し、ブランドを維持する巧妙な経営的戦略をとっています。

新興勢力：Qilin、Play、Cactus、8Base、Medusaの特徴

Qilinは2025年に最も多くの攻撃を仕掛けたランサムウェアグループの一つで、製造業をターゲットにしたカスタマイズ攻撃が特徴です。2025年に入ってから、短期間で700件以上の攻撃を記録し、特に日本企業を多く標的にしています。特徴的なのは、被害者の業界や規模に合わせた細かな調整を行い、効率的に侵入する手法です。2025年9月には、アサヒグループホールディングスに対する攻撃が大きな注目を浴びました。Qilinは、LockBitやDragonForceと連携して攻撃を行うことがあり、今後のランサムウェア市場において、さらなる影響力を持つと予測されています。

その他に急速に台頭した新興勢力の一つがPlayです。Playは2022年に登場した比較的新しいグループながら、独自の暗号化方式とシンプルな脅迫メッセージで知られています。標的選定の傾向は特定の業界に偏らず、政府機関・教育機関・中堅企業まで幅広い範囲に及びます。また、侵入後の横展開において、既知の脆弱性よりも「正規ツールの悪用」を多用する点が特徴的です

さらに、Cactusと8Baseも注目すべき新興勢力です。CactusはVPNやCitrixなどの正規アクセス経路を悪用して侵入し、通信を暗号化する独自の戦術を採用することで検知を困難にしています。被害は欧州を中心に広がり、暗号化ツールをRaaSとして提供する動きも見られます。8Baseは中小企業を中心に攻撃を展開し、データ窃取を重視する「二重脅迫型」戦略を強化しています。LockBit系列の派生とされ、独自の強い脅迫文や被害者情報の大量公開で知られます。2024年中頃をピークに報告数は減少していますが、依然として活動を続けています。また、Medusaは、支払い期限をカウントダウン表示する公開サイトを運用するなど、恐怖心を煽る戦略を取るグループとしても知られています。教育・医療機関を標的とする傾向が強く、倫理的・社会的インパクトの大きさからも注目されています

勢力構造の変化が示す今後の方向性

これらの動向から、2025年以降のランサムウェア市場には次のような変化が予測されます。

短命化するグループと再編の加速

RansomHubのように短期間で急成長し、消滅するケースが増えています。これは法執行機関の摘発強化や、内部リークによる情報流出が影響しているとみられます。

RaaSの分散化と匿名化の進行

大規模組織の崩壊後、開発者が小規模な派生RaaSを乱立させる傾向が見られます。結果として、検知・追跡がより困難になると予測されます。

生成AIや自動化の活用

脅迫文や交渉メッセージの自動生成、被害者選定の最適化など、AI技術の導入が進みつつあります。今後は攻撃プロセス全体の自動化が一層進む可能性があります。

まとめ：常に変動する「勢力の地図」

ランサムウェアの世界では、勢力の興亡が常態化しています。LockBitのような巨大グループでさえ摘発の影響を免れず、次々と新たな派生組織が生まれています。企業としては、「どのグループが脅威か」を追うだけでなく、「どのような攻撃パターンが再利用されているか」を分析することが重要です。攻撃者の名前が変わっても、手口は進化しながら再利用されるため、継続的な脅威インテリジェンスの収集と脆弱性管理が不可欠です。

―第3回へ続く―

【参考情報】

サイバーインシデント緊急対応

セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年12月10日（水）14:00～15:00
「【最短7営業日で報告書納品】短納期で実現するWeb脆弱性診断の新提案-SQAT^® with Swift Delivery紹介セミナー」

2025年12月17日（水）13:00～14:00
【好評アンコール配信】「インシデント対応入門：サイバー攻撃・情報漏洩への緊急対応手順解説」

2026年1月14日（水）13:00～14:00
【好評アンコール配信】「今さら聞けない！ソースコード診断あれこれ」

最新情報はこちら

2025年11月27日2025年11月27日

【2025年版】ランサムウェアギャング大図鑑：脅威マップと攻撃の特徴
第1回：ランサムウェアの進化と2025年の市場構造

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年、ランサムウェアは依然として世界中で深刻な脅威となっています。二重恐喝型から、データ漏洩やDDoSを組み合わせた多重恐喝型へと進化し、被害は企業規模を問わず拡大中です。本シリーズでは、最新のランサムウェア勢力図を全3回で徹底分析します。第1回では、RaaS（Ransomware as a Service）の登場によって急成長したランサムウェア市場の構造と、勢力図がどのように変化してきたのかを詳しく解説します。

ランサムウェア攻撃の現状と被害拡大

2025年、ランサムウェアは依然として世界で最も深刻なサイバー脅威の一つとして位置づけられています。近年は暗号化による業務停止だけでなく、窃取したデータを公開・販売する「二重恐喝」や、DDoS攻撃を加えた「多重恐喝」など、攻撃の多様化が進んでいます。BlackFogの分析によると、2025年初頭のランサムウェア攻撃件数は前年同月比で20〜35％増加しており、増加傾向が続いています*2。特に製造、医療、自治体など、社会インフラに関わる業種への攻撃が目立ちます。日本国内でも被害は増加傾向にあり、企業規模を問わず中堅・中小企業への侵入事例が相次いでいます。攻撃者は直接的な金銭目的だけでなく、他国のサプライチェーンを狙った地政学的背景を持つケースもあり、もはや”無関係な企業は存在しない”状況です。

RaaSモデルがもたらした犯罪の分業化

ランサムウェアがここまで拡大した最大の要因が、「RaaS」と呼ばれるサービス型犯罪モデルの普及です。RaaSは、開発者が作成したランサムウェアを他の攻撃者（アフィリエイト）に貸し出し、得た身代金を分配する仕組みです。技術力を持たない犯罪者でも容易に攻撃を実行できるようになったことで、ランサムウェア攻撃の“裾野”が急拡大しました。

「LockBit」、「Cl0p」、「BlackCat」といった代表的なランサムウェアギャングは、このRaaSモデルを最も普及させたグループです。各アフィリエイトは攻撃対象の選定や侵入手口を独自に開発し、成功報酬を得るビジネス形態を採用しています。まるで企業のような組織構造を持ち、専用のリークサイト運営、広報担当、カスタマーサポートまで存在します。攻撃が商業化・効率化されることで、ランサムウェアはもはや“闇市場の産業”といえる規模に達しています。

勢力図の変化：旧勢力の衰退と新興ギャングの台頭

2024年後半から2025年にかけて、ランサムウェアの勢力図は大きく変化しました。かつて世界を席巻した「Conti」や「Hive」、「Revil」、「BlackCat（ALPHV）」といった主要なランサムウェアギャングは、国際捜査機関の摘発や内部対立により次々と崩壊しました。しかし、その空白を埋めるように新たな勢力が台頭しています。特に注目されるのが、「Qilin（旧Agenda）」や「Lynx」、「Fog」などの新興グループです。これらは高度な暗号化技術と迅速な展開能力を持ち、企業や自治体を標的にデータ漏洩を伴う攻撃を展開しています。Qilinは日本国内の製造業や医療機関を狙う傾向が強く、すでに複数の被害が確認されています。また、LockBitも摘発を受けながらも「LockBit 5.0」として再始動するなど、ブランドの使い捨て・再構築が常態化しています。2025年のランサムウェア市場は、以前から存在するギャングの復活と新興勢力の台頭が交錯する“過渡期”にあると言えます。

ランサムウェア市場を支える犯罪エコシステム

現在のランサムウェア攻撃は、単独の攻撃者だけでは成り立ちません。その背景には「地下経済圏」とも呼ばれる広大な犯罪エコシステムが存在します。ここでは、侵入経路を提供するアクセスブローカー、情報窃取ツールの開発者、暗号通貨を用いたマネーロンダリング業者など、多様な役割が分業的に連携しています。たとえばアクセスブローカーは、企業ネットワークへの侵入権をオークション形式で販売し、ランサムウェアギャングがそれを購入して攻撃を開始します。また、盗み出したデータを販売する「データリークサイト」は、恐喝手段としても活用され、被害企業名を公開して支払いを促します。

さらに近年は、SNSやダークウェブ掲示板上での広報・採用活動も活発化しており、RaaS提供者が「報酬50％保証」「高成功率ツール」といった広告を出すなど、まるでスタートアップ市場のような競争が繰り広げられています。こうした分業と再利用の仕組みにより、ランサムウェア市場は摘発を受けてもすぐに再生する自己修復的な構造を持ち、世界的な脅威として根強く残り続けています。

まとめ：進化する脅威にどう向き合うか

ランサムウェアはもはや“単なるマルウェア”ではなく、「経済的インセンティブを軸に発展する犯罪ビジネスモデル」へと進化しました。RaaSによる分業体制と匿名性の高い暗号資産の普及が、攻撃の拡大を後押ししています。2025年の時点で確認されている主要なランサムウェアギャングの多くは、過去に摘発・崩壊を経験しながらも、ブランドを変えて再登場しており、摘発による根絶は困難です。今後はAIを利用した自動化攻撃、ゼロデイ脆弱性の悪用、地域特化型の標的選定など、さらに巧妙な戦術が主流になると予想されます。企業に求められるのは、「攻撃を防ぐ」だけでなく、「被害を最小化し、迅速に復旧できる体制」を整えることです。第2回では、2025年時点で活動が確認されている主要なランサムウェアギャングの特徴と手口を詳しく分析し、勢力ごとの違いと警戒すべき動向を解説します。

