日本ハッカー協会主催 「Hack Fes. 2026」出展のお知らせ

Share
hackfes2026アイキャッチ画像

このたび、2026年7月18日(土)に開催される「Hack Fes. 2026」にて、弊社が講演登壇およびブース出展を行う運びとなりました。皆様のご来場を心よりお待ち申し上げております。

Hack Fes. 2026 概要

  • 日程:2026年7月18日(土)
  • 時間:
    【カンファレンス】10:00〜17:40(予定)
    【ネットワーキング(NW)パーティ】18:30〜20:00(予定)
  • 会場:秋葉原UDX
    〒101-0021 東京都千代田区外神田4丁目14-1
    【カンファレンス】UDX Gallery+Gallery Next (4F)
    【NWパーティ】UDX Gallery(4F)
  • 形式:対面開催(オンライン配信なし)
  • 募集人数:
    【カンファレンスのみ】4,000円
    【カンファレンス+NWパーティ】11,000円

お申込み方法

Peatixにてチケットを販売します。詳細はこちら。

※外部サイトにリンクします。

弊社講演概要

スポンサーセッション:「攻撃を守りに変換する ─ フロンティアLLM時代、AI防御パイプラインの先で見た“壊れた提案”」/齊藤 義人(株式会社ブロードバンドセキュリティ)

  • トラック1(定員240名)
  • 14:40 – 15:05(25min)
  • フロンティアLLMのサイバー能力が急速に高まる一方で、攻撃側はすでに CVE 調査、PoC 作成、ログ分析、攻撃手順の自動化を進めつつあります。防御側もまた、攻撃ログを観測し、対策案を生成し、実適用前に検証する「AI 防御パイプライン」を持つことが現実的な選択肢になっています。本講演では、攻撃ログから仮想パッチを自動生成する実装を、観測/判断/検証/提案の 4 層アーキテクチャとして紹介します。アプリケーションへの具体的な攻撃のログを対象に、Claude、GPTのサイバー向けモデル、ローカル LLM、決定論的 Mock へ同一入力を与え、防御の提案品質、検証通過率、遮断結果を比較します。AI が出した「それっぽいが壊れた提案」をどのように止めるか。誤用、強引に止めようとする設計ミス、過剰遮断につながるルール生成など、検証層が棄却すべき失敗例をカタログ化し、AIに任せられる領域と、ハッカーの設計判断が担うべき境界を具体化していきます。

そのほかの講演内容はこちら

※外部サイトにリンクします。

今後ともブロードバンドセキュリティ(BBSec)を引き続きどうぞよろしくお願い致します。

お問い合わせ

本イベントに関するお問い合わせはこちらからお願いします。

当サイト 「SQAT.jp」について

SQAT.jpは、株式会社ブロードバンドセキュリティ セキュリティサービス本部の管理・運営によるサイトです。

株式会社ブロードバンドセキュリティとは

株式会社ブロードバンドセキュリティ(BroadBand Security, Inc./BBSec)は、2000年の創業以来、様々なニーズに対応するセキュリティサービス事業を展開してまいりました。セキュリティ・コンサルティング、デジタル・フォレンジック、脆弱性診断、マネージドセキュリティサービスなど、対応分野を次々と拡大。ITセキュリティのエキスパートとして、豊富な知識と経験に裏打ちされた高品質のサービスをお届けしています。

セキュリティサービス本部とは

セキュリティサービス本部は脆弱性診断を主サービスとするエンジニアリング本部です。エンジニア、アナリスト、ホワイトハッカー等から編成された精鋭チームが、お客様システムに潜む脆弱性を検証し、改善案を提示するサービスを提供しています。お客様は金融機関・インターネット事業者などの民間企業から、官公庁をはじめとする公共機関まで幅広く、これまでに延べ1万社超(金融機関・民間企業から官公庁など延べ6万システム以上に提供)のシステムの健全化に貢献しています。(2026年6月時点)


NEWS ―ニュースリリース一覧に戻る
TOPに戻る

ランサムウェアに感染したらどうする?―初動対応から復旧まで企業が取るべき対応を解説―

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

「ランサムウェアに感染したら?対策方法とは」アイキャッチ画像(パソコンをウイルスから保護するイメージ)

この記事では、ランサムウェア攻撃の具体的な被害事例を通じて、被害に遭った場合の影響と対処法について触れながら、最後に、ランサムウェア対策の基本となるポイントを紹介します。この記事を通じて、ランサムウェアの脅威に対する理解を深め、基本的な対策を講じることの重要性を学んでいただければ幸いです。

ランサムウェア攻撃の被害事例

2017年に大規模な被害をもたらしたランサムウェア「WannaCry」は、Microsoft Windowsの未修正の脆弱性を悪用することで、世界中のコンピュータに急速に拡散しました。この脆弱性は、アメリカ国家安全保障局(NSA)が開発したとされるハッキングツールから漏洩したもので、WannaCryはこれを利用して無差別にシステムに侵入しました。攻撃の手口は、感染したコンピュータのファイルを暗号化し、被害者に身代金の支払いを要求するものでした。支払いはビットコインで行われることが多く、支払われない場合、ファイルは復号されずに失われると脅迫されました。社会への影響は甚大で、病院、学校、企業、政府機関など、世界中の数十万台のコンピュータが影響を受けました。特に医療機関では、患者の記録へのアクセスが妨げられ、治療に支障を来たす事態も発生しました。WannaCryは、サイバーセキュリティの重要性と、ソフトウェアの更新の必要性を広く認識させる契機となりました。

2021年10月には、日本国内の医療機関がランサムウェア攻撃によって被害を受けました。VPN機器の脆弱性を悪用して侵入したとみられ、この攻撃により、医療センターのシステムは大幅に影響を受け、患者の電子データが使用できないなどの深刻な被害が発生しました。

関連リンク:「拡大するランサムウェア攻撃!―ビジネスの停止を防ぐために備えを―

主に企業・団体に向けたサイバー攻撃の被害として、ランサムウェアでの被害がありますが、令和4年上半期以降、高い水準で推移しています(棒グラフ参照)。

企業・団体等におけるランサムウェア被害の報告件数の推移

被害の特徴として、データの暗号化のみならず、データを窃取した上、「対価を支払わなければ当該データを公開する」という二重恐喝(ダブルエクストーション)の割合が多く、手口を確認できたもののうちの約8割を占めている。また、データを暗号化せずに対価を要求する「ノーウェアランサム」による被害も新たに確認されました。感染経路としては、前年と同様、脆弱性を有するVPN機器等や、強度の弱い認証情報等が設定されたリモートデスクトップサービスが原因となる事例が多かった(円グラフ参照)。

ランサムウェア被害の感染経路

2023年7月4日、国内物流組織がランサムウェア攻撃を受け、名古屋港の統一ターミナルシステムに障害が発生し、7月6日夕方の作業完全再開までのあいだ業務が一時停止する事態になりました。本件は、サイバー攻撃により港湾施設が操業停止に追い込まれた国内初の事例と報じられています。

この事件を受け、国土交通省は、安全で安定的な物流サービスの維持・提供に資することを目的として、対策等検討委員会を設置しました。2023年9月に公開された調査資料「名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策について」によれば、感染経路はVPN機器からの侵入が有力とされています。そして主な原因として、「保守作業に利用する外部接続部分のセキュリティ対策が見落とされていたこと」「サーバ機器およびネットワーク機器の脆弱性対策が不十分であったこと」などが挙げられています。

ランサムウェアによる被害の影響

ランサムウェア攻撃を受けた場合、企業