―第2回へ続く―

【参考情報】

サイバーインシデント緊急対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年12月3日（水）14:00～15:00
「【最新事例解説】Qilin攻撃に学ぶ！組織を守る“サイバーレジリエンス強化のポイント”喫緊のランサムウェア被害事例からひも解く ― 被害を最小化するための“備えと対応力”とは？」

2025年12月10日（水）14:00～15:00
「【最短7営業日で報告書納品】短納期で実現するWeb脆弱性診断の新提案-SQAT^® with Swift Delivery紹介セミナー」

最新情報はこちら

2025年11月27日2025年11月27日

サイバーレジリエンスとは何か―ランサムウェア時代の企業が取るべき対策と実践ガイド
第3回：企業のサイバーレジリエンス強化策の実践ガイド

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーレジリエンスとは何か―第3回：企業のサイバーレジリエンス強化策の実践ガイドアイキャッチ画像

攻撃されても事業を継続できる力「サイバーレジリエンス」を解説。シリーズ最終回では、企業が実務で取り組むべきサイバーレジリエンス強化策を整理。実践的な対策を通じて攻撃を受けても事業を継続できる体制づくりのポイントを解説します。

企業に求められるサイバーレジリエンスの実践とは

サイバー攻撃が高度化し、「Qilin」のようなランサムウェア集団による被害が日々報道され続ける現代において、「情報セキュリティ」と「サイバーレジリエンス」の強化は全ての企業が無視できない経営課題となっています。技術・人・組織の三位一体で高めるべき実践策について、国内外の情報を基に解説します。

情報資産の可視化とリスク評価の重要性

まずは、情報資産の洗い出しとリスク評価を徹底することが不可欠です。守るべき顧客情報・機密文書・基幹システムを特定し、サイバー攻撃や内部不正といった脅威、それに対する脆弱性を明確化しましょう。何が狙われやすいのかを組織全体で可視化し、優先順位を定めて防御層を構築することが「情報セキュリティ」の基本です。

多層防御とインシデント対応の統合的アプローチ

次に、多層防御の考え方を導入する必要があります。ゼロトラストモデルの推進を軸に、ネットワーク分離・EDR/XDRの活用・多要素認証（MFA）・適切なパッチ運用・権限管理の最小化・継続的なログ監視…など現代的な技術群は、それぞれ単独で機能するものではなく、総合的なセキュリティ対策のクッションとなります。QilinによるアサヒGHD攻撃のように、日常的なパッチ未適用や不十分なアクセス管理が被害の拡大要因となるため、運用面まで踏み込んだ点検・改善が求められています。

インシデント対応計画の策定

備えとして最も重要視したいのはインシデント対応計画の策定と日常的な訓練です。攻撃を受けた際に何を優先し、誰がどのように動くか、社内外への情報発信のタイミングや判断軸をあらかじめ決めておくことで、初動の混乱や判断遅延を最小限にできます。アサヒGHDの復旧例や国のBCPガイドラインでも、緊急時の透明な情報公開や顧客・関係先への真摯な対応が信頼維持の基盤として重視されています。

バックアップ戦略と復旧体制の確立

バックアップ戦略もサイバーレジリエンスにおいて必須の柱です。オフラインバックアップやイミュータブルバックアップは、ランサムウェアによる暗号化やデータ消去、さらにはバックアップ自体への攻撃を見越した対策となっています。バックアップのリストア手順まで普段から検証を重ね、実際の危機局面で「使えるバックアップ」を運用できる体制づくりが現場の情報セキュリティ課題として浮き彫りになっています。

サプライチェーン攻撃への備え

サプライチェーン攻撃にも注意が必要です。自社だけでなく、取引先や委託先ネットワーク経由で侵入・拡大するケースが増えているため、サイバーセキュリティ要件の明文化や、委託先を含めたインシデント報告ルール整備、サプライヤー監査などもレジリエンス強化の一角をなします。

従業員教育と組織文化の醸成

従業員のセキュリティ教育と、組織文化としての危機意識の醸成も長期的な強さにつながります。フィッシング訓練や定期的なアップデート研修、違反事例の共有など、形式だけでなく“自分ごと”として取り組める日常の習慣化が狙いです。経営層の率先垂範と現場への権限委譲を通じ「脅威に正直で、復元力のある組織こそが選ばれる時代」であることを社内外に示すことが、競争力確保にも直結します。

まとめ：サイバーレジリエンス強化は企業価値創出につながる

このような総合的なサイバーレジリエンス強化策の実践は、単なるコストではなく”持続的な企業価値創出”そのものであり、Qilin事件を始めとした最新インシデントが繰り返し教えている最重要原則です。企業規模や業種を問わず、一人ひとり・一社ごとに最適な情報セキュリティ対策とレジリエンス文化の醸成が社会的責任であること―これこそが、本連載を通じて読者の皆様にお伝えしたいメッセージとなります。

【連載一覧】
第1回：サイバーレジリエンスの重要性：攻撃を前提とした“事業を守る防御”とは
 第2回：Qilinサイバー攻撃に学ぶサイバーレジリエンス

【参考情報】

【関連ウェビナー開催情報】
弊社では12月3日（水）14:00より、「【最新事例解説】Qilin攻撃に学ぶ！組織を守る“サイバーレジリエンス強化のポイント”喫緊のランサムウェア被害事例からひも解く ― 被害を最小化するための“備えと対応力”とは？」と題したウェビナーを開催予定です。最新のランサムウェア被害事例をもとに、攻撃の実態と被害を最小化するための具体的な備えについて解説します。ぜひご参加ください。詳細・お申し込みはこちら。

サイバーインシデント緊急対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年11月26日（水）13:00～14:00
【好評アンコール配信】「クラウド設定ミスが招く情報漏洩リスク -今こそ取り組むべき「クラウドセキュリティ設定診断」の重要性-」

2025年12月10日（水）14:00～15:00
「【最短7営業日で報告書納品】短納期で実現するWeb脆弱性診断の新提案-SQAT^® with Swift Delivery紹介セミナー」

最新情報はこちら

2025年11月20日2025年11月20日

企業がランサムウェアに感染したら？被害事例から学ぶ初動対応と経営者が取るべき対策

Security NEWS TOPに戻る
バックナンバー TOPに戻る

近年、企業を狙ったサイバー攻撃は巧妙化・高度化し、なかでも「ランサムウェア」被害は深刻さを増しています。業務停止や顧客情報の漏えい、取引先・株主からの信頼低下など、企業経営を直撃するリスクが現実のものとなっています。もし企業がランサムウェアに感染したら、対応の遅れは損害の拡大を招きます。経営層こそ、リスクを正しく理解し、事前の備えと発生時の迅速な意思決定を行う必要があります。本記事では、企業向けにランサムウェアの最新動向と、感染した際に最優先で行うべき初動対応、そして再発防止策について解説します。

ランサムウェアとは

ランサムウェアは企業の重要データを暗号化し、復元と引き換えに身代金（Ransom）を支払うよう要求するマルウェアの一種です。

かつては個人を標的とするケースが中心でしたが、近年では高額な金銭を得られる企業が主な攻撃対象となっています。製造、医療、インフラ、小売、自治体など業界を問わず被害が発生しており、サプライチェーン全体に影響を与えるケースも増加しています。

身代金はビットコインなどの仮想通貨で要求されることがほとんどです。ただし、支払ってもデータ等が必ず元に戻るとは限りません。また、暗号化されたファイルのパスワードを解析して、自力で元に戻すことは、ほぼ不可能です。

なぜ企業が狙われるのか

企業が持つデータは攻撃者にとって高い価値を持ちます。特に以下の理由が挙げられます。

業務停止を避けるため、身代金が支払われやすい
顧客・取引先データなど外部へ悪用できる情報を保有している
セキュリティレベルのばらつきがある
クラウド移行、DX加速に伴い防御範囲が拡大している

攻撃者は従業員のメールや脆弱なVPNを突破口として企業ネットワークに侵入し、内部に潜伏しながらバックアップ破壊など周到な準備を行った上で暗号化を実行します。

被害を拡大させる「二重脅迫」が主流

従来はファイルを暗号化して身代金を要求するだけだったランサムウェア攻撃ですが、近年主流となっているのが「二重脅迫（二重恐喝）」型です。これは、暗号化する前にデータを盗み出し、身代金の要求に加え、企業の機密情報をインターネットに公開するぞと、二重に脅迫を行う手法です。

復旧可能なバックアップがあったとしても、情報漏えいリスクから身代金の支払いに追い込まれるケースが後を絶ちません。また、支払い後もデータ公開を止めない犯罪グループも存在します。

企業のランサムウェア被害がもたらす影響

ランサムウェア感染により、企業は多面的な損害を受けます。

影響範囲	内容
業務面	生産ライン停止、受注業務・物流遅延、顧客対応停止
経済面	身代金、復旧費、情報漏えい対応費、機会損失
信頼面	顧客・取引先・株主・社会的信用の失墜
法的責任	個人情報保護法、業界規制等による報告義務

被害の総額は数千万円〜数十億円規模にのぼる例もめずらしくありません。

どこから感染するのか（ランサムウェアの主な感染経路）

多くは企業のセキュリティ対策が不十分な“穴”（＝セキュリティホール）をついて侵入されます。

標的型攻撃メール（添付ファイル・悪意あるリンク）
脆弱性のあるVPN装置・リモート環境
不正なソフトウェア・USBデバイス
サプライチェーンを介した侵入
不正アクセスにより管理権限を奪取

「メールを開いただけ」といった小さな油断から大被害へと発展します。このように、1つのマルウェアに感染することで様々なランサムウェアに感染する可能性があり、攻撃のパターンも複数あるということを認識しておく必要があります。

企業がランサムウェアに感染したら：最初の72時間で何をすべきか

感染発覚後の初動対応が、復旧の成否と被害額を大きく左右します。以下は企業が取るべき基本手順です。

被害範囲の特定と隔離
ネットワークから切り離し、被害が拡大しないよう封じ込めます。
外部専門機関への早期連絡
フォレンジック調査、インシデントレスポンス（CSIRT）と連携し、被害を技術的に分析します。
重要関係者への状況共有
経営層／法務／広報／顧客／取引先／監督官庁など、情報開示を適切に実施します。
バックアップからの復旧検討
データの安全性を確認した上で、段階的に業務を再開します。
法的観点に基づく対応
情報漏えいが発生した場合は報告義務が生じる可能性があります。

“自社だけで判断しない”ことが極めて重要です。

サイバーインシデント緊急対応

身代金を支払えば解決するのか？

結論から言えば、身代金支払いは推奨されません。その主な理由は以下の通りです。

復号ツールを受け取れる保証がない
データ公開を止める保証がない
再び標的にされる可能性が高まる
資金が犯罪組織の活動に利用される
法令や国際規制に抵触するリスク

国際的にも支払いは原則「NG」とされており、法務と専門家の判断を必須とすべき領域です。

企業が導入すべきランサムウェア対策

感染防止と被害最小化は両輪で取り組む必要があります。

予防策（侵入させない）

EDR／XDRの導入
脆弱性管理・パッチ適用
ゼロトラスト型アクセス制御
メール訓練と従業員教育

ランサムウェアの対策として、EDR（Endpoint Detection and Response）やSIEM（Security Information and Event Management）製品を活用して、早期検知とブロックを行う方法がよく知られていますが、最大の感染経路のひとつである「メール」を対象にした訓練を行うことも有効でしょう。

ランサムウェア対策のメール訓練としては、「定型のメールを一斉送信し、部署毎に開封率のレポートを出す」ことに加え、事前に会社の組織図や業務手順等のヒアリングを行ったうえで、よりクリックされやすいカスタマイズした攻撃メールを作成し、添付ファイルや危険なURLをクリックすることで最終的にどんな知財や資産に対してどんな被害が発生するか、具体的なリスク予測までを実施することをおすすめします。

標的型メール訓練

https://www.bbsec.co.jp/service/training_information/mail-practice.html
※外部サイトへリンクします。

被害軽減策（侵入されても止める）

隔離可能なネットワーク構成
攻撃検知・自動遮断システム
権限最小化・多要素認証

復旧策（迅速に回復する）

オフライン・多重バックアップ
復旧手順の事前検証
インシデント対応訓練

経営者が担うべき役割

ランサムウェアはIT部門だけでは対応できません。経営者視点で求められるのは以下です。

セキュリティ投資判断と優先順位付け
リスクを踏まえた継続的な管理体制の構築
社内文化としてのセキュリティ意識向上
インシデント発生時の意思決定と情報開示方針の確立

セキュリティは経営課題であり、企業価値を守るための投資です。

まとめ：感染したら“すぐ動ける企業”へ

企業がランサムウェアに感染したら、時間との戦いが始まります。初動が遅れるほど被害は拡大し、業務停止や情報漏えい、社会的信用喪失といった影響は深刻さを増します。だからこそ、「事前の備え（体制・技術・教育）」「迅速な判断（経営レベル）」「確実な復旧（検証された手順）」が不可欠です。

攻撃はいつ起きてもおかしくありません。“感染したらどうするか”ではなく、“必ず起きる前提で備える”―それが企業のセキュリティ対策の出発点です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年11月20日2025年11月20日

マルウェアに感染したら
-マルウェアの種類と対策、ウイルスとの違いは-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

マルウェアは、コンピューターやモバイルデバイスを標的にする悪意のあるソフトウェアの総称です。以前よく聞かれていたのは「ウイルス」ですが、いまや攻撃の手口は「ウイルス」という言葉で表せる範囲を超え、多様化・巧妙化しています。

もしもマルウェアに感染したら、どのような対処をとればよいのでしょうか。また、感染する前にできる予防策として何か有効でしょうか。
本記事を活用し、適切な対策を講じ、マルウェア攻撃のリスクを最小限に抑えましょう。

マルウェアとは

「マルウェア」とは「malicious（悪意のある）software（ソフトウェア）」の略称です。マルウェアは、コンピュータ、サーバ、クライアント、コンピュータネットワーク等に損害を与えるため、あるいはユーザの意図や利益に反する活動を行うために設計されたソフトウェアです。さまざまなタイプのマルウェアが存在します。

ウイルスとマルウェアの違い

「ウイルス」はマルウェアの一種です。インターネット黎明期、「ウイルス」と呼ばれるプログラムの多くは、コンピュータサイエンスを学ぶ学生などによって、実験やイタズラ目的で開発されていました。

諸説ありますが、実験やイタズラの範疇を超える、明確な悪意を持った犯罪者や組織によってウイルスが作られはじめた2005年頃から「マルウェア」という言葉が使われるようになりました。

こんにちマルウェアは、サイバー犯罪者や犯罪組織、各国の政府などによって開発され、個人情報や金融情報、知的財産、機密情報を盗んだり、プライバシーを侵害する意図で利用されています。

マルウェアの代表的な種類

代表的なマルウェアとしては、以下のようなものがあります。

ウイルス	多くの場合、一見無害に見えるファイルの中に隠されています。ユーザによりファイルをクリックされ実行されることで自己増殖を行い、データの破壊などの有害な動作を行います。
ワーム	ワームはウイルスとは異なり、ファイルの中に隠れていることはありません。自己増殖もワームだけで行うことができます。ウイルスやワームは感染したコンピュータだけに影響を及ぼすものではなく、コンピュータネットワークを経由して他のコンピュータに拡散します。
トロイの木馬	無害なあるいは有益なプログラムに偽装してユーザを油断させ、インストールを行わせるマルウェアです。ウイルスやワームと異なり自己増殖することはありません。古代ギリシャ時代、トロイの街を攻撃するため、贈り物に見せかけた大きな木馬に兵士を潜ませて侵入を行った方法が名前の由来です。主にバックドア1と呼ばれる不正な裏口を作ったり、オンラインバンキングなどのパスワードを盗んだり2、別のプログラムをダウンロードするなどの動きをします。
スパイウェア	個人や組織の情報を同意なしに収集したり、その情報を攻撃者に向けて送信することを目的としたマルウェアです。
アドウェア	多くはユーザが知らないうちにインストールされ、インターネット閲覧の際にユーザが望まない広告を表示します。すべてが違法とは言えない場合もあります。
ランサムウェア	ユーザのファイルやデータを勝手に暗号化し、身代金（ランサム）を支払うまで復号しないと脅すマルウェアです。身代金を払ってもデータが元に戻るとは限りません。
キーロガー	コンピュータのキーボード入力を記録するソフトウェアで、本人の同意や法的根拠なく使用された場合にマルウェアとみなされます。パスワードや機密情報を盗むために使用されます。
*バックドア1**	英語で「裏口」の意味で、一度侵入したシステムなどに次回以降も不正にアクセスする際、それを容易にするために設けられる通信接続手段を指します。
ボット	マルウェアによって乗っ取られ、遠隔からの指示によって自由に操られるようになったコンピュータを、「ボット」または「ゾンビPC」と呼びます。複数のボットをボットネットとして制御し、DDoS攻撃等のサイバー犯罪に悪用します。
*バンキングマルウェア2**	オンラインバンキングのIDやパスワード、クレジットカード情報などを盗むマルウェアです。不正送金などの被害が報告されています。
ファイルレスマルウェア	通常のマルウェアはコンピュータのハードディスク内に存在しますが、コンピュータのRAM内でしか動作しないように設計されているマルウェアです。

マルウェア感染の経路：3大感染経路は「電子メール」「Web閲覧」「記憶媒体」

マルウェアの感染経路としては、大きく「電子メール」「Web閲覧」「記憶媒体」の3つが挙げられます。

「電子メール」経由の感染	標的型攻撃メールなどで、メールの添付ファイルを開いたり、文中に記載されたURLをクリックすることでマルウェアに感染します。
「Web閲覧」経由の感染	単にWebサイトをブラウザで見るだけで感染する「水飲み場型攻撃」などが知られています。
USBメモリなどの「記憶媒体」経由の感染	USBメモリやCD-ROM、DVD、外付けHDDなど、各種記憶媒体などもマルウェアの感染経路として悪用されます

その他にも、ファイル共有ソフトで手に入る音楽や動画ファイルを装ったマルウェアや、ソフトウェアのニセのアップデートを装うものなど、さまざまな感染経路が存在します。

マルウェアに感染したらどうなる？：マルウェア被害と症状

実験やイタズラ目的で開発されたマルウェアの多くは、ユーザに派手なメッセージを見せたり、アドレス帳にあるメールアドレス宛に手当たり次第に勝手にメールを送ったり、あるいはPCの挙動を重くするなど、感染したことが明白である症状を呈したり挙動をするものが少なくありませんでした。

現在も、オンラインバンキングで不正送金を行うマルウェアや、重要データを暗号化して身代金要求を行うランサムウェアなどは、目に見える被害や症状を示すマルウェアといえるでしょう。

しかし、前述したようなサイバー攻撃の目的の変化によって、ユーザにまったく感染を気づかせないマルウェアも増えています。

一連の攻撃活動を行った後で、自らを消去して完全に痕跡を消す自己消滅型のマルウェアも存在しており、すべてのマルウェアに自分で気づくことはおよそ不可能といえます。

マルウェアに感染したらどう対処すべきか

もしマルウェア感染したことが明らかであるならば、Wi-Fi機能のOFFやLANケーブルを抜くなどのネットワーク切断はすぐに行った方がいいでしょう。ネットワークを経由して感染を広げるインターネットワームなどの拡大を抑えることができます。

一方でPCやサーバの電源を落とすことは避けてください。感染経緯の究明などに利用できる証拠が失われることがあり、事故調査や、その後の適切な対策実施に悪影響を及ぼします。

多くの会社で、マルウェアに感染した場合の対応手順が決められています。まずはネットワークを切断し、速やかに情報システム部門やネットワーク管理者に連絡して指示に従ってください。

マルウェアの検知・駆除ツール「ウイルス対策ソフト」

こうしたマルウェアを検知・駆除する方法として使われるのが「ウイルス対策ソフト」（「アンチウイルスソフト」）です。ウイルスの対抗手段であることから、古くは「ワクチン」とも呼ばれました。

ウイルス対策ソフトは「パターンマッチング」と呼ばれる方法でマルウェアを検知します。ウイルス対策ソフトがあらかじめ持っている「パターンファイル」「定義ファイル」と呼ばれるマルウェアの特徴に関するデータと参照することで、マルウェアを検知します。

しかしパターンマッチングでは、まだ出回っていない新しいマルウェアを検知できません。そのため、プログラムの挙動を分析してマルウェアを検知する「ヒューリスティック分析」「振る舞い検知」などの技術が開発されました。

一方で近年、膨大な数の新しいマルウェアが作られたり、ブラックマーケットにおいて主要なアンチウイルスソフトでは検知できないマルウェアが販売されるなど、ウイルス対策ソフトだけでは充分な対策とは言えなくなっています。

マルウェアに感染する前にできる「予防対策」

各ユーザのクライアントPCのマルウェア対策としては、ウイルス対策ソフトの利用がもっとも一般的な方法です。また、最近ではEDR（Endpoint Detection and Response）製品などを利用するケースも増えています。これに加えて、3大経路の1つである電子メールからの感染を防ぐ対策として、標的型攻撃メール訓練によるユーザ教育が有効でしょう。また、ランサムウェア攻撃を受けた場合の復旧に備えたデータのバックアップなども重要になります。

一方で、管理者の観点からはマルウェア感染の脅威が及ぶのはPCだけではありません。自社が提供するWebサイトにマルウェアや不正なコードを埋め込まれる「Web改ざん」にも同様の注意が必要となります。こうした攻撃を許してしまう要因はクロスサイトスクリプティング（XSS）などの脆弱性です。そのような脆弱性が存在しないかどうかは、Webアプリケーション診断などによって感染の前に明らかにすることができます。Webサイトの改ざんを検知するサービスも存在します。

また、これは感染予防対策ではありませんが、感染したことにいちはやく気づくために、SOC（Security Operation Center）サービスなどを利用して外部との不正な通信を検知したり、ログを収集して分析することも有効です。

マルウェアによる攻撃手法は常に進化しています。最新の情報を常にチェックし、適切な対策を講じることで、マルウェアのリスクを最小限に抑えることができます。

まとめ

・マルウェアとは「malicious（悪意のある）software（ソフトウェア）」の略称で、ウイルスもマルウェアの一種です。
・ウイルス対策ソフトだけでは検知できないマルウェアも存在します。
・マルウェアの主な感染経路はメール・Web・USBメモリなどの記憶媒体です。
・もし感染に気づいたらネットワークを切断します。ただし電源を切ってはいけません。
・予防対策として標的型攻撃メール訓練やセキュリティ診断なども有効です。

サイバーレジリエンスとは何か―ランサムウェア時代の企業が取るべき対策と実践ガイド
第2回：Qilinサイバー攻撃に学ぶサイバーレジリエンス

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーレジリエンスとは何か第2回：Qilinサイバー攻撃に学ぶサイバーレジリエンス

攻撃されても事業を継続できる力「サイバーレジリエンス」を解説。シリーズ第2回は、ランサムウェア攻撃グループ「Qilin」による攻撃の経緯と影響を解説します。被害状況を整理し、企業が得られる教訓と、サイバーレジリエンス強化のポイントを示します。

アサヒグループへの攻撃事例

2025年9月、日本を代表する食品・飲料メーカー、アサヒグループホールディングスは、ランサムウェア集団「Qilin（キリン）」の大規模サイバー攻撃の被害に遭いました。これにより、同社の統合システムが停止し、受注や出荷だけでなく、会計や人事、顧客対応までが全面的に麻痺しました。新商品の発売延期や決算発表の遅延、数カ月単位のビジネスインパクトが現実となり、日本社会にもサイバーレジリエンスと情報セキュリティの再認識を促す事態が生まれました。

ランサムウェア攻撃グループ「Qilin」の特徴

Qilinはロシア語圏を拠点とするランサムウェア集団で、2022年に「Agenda」から改称・拡張した犯罪組織です。2025年だけで700件超もの犯行声明を出し、暗号化ツールや恐喝サイトを第三者に提供する「 RaaS（Ransomware as a Service）」モデルを主力に展開。技術力に乏しい攻撃者でも、サービスとして提供される攻撃ツールを利用して、企業システムへの侵入・データ窃取・身代金要求が可能となりました。今回のアサヒグループへの攻撃では、財務情報や従業員の個人情報を含む9300ファイル以上、計27GB超の機密データを盗んだと主張しています。

攻撃の手口については公式発表では明らかにされていませんが、一般的にランサムウェアでは、以下のような経路が考えられます。フィッシングメールやVPN脆弱性の悪用、認証情報の窃取から正規アクセスの確立、そしてシステム内へのラテラルムーブメント（水平展開）です。特にQilinは二重脅迫型で被害企業に身代金の支払いを強く迫り、支払い拒否時には盗んだデータの公開や発注先・顧客への連絡まで講じる、三重・四重の多重脅迫へと進化しています。バックアップの破壊、サプライチェーンや経営層への直接圧力まで、RaaSによるサイバー攻撃の悪質化・高度化が進んでいます。

従来型セキュリティの限界とゼロトラストセキュリティ

サイバー攻撃に対しては、従来型の情報セキュリティ対策のみでは防御しきれません。定期的なセキュリティ教育と、VPN・認証情報・アクセス権限の適切管理、多層防御（EDR/XDR、ネットワーク監視、オフラインバックアップ）の導入、そして暗号化による”システムへの侵入前提の対策“が不可欠です。完全防御は不可能であり、いかに早く侵入検知し、適切なインシデント対応計画のもと事業復旧を果たすかがサイバーレジリエンスの本質となります。

アサヒグループのケースでは、緊急事態対策本部の設置、手作業による一部業務継続、新商品の発売延期、個人情報流出の公表、そして復旧宣言までの透明かつ迅速な情報公開が、関係者との信頼維持に大きく寄与しました。政府の施策としても、重要インフラなど15業種に義務化されているActive Cyber Defense（ACD）制度拡充など、日本社会全体でのサイバー攻撃リスクへの対応強化が模索されています。

事例から学ぶサイバーレジリエンス強化のポイント

事例から学ぶべき教訓は、攻撃を未然に防ぐだけでなく”侵入前提”に立った情報セキュリティ体制の整備と、サイバーレジリエンス強化への継続的な投資・教育の重要性です。組織文化としての危機管理、復旧方針の明確化、経営陣の強いコミットメントが不可欠となります。また、暗号化やゼロトラスト、防御・検知・復旧サイクルを確立し、被害時に迅速に情報公開と初動対応が行える体制づくりが、企業の信頼回復・競争力強化に直結することを改めて理解すべきでしょう。

高度化するランサムウェア攻撃と情報セキュリティリスクを前に、企業・組織は一時的な対策の実施に留まらず、「いかに早く立ち直るか」「次の攻撃にどう備えるか」に重点を置く必要があります。サイバーレジリエンスの本質、それは「攻撃されても倒れない」現実的な強さであり、アサヒグループへのランサムウェア攻撃事例はその象徴的な例として日本社会全体に警鐘を鳴らしています。

―第3回へ続く―

【参考情報】

サイバーインシデント緊急対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年12月10日（水）14:00～15:00
「【最短7営業日で報告書納品】短納期で実現するWeb脆弱性診断の新提案-SQAT^® with Swift Delivery紹介セミナー」

最新情報はこちら

2025年11月17日2025年11月20日

サイバーレジリエンスとは何か―ランサムウェア時代の企業が取るべき対策と実践ガイド
第1回：サイバーレジリエンスの重要性：攻撃を前提とした“事業を守る防御”とは

Security NEWS TOPに戻る
バックナンバー TOPに戻る

攻撃されても事業を継続できる力「サイバーレジリエンス」を解説。シリーズ第1回では、2025年のランサムウェア攻撃の事例をもとに、従来の防御型セキュリティの限界を整理。攻撃を前提とした強靭な防御策や、技術・人・組織を融合させた総合的な情報セキュリティ体制の重要性を解説します。

サイバーレジリエンスの必要性が高まる背景

2020年代半ばにおいては、「情報セキュリティ」という言葉が単なる防御策やリスク回避という意味合いを超えて、新たな時代へと突入しました。その象徴的な出来事が、2025年秋に発生したアサヒグループHDへのランサムウェア集団Qilin(キリン)によるサイバー攻撃です。日本を代表する食品・飲料メーカーが標的となり、情報システムの停止、新商品の発売延期、受注や出荷業務の停滞、さらに決算発表の延期にまで発展したこの事件は、社会全体に深刻な影響をもたらしました。この出来事は、従来型の「守るための情報セキュリティ」だけでは不十分であり、「サイバーレジリエンス」、すなわち「攻撃を受けても事業を継続するための強さ」が必要不可欠であることを多くの日本企業に示しました。

サイバーレジリエンスとは何か

サイバーレジリエンスとは、米国NISTなどが提唱している、「攻撃を受けても迅速に回復し、事業運営を継続できる能力」のことです。情報セキュリティにおいても、技術対策の積み重ねだけでは完璧な防御は難しく、ランサムウェアやAPT（Advanced Persistent Threat）のような高度な攻撃に突破される可能性は常に存在します。そのため、企業はどのように復旧し、どのように事業を再開するかに知恵を絞り、BCP（事業継続計画）やリスク評価のサイクルの中にサイバーレジリエンスを組み込むことが不可欠となっています。

2025年、ランサムウェア市場で主要な犯罪ビジネス「RaaS」

QilinによるアサヒGHDへの情報セキュリティ上の課題は多様です。同グループは「RaaS（Ransomware as a Service）」、すなわち攻撃ツールやノウハウを提供しビジネス化したモデルを採用しており、技術力が高くない実行者でも大規模な攻撃を行える点が脅威となっています。実際の攻撃手法としては、フィッシングメールやVPNの脆弱性を突いた侵入が多く、内部侵入後は認証情報の窃取や水平展開、情報漏洩と二重脅迫が展開されます。アサヒGHDでは、27GB以上、9300ファイルに及ぶ機密情報が流出し、従業員の個人情報が公開されるリスクも現実化しました。復旧には数ヶ月を要すると見込まれています。

企業が取るべき防御と対応の考え方

情報セキュリティを考える際、システムに侵入されないことを前提にする従来のアプローチは、もはや限界を迎えています。特に製造業など基幹産業では、デジタルシフトによりサイバー攻撃の影響範囲が拡大しつつあります。今求められているのは、ゼロトラストモデル、EDR・XDR、オフラインバックアップを中心とした多層防御、現実の攻撃を想定したインシデント対応計画、従業員教育や情報共有を含めた総合的な情報セキュリティ体制です。技術だけでは乗り越えられない脅威に備え、組織のガバナンスと人材育成が融合した「組織としてのレジリエンス」が、真の競争力となり、顧客や関係者からの信頼にも直結します。

組織としてのレジリエンスと競争力への影響

企業・組織としてサイバーレジリエンスを高めるためには、下記の要素が重要です。

リスク評価と資産洗い出しによる保護対象の明確化
インシデント対応計画（IRP）と定期的な訓練による実践力の強化
速やかに復旧できるバックアップ体制と、復旧目標（RTO／RPO）の設計
技術と人、両面からの多層防御策（EDR、MFA、多層アクセス制御など）と、従業員への情報セキュリティ教育・組織のガバナンス強化と、早期発見
報告を促す風通しの良い社内文化

Qilin事件を機に、多くの日本企業は情報セキュリティ戦略を再構築し、「攻撃を防ぐ」だけでなく「攻撃されても事業継続できる」レジリエンス思考へのシフトを迫られています。サイバー攻撃の高度化と社会的インパクトは、すでに企業の枠を超え、日本社会全体の重要課題となっています。「情報セキュリティ」と「サイバーレジリエンス」が両軸として不可分であることを、今こそ再認識すべき時代に突入しています。

次回、第2回では、QilinによるアサヒGHD攻撃の詳細と、技術的・組織的インパクト、企業が得るべき教訓について、さらに深く掘り下げます。

―第2回へ続く―

【参考情報】

サイバーインシデント緊急対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年12月10日（水）14:00～15:00
「【最短7営業日で報告書納品】短納期で実現するWeb脆弱性診断の新提案-SQAT^® with Swift Delivery紹介セミナー」

最新情報はこちら

2025年11月7日

世界で多発するゼロデイ攻撃とは？Apple・Google・Ciscoを襲った脆弱性の実態と対策

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ゼロデイ攻撃とは？Apple・Google・Ciscoを襲った脆弱性の実態と対策アイキャッチ画像

2025年9月、世界各地で「ゼロデイ脆弱性」を悪用したサイバー被害が相次ぎました。ゼロデイ攻撃とは、まだ修正プログラム（パッチ）が公開されていない未知の脆弱性を突く攻撃であり、検知や防御が極めて困難です。今、ゼロデイ攻撃は誰にとっても避けて通れないサイバーリスクとなっているのです。本記事では、最新のゼロデイ攻撃の事例、被害の傾向、そして今すぐ取るべき対策について解説します。ゼロデイ脆弱性の脅威を正しく理解し、被害を防ぐための第一歩にしましょう。

世界各地でゼロデイ脆弱性が続発

2025年9月、世界中でゼロデイ脆弱性をめぐる一連のサイバー攻撃が相次いで報告されました。ゼロデイ脆弱性とは、ソフトウェアやOSに潜む修正前のバグ、つまり開発元ですら把握していない段階で第三者によって悪用される脆弱性のことであり、攻撃者は一般公開前・パッチ適用前にこれを利用して侵入や情報搾取、システム乗っ取りを仕掛けます。2025年9月には、AppleのiPhoneやiPad、GoogleのAndroid端末、CiscoルーターやVPN装置、SAPやAdobe、SonicWallなど多岐にわたるプロダクトが標的となりました。

Apple・Googleのゼロデイ脆弱性が顕在化

Apple関連では、「CVE-2025-43300」「CVE-2025-55177」という画像解析に関するゼロクリック型脆弱性が公表され、iPhoneやiPadが世界的な攻撃対象になりました。Apple社は直ちに150ヶ国以上のユーザーへ警告通知を送り、Lockdown Modeの利用を強く推奨しました。実際に攻撃が検知された端末も多く、海外では医療機関や金融サービスを狙った“標的型ゼロデイ攻撃”の発生も確認されています。

Android端末でも深刻な脆弱性（CVE-2025-38352など）が確認されており、カーネルやランタイム部分の権限誤取得によって、スマートフォンが遠隔操作される事例が増加しました。Chromeブラウザでもゼロデイ脆弱性が発見され、公式パッチのリリースを急いだ流れがあります。これらの技術情報は国際的なセキュリティ速報サイトや公式ベンダーのアドバイザリが一次情報となっており、日々関係者向けに更新されています。

ビジネスシステムも標的に

さらに、Windowsのファイル圧縮ソフトWinRARでは「CVE-2025-8088」の脆弱性が報告され、悪意を持ったファイル一つでシステム内部に侵入されるリスクが浮上しました。Citrix NetScalerにおいてはリモートコード実行（RCE）を許す「CVE-2025-7775」、企業内パスワード管理ツールPasswordstateでもゼロデイ攻撃による被害が発生しています。こうしたビジネス系システムでは、管理画面だけで全システムが乗っ取られる危険性が顕在化しており、複数企業が業務停止・復旧対応に追われています。

ゼロデイ攻撃の基本的な流れ

ゼロデイ攻撃の基本的な流れは、メール・Web・ファイルアップロードなどを入り口として、権限昇格の脆弱性を突き、最終的に情報搾取や遠隔操作へと至るという流れです。特に企業ユーザーはパッチ適用・監視強化・多層防御など、従来型のセキュリティ運用だけでは防ぎきれない時代に直面しています。一般のエンドユーザーも自らが使うスマートフォンやタブレットがゼロデイ脆弱性を抱えている可能性を念頭に、定期的なアップデートや公式情報の取得を習慣化する必要があります。

ゼロデイ脆弱性は誰もが直面する脅威

ゼロデイ脆弱性は一部の大企業だけの問題ではありません。個人が使うアプリやデバイスにもリスクが存在し、誰もが常に脅威に晒される現状が2025年の特徴です。正確な情報源に基づき、自分自身と組織の防御体制を早急に見直すことが求められているのです。

【参考情報】

BBSecでは

サイバーインシデント緊急対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年11月12日（水）14:00～15:00
「なぜ今“脆弱性診断”が必要なのか?実績データで見る検出傾向とサービス比較」

最新情報はこちら

2025年11月4日2025年11月4日

マルウェアとウイルスの違いとは？種類・特徴・感染経路をわかりやすく解説

Security NEWS TOPに戻る
バックナンバー TOPに戻る

近年、サイバー攻撃はますます高度化し、企業や個人を狙った被害が増えています。その中心的な脅威が「マルウェア」と呼ばれる悪意あるソフトウェアです。しかし、「マルウェアとウイルスの違いがわからない」という方も多いのではないでしょうか。本記事では、両者の違いをわかりやすく解説し、代表的な種類や感染経路、被害事例、そして防ぐための対策まで詳しく紹介します。

マルウェア（malware）とは？意味と基本的な仕組み

マルウェアとは、「Malicious（マリシャス＝悪意のある）」と「Software（ソフトウェア）」を組み合わせた造語で、コンピュータやネットワークに害を与える悪意のあるプログラムの総称です。具体的には、ユーザの意図しない動作を引き起こし、情報の窃取や破壊、システムの乗っ取りなどを目的とするプログラムを指します。代表的なものにコンピュータウイルス（＝ウイルス）、ワーム、トロイの木馬、スパイウェア、ランサムウェアなどがあります。

マルウェアは、メールの添付ファイルや不正なWebサイト、ソフトウェアの脆弱性などを通じて感染し、個人情報の漏洩や金銭的被害、業務妨害など深刻な問題を引き起こす可能性があります。そのため、日常的なセキュリティ対策が非常に重要です。

マルウェアとウイルスの違い

マルウェアは、悪意のあるソフトウェアの総称で、コンピュータウイルスはその一種です。ウイルスは自己複製し、他のプログラムやファイルに感染して広がる特徴を持つのに対し、マルウェアには様々な種類があり、必ずしも自己複製しません。つまり、全てのウイルスはマルウェアですが、全てのマルウェアがウイルスというわけではありません。マルウェアは、より広範な脅威を指す用語です。

比較項目	マルウェア	コンピュータウイルス
定義	悪意のあるソフトウェア全般	マルウェアの一種
自己複製	しないものもある	自己複製する
感染方法	メール・Web・USBなど多様	他ファイルやプログラムに感染
代表例	ワーム、トロイの木馬、ランサムウェアなど	Michelangelo、ILOVEYOUなど

主なマルウェアの分類

ウイルス
コンピュータウイルスは、自己複製する悪意のあるプログラムです。ユーザがプログラムやファイルを実行することで動作し、自己複製して他のプログラムやファイルに感染します。感染したファイルが開かれるたびに広がり、データの破壊やシステムの動作不良を引き起こします。ウイルスは通常、ファイルやプログラムを破壊する目的で作成され、感染拡大によるシステムの停止を引き起こす可能性があります。
ワーム
ワームは、自己複製する悪意のあるプログラムです。ユーザの操作なしに、ネットワークの脆弱性を利用して感染したコンピュータからネットワーク内の他のコンピュータに拡散し、ネットワークの帯域を消費してシステムのパフォーマンス低下や停止を引き起こすことがあります。ワームはウイルスと異なり、ホストプログラムを必要としません。特に企業や大規模ネットワークに対して深刻な脅威です。
トロイの木馬
トロイの木馬は、通常のソフトウェアやファイルに見せかけてユーザにインストールさせる悪意のあるプログラムです。ユーザのコンピュータに侵入したあと、何かのトリガーが起こった場合に、バックドアの作成や情報窃取などを自動的に実行します。自己複製能力はありませんが、一度実行されると重大な被害をもたらす可能性があります。

マルウェアの主な種類と特徴

マルウェアにはいくつか種類があります。以下に代表的なマルウェアの特徴をご紹介します。

ランサムウェア

ランサムウェアは、ユーザのデータやファイルを暗号化し、アクセスを不能にするマルウェアです。サイバー攻撃者は暗号化されたデータやシファイルの暗号化解除と引き換えに、身代金の支払いを要求します。攻撃者は、データの復元やアクセスの回復のために身代金を要求します。「Ransom（ランサム＝身代金）」と「Software（ソフトウェア）」を組み合わせた造語で、これが名称の由来です。多くの場合、身代金は暗号通貨で支払うことが要求され、支払ったとしてもデータが復元される保証はありません。このため、ランサムウェアは組織にとって非常に深刻な脅威となっています。

近年、二重脅迫型の攻撃も増加しており、支払いに応じなければデータを公開すると脅迫されます。被害者は重要データへのアクセスを失い、業務停止や金銭的損失に直面します。感染経路には、メール添付ファイル経由、VPN経由、リモートデスクトップ接続経由など様々なものがあります。

スパイウェア

スパイウェアは、ユーザの個人情報を収集し、ユーザが意図しないうちに外部に送信するマルウェアです。収集するデータには、キーロガーやスクリーンキャプチャー機能を持つものもあり、パスワードやクレジットカード情報などを窃取します。スパイウェアは、一般的に無意識のうちにインストールされることが多く、主にダウンロードしたソフトウェアや悪意のあるリンクを介して広がります。正規ソフトウェアに偽装して侵入することが多いため、検出が困難です。感染してしまうと、個人のプライバシー侵害だけでなく、企業の機密情報漏洩にも繋がる危険性があります。

スケアウェア

スケアウェアとは、虚偽のセキュリティ警告を表示し、無駄なソフトウェアを購入させる詐欺的なソフトウェアです。実際にはセキュリティ問題がないにもかかわらず、感染していると偽り、解決策として高額なソフトウェアをすすめます。ユーザの不安を煽り、冷静な判断を妨げることにより、被害を拡大させるのが特徴です。

アドウェア

アドウェアは、ユーザの同意なしに広告を表示するソフトウェアです。主にウェブブラウザにインストールされ、ポップアップ広告やバナー広告を表示します。ユーザのオンライン行動を追跡し、広告のターゲティングに利用することもあります。アドウェアそのものは必ずしも悪意があるわけではありませんが、システムのパフォーマンス低下やプライバシー侵害の原因となることがあります。一部のアドウェアは悪質な広告を表示し、マルウェアの配布を促すこともあります。

ファイルレスマルウェア

ファイルレスマルウェアは、ディスク上にファイルを残さずに、システムのメモリやプロセスに直接感染するマルウェアです。これにより、従来のウイルス対策ソフトウェアでは検出しにくくなります。ファイルレスマルウェアは、通常、システムの脆弱性を利用して実行され、バックドアとして機能することが多いです。

トロイの木馬のタイプ

マルウェアの分類の一つである「トロイの木馬」は動作によりいつくかのタイプに分けることができます。

ダウンローダー型:一見無害にみえるファイルを通じてマルウェアをダウンロードし感染させます。
ドロッパー型:侵入後に複数のマルウェアを一度にシステムにダウンロードし、展開します。
バックドア型:攻撃者がシステムに不正アクセスするための裏口を作り、遠隔操作や情報窃取を行います。
キーロガー型:ユーザのキーボード入力を記録し、パスワードなどの個人情報を盗み取ります。
パスワード窃盗型:システムやアプリケーションに保存されているパスワードを探索し、盗み出します。
プロキシ型:感染したPCをプロキシサーバとして使い、他のシステムへの攻撃を隠蔽します。
ボット型:感染したPCをボットネットの一部として使用し、大規模なDDoS攻撃などに利用します

マルウェア感染による被害と企業リスク

マルウェアに感染することで、次のような被害が発生します。

情報漏洩:個人情報や機密データが攻撃者に盗まれ、企業の信用や顧客の信頼が損なわれます。
Webサイトの改ざん:攻撃者が不正なコードを埋め込み、訪問者を悪意あるサイトにリダイレクトさせたり、偽情報を掲載したりすることで、Webサイト利用者に被害を与えます。
PC動作不能:マルウェアがシステムを破壊・損傷し、PCやサーバが動作不能に陥り、業務が停止するリスクがあります。
デバイスの乗っ取り:マルウェアがデバイスを遠隔操作可能な状態にし、攻撃者が不正操作などの行為を実行します。
金銭損失:ランサムウェアなどの攻撃により、身代金の支払いを強要され、システムの復旧コストや顧客対応などにより多額の金銭的な損害が発生します。

マルウェアの主な感染経路と予防策

マルウェアの感染経路としては、大きくわけて以下のようなものが挙げられます。

・メール

マルウェアの感染経路として最も一般的なのがメールです。特に「フィッシングメール」と呼ばれる手法で、信頼できる企業やサービスを装ったメールが送られてきます。受信者がメール内のリンクをクリックしたり、添付ファイルを開いたりすると、マルウェアが自動的にダウンロードされ、システムに侵入します。これにより、個人情報の盗難やランサムウェアの感染が発生することがあります。メールのリンクや添付ファイルを開く前に、その送信元が信頼できるかを必ず確認することが重要です。

・Webサイト

不正なWebサイトもマルウェアの感染源となります。特に不正な広告やフィッシングサイトなどは、利用者がサイトを訪れただけでマルウェアが自動的にダウンロードされることがあります。これを「ドライブバイダウンロード攻撃」と呼びます。また、信頼できるWebサイトであっても、第三者によって改ざんされている可能性があるため、Webサイトを利用する際は、最新のウイルス対策ソフトによるスキャンの実行、ブラウザのセキュリティ設定を適切に行うことなどが重要になります。

・ファイル共有ソフト

ファイル共有ソフトを使用することも、マルウェア感染のリスクを高めます。ユーザがダウンロードしたファイルにマルウェアが含まれていることが多く、特に海賊版ソフトウェアや違法に共有されたコンテンツには注意が必要です。これらのファイルを実行すると、システムが感染し、データが破壊されたり、外部に漏洩したりする可能性があります。正規のソフトウェアやコンテンツを使用し、不明なファイルはダウンロードしないことが推奨されます。

・外部ストレージ（USBメモリ）

外部ストレージ（USBメモリ）は、便利である反面、マルウェアの感染経路としても広く利用されています。感染したUSBメモリをパソコンに挿入すると、システムにマルウェアが拡散し、企業内ネットワーク全体に影響を及ぼすこともあります。USBメモリを使用する際は、信頼できるデバイスのみを使用し、不必要に他人のUSBメモリを挿入しないように注意する必要があります。また、ウイルススキャンを行ってから使用することが推奨されます。

・クラウドストレージ

ユーザがマルウェアに感染したファイルをアップロードし、他のユーザがそれをダウンロードすることで、マルウェア感染が広がることがあります。また、クラウドサービス自体がハッキングされることで、全てのクラウドサービス利用者に影響が及ぶ可能性もあります。クラウドストレージを利用する際は、アップロードするファイルの安全性を確認し、適切なアクセス制限と二要素認証などのセキュリティ対策を講じることが重要です。

マルウェア感染を防ぐための基本対策

OS・ソフトウェアを常に最新状態に更新する
信頼できないメール・リンク・添付ファイルを開かない
セキュリティソフトを導入し、リアルタイム保護を有効化する
定期的にバックアップを取り、復旧体制を整える
社員教育を実施し、セキュリティリテラシーを向上させる

まとめ

マルウェアは、コンピュータやネットワークに悪影響を与える悪意のあるプログラムの総称です。代表的なものには、コンピュータウイルス、ワーム、トロイの木馬、スパイウェア、ランサムウェアなどがあります。

主な分類として、自己複製し他のファイルに感染するウイルス、ネットワークを通じて拡散するワーム、正常なソフトウェアに偽装するトロイの木馬があります。その他の種類には、データを暗号化して身代金を要求するランサムウェア、個人情報を収集するスパイウェア、偽のセキュリティ警告を表示するスケアウェア、不要な広告を表示するアドウェア、ファイルを残さずにメモリ上で動作するファイルレスマルウェアなどがあります。

マルウェアは主にメール、不正なWebサイト、ファイル共有ソフト、外部ストレージ、クラウドストレージなどを通じて感染します。感染すると、情報漏洩、Webサイトの改ざん、システムの動作不能、デバイスの乗っ取り、金銭的損失などの被害が発生する可能性があります。マルウェアに感染すると深刻な被害を受け、企業に大きな影響を与えるため、適切なセキュリティ対策の実施が必要です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年11月4日2025年11月4日

マルウェアの対策-マルウェア感染を防ぐための基本のセキュリティ対策のポイント-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

マルウェアの脅威は年々増大しており、企業・組織への影響は計り知れません。本記事では、マルウェアの具体的な被害事例を紹介し、感染時の症状や対処法について解説します。そして、セキュリティ対策の基本とマルウェア対策の基本的な考え方を押さえ、日々進化するサイバー脅威から自組織を守るために必要な知識を、わかりやすく解説していきます。

マルウェア被害事例

ウイルスの事例

マルウェア「Emotet」による感染被害

マルウェア「Emotet」は主にメールを介して広がり、その被害が深刻化しています。感染経路は、悪意のあるメールの添付ファイルやリンクを開くことにより、ユーザのPCに感染します。Emotetは巧妙な手口で、正規のメールを装うことで信頼性を高め、受信者に警戒させないようにします。感染後、企業や個人のPC内の情報が盗まれ、さらに他のマルウェアをダウンロードさせることもあります。関連企業では、業務停止やデータ流出による経済的損失が報告されています。特に日本国内の企業においても影響が広がり、国内通信事業者を含む複数の企業が注意喚起を行っています。

ワームの事例

ランサムウェアWannaCryによる感染被害

2017年に大規模な被害をもたらしたランサムウェア「WannaCry」は、Microsoft Windowsの未修正の脆弱性を悪用することで、世界中のコンピュータに急速に拡散しました。この脆弱性は、アメリカ国家安全保障局（NSA）が開発したとされるハッキングツールから漏洩したもので、WannaCryはこれを利用して無差別にシステムに侵入しました。攻撃の手口は、感染したコンピュータのファイルを暗号化し、被害者に身代金の支払いを要求するものでした。支払いはビットコインで行われることが多く、支払われない場合、ファイルは復号されずに失われると脅迫されました。社会への影響は甚大で、病院、学校、企業、政府機関など、世界中の数十万台のコンピュータが影響を受けました。特に医療機関では、患者の記録へのアクセスが妨げられ、治療に支障を来たす事態も発生しました。WannaCryは、サイバーセキュリティの重要性と、ソフトウェアの更新の必要性を広く認識させる契機となりました。

トロイの木馬の事例

GooglePlayのAndoroidアプリからマルウェア感染

2021年11月、Google Playに登録されたアプリにバンキング型トロイの木馬が含まれていることが判明しました。このマルウェアは認証情報や金融情報を盗むことを目的とし、30万台以上の端末に影響を与えました。攻撃者は、最小限のフットプリント（アプリ稼働時に要するメモリ容量）でアプリを登録し、ドロッパー（マルウェアを感染させるプログラム）の存在を隠蔽、ダウンロード後のアップデートでマルウェアを展開するという手口を用いていました。感染経路は公式ストアからのダウンロード後のアップデートであり、完全な防御は困難とされています。影響を受けたアプリはすでに削除されています。

PCがマルウェアに感染したら

マルウェアに感染したときの症状には以下のようなものがあります。

感染したときの症状

パソコンの動作が遅い

マルウェアに感染すると、システムリソースを過剰に消費するため、通常のタスクでもパソコンの動作が遅くなることがあります。これにより、プログラムの起動やファイルの読み込みが時間を要し、全体的なパフォーマンスが低下します。

予期しないフリーズやクラッシュ

マルウェアはシステムファイルを破壊したり、重要なプロセスを妨害したりすることで、突然のフリーズやクラッシュを引き起こします。これにより、作業中のデータが失われるリスクが高まります。

原因不明のストレージ容量の減少

マルウェアが悪意のあるプログラムをインストールし、大量のファイルをダウンロードするなど、ストレージ容量を消費します。突然、ストレージ容量が急激に減少する場合は感染が疑われます。

迷惑なポップアップ

アドウェアやスパイウェアなどのマルウェアは、感染後、ブラウザやデスクトップに不審なポップアップ広告を頻繁に表示させます。さらにブラウザを使用していない時でも突然表示されるため、ユーザの作業を妨げます。多くの場合、これらの広告は不適切な内容や詐欺的なオファーを含んでおり、クリックすると別のマルウェアに感染するリスクがあります。正規のウェブサイトを装った偽のポップアップにも注意が必要です。

ポップアップによるエラーメッセージ

マルウェアは偽のエラーメッセージを表示し、ユーザを混乱させることがあります。これらのメッセージは、実際のシステムエラーのように見えますが、偽のソフトウェアのダウンロードや個人情報の入力を促す悪意のあるプログラムを含むものです。正規のエラーメッセージとの区別が難しいため、ユーザが誤ってクリックしてしまい、別のマルウェアへの感染や情報漏洩のリスクが高まります。

偽のウイルス警告が出力される

突然、偽のウイルス警告が表示されることがあります。これらの警告は、ユーザを騙して不正なウイルス対策ソフトを購入させたり、さらなるマルウェアをインストールさせたりする目的で行われます。

セキュリティ設定が変更される

マルウェアは、システムのセキュリティ設定を無断で変更することがあります。これにより、ファイアウォールが無効化されたり、ウイルス対策ソフトが停止されたりすることで、さらに感染が拡大する恐れがあります。

不審なソーシャルメディア投稿がされる

感染した場合、マルウェアはユーザのアカウントにアクセスし、不審な投稿を自動的に行うことがあります。これにより、友人やフォロワーにウイルスが拡散されるリスクがあります。

プログラムが同意なしに実行、終了される

マルウェアは、ユーザの許可なくプログラムを起動したり、逆に正常なプログラムを強制終了させたりすることがあります。これにより、システムの安定性が損なわれます。

不審なアプリケーションが表示される

デスクトップやアプリケーションリストに見覚えのないソフトウェアが突然現れることがあります。これらはマルウェアによって密かにインストールされたものである可能性が高いです。

ファイルがランダムに消える

マルウェアはシステム内のファイルを破壊または削除することがあります。特に重要なファイルが意図せず消失する場合は、感染が疑われます。

インターネット使用量の原因不明の増加

突然のインターネット使用量の増加は、バックグラウンドでマルウェアが不正な通信を行っているサインかもしれません。これにより、インターネット速度が低下することもあります。

スマホがマルウェアに感染したら

スマホがマルウェアに感染したときの症状には以下のようなものがあります。

バッテリー消費が激しい

スマートフォンにマルウェアが感染すると、バックグラウンドで悪意のあるプロセスが常時稼働し続けるため、バッテリーの消耗が通常よりも急激に進むことがあります。頻繁な充電が必要になる場合、感染を疑うべきです。

広告や警告のポップアップ表示

感染後、ブラウザやアプリ内で不審な広告や偽の警告が頻繁に表示されることがあります。これらのポップアップは、別のマルウェアのインストールや詐欺サイトへの誘導を目的としています。

アプリが頻繁に落ちる

マルウェアは、システムリソースを過度に使用したり、アプリに悪影響を与えたりすることで、アプリが頻繁にクラッシュする原因となります。通常なら安定して動作するアプリが急に不安定になる場合、感染が疑われます。

動作が重くなる

マルウェアによるシステムリソースの過剰な消費やバックグラウンドでの不正な活動により、スマホ全体の動作が遅くなることがあります。アプリの起動や画面の切り替えが遅延する場合、注意が必要です。

データ使用量の増加

マルウェアは、不正なデータ通信をバックグラウンドで行うことがあり、その結果としてデータ使用量が急増することがあります。特にWi-Fiではなくモバイルデータを使用している場合、この症状は顕著です。

カメラが勝手に起動

スマホに感染したマルウェアは、ユーザが意図しないうちに勝手にカメラを起動し、写真や動画を撮影することがあります。この不審な動作は、プライバシーの侵害につながる重大なリスクです。

身に覚えのない支払い請求が届く

マルウェアは、ユーザの意図しないうちに高額なアプリやサービスを購入させることがあります。その結果、身に覚えのない請求が発生し、金銭的な被害が発生することがあります。

感染した場合の対処法

もしマルウェア感染したことが明らかであるならば、どのような対処をすればよいのでしょうか。速やかに対処すべきこととして以下のようなものがあげられます。

マルウェアの検出

マルウェア感染が疑われる場合、まずはウイルス対策ソフトを使用してシステム全体をスキャンし、マルウェアの存在を検出します。このスキャンは、感染の早期発見に繋がり、被害の拡大を防ぐために非常に重要です。定期的なスキャンとリアルタイムの監視が、予防と早期対応に不可欠です。

ネットワークの遮断

感染が確認された場合、まずネットワークから切り離すことが重要です。これは、マルウェアが他のデバイスに感染を広げ、外部に情報を送信したりするのを防ぐためです。ネットワークからの切断は、さらなる被害の拡大を防ぐための第一歩となります。

感染源の特定

メールの添付ファイル、ダウンロードしたアプリ、怪しいリンクなど、感染経路を突き止めることで、今後の再発を防ぐことが可能です。このプロセスは、同じ手口による再感染を防ぐために非常に重要です。

マルウェア検出ツールによる削除

検出されたマルウェアを専門の削除ツールで完全に除去します。ウイルス対策ソフトや専用のマルウェア削除ツールを使用することで、安全かつ確実にマルウェアを駆除し、システムを正常な状態に戻します。

セキュリティ対策の基本

セキュリティ対策の取り組みには、基本的なセキュリティ対策こそが効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

セキュリティ基本10項目

• 標的型攻撃メール訓練の実施

標的型攻撃メール訓練は、従業員のセキュリティ意識向上と実践的なスキル習得に効果的です。訓練では、攻撃メールを模倣したシナリオを用いて、従業員が疑わしいメールを識別し、適切に対応するスキルを養います。定期的な訓練実施により、従業員のセキュリティ意識が継続的に高まり、実際の攻撃に対する組織の耐性が強化されます。また、訓練後のフィードバックやセキュリティ教育との組み合わせにより、より効果的な対策が可能になります。

• 定期的なバックアップの実施と安全な保管（別場所での保管推奨）

ランサムウェアによる被害からデータを保護するために、オフラインバックアップ（データだけを独立して磁気テープ・ストレートなどで物理的に隔離しておくこと）をサーバに行うことがおすすめです。バックアップの頻度や保管場所を見直し、最新の情報が常に保存されるようにすることが重要です。

• バックアップ等から復旧可能であることの定期的な確認

バックアップが確実に復旧可能であることを確認するため、定期的にリカバリーテストを実施します。これにより、実際の復旧作業時に問題が発生しないことを保証し、緊急時に迅速かつ確実なデータ復旧が可能となります。また、テスト結果を文書化し、必要に応じて復旧手順の改善を図ります。このような確認作業を怠ると、いざという時にデータ復旧が困難になるリスクが高まります。

• OS、各種コンポーネントのバージョン管理、パッチ適用

システムの脆弱性を悪用する攻撃を防ぐためには、OSやソフトウェアコンポーネントの最新バージョンへの更新・パッチ適用の実施をすることが必要不可欠です。定期的なパッチ適用とバージョン管理により、サイバー攻撃のリスクを大幅に軽減できます。特にゼロデイ攻撃のリスクを軽減するためには、普段からの脆弱性関連情報収集やバージョン更新が求められます。

• 認証機構の強化（14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など）

認証の強化は、サイバー攻撃から組織を守るための基本的な対策です。単純なパスワードではなく、長く複雑なパスワードにし、さらに多要素認証（MFA）を導入することを推奨します。多要素認証はパスワードに加え、物理トークンや生体認証などの認証要素を用いることで、不正アクセスされるリスクを低減します。これにより、アカウントのセキュリティが飛躍的に向上します。

• 適切なアクセス制御および監視、ログの取得・分析

システム内の情報やリソースへのアクセスを厳格に管理し、適切なアクセス制御を行うことは、内部からの不正行為を防ぐために重要です。また、システムの稼働状況やアクセスログを定期的に取得し分析することで、異常な挙動を早期に検知できます。

• シャドーIT（管理者が許可しない端末やソフトウェア）の有無の確認

シャドーITは、組織のセキュリティポリシーに反する可能性があり、脆弱性やデータ漏洩の原因となることがあります。定期的な監査や従業員への教育を通じて、シャドーITの存在を確認し、適切な対策を講じることが重要です。

• 攻撃を受けた場合に想定される影響範囲の把握

サイバー攻撃を受けた際に、どのような影響が組織に及ぶかを事前に把握しておくことは重要です。影響範囲を明確にすることで、インシデント発生時の対応計画を具体化し、迅速な対策を講じることが可能になります。システム全体の依存関係や業務の優先度を考慮し、被害を最小限に抑えましょう。

• システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認

定期的にシステムのセキュリティ状態を確認し、現在のセキュリティ対策が有効に機能しているかを確認することが効果的です。脆弱性診断やペネトレーションテストを実施することで、システムの弱点を特定し、自組織の状況に適した対応の実施が可能になります。

• CSIRTの整備（全社的なインシデントレスポンス体制の構築と維持）

CSIRT（Computer Security Incident Response Team）は、サイバー攻撃やインシデント発生時に迅速かつ適切な対応を行うための専門チームです。CSIRTの整備は、全社的なセキュリティ体制を強化し、インシデント発生時の被害を最小限に抑えるために不可欠です。定期的な訓練とシミュレーションを通じて、CSIRTの対応力を維持し、常に最新の脅威に対応できる体制を整えます。

インシデント対応計画の策定

インシデント対応計画の策定は、企業がサイバー攻撃や情報漏洩などの緊急事態に迅速かつ効果的に対応するために不可欠です。計画には、インシデント発生時の対応手順、責任者の明確化、コミュニケーション手段の確保、影響評価、そして復旧手順が含まれます。計画は定期的に見直し、訓練を行うことで、実際のインシデント時にスムーズに対応できる体制を整えることが重要です。

マルウェア対策の基本的な考え方

不意に襲い来るマルウェアの被害を防御、あるいは最小限にとどめるためには、普段から基本的なマルウェア対策を講じることが重要です。以下のような例が挙げられます。

あらゆるマルウェアからシステムを守るために、組織内で汎用的な対策を確認しておきましょう。

まとめ

マルウェアは、Emotet、WannaCry、トロイの木馬など様々な形態で存在し、主にメールやウェブサイトを介して感染します。これらは個人情報や金融データの窃取、システムの暗号化、身代金要求などを目的としています。感染の症状には、パソコンの動作遅延、予期せぬフリーズ、ストレージ容量の減少、不審なポップアップの表示などがあります。スマートフォンでは、バッテリー消費の増加、アプリのクラッシュ、データ使用量の急増などが見られます。セキュリティ対策としてあげている基本的な10項目を組み合わせ、定期的な見直しと訓練を行うことで、セキュリティ対策の効果を高めることができます。またインシデント対応計画を策定や、マルウェア対策の基本的な取り組みを普段から実施し、サイバー攻撃のリスクに備えることが、組織全体のセキュリティを強化するために不可欠です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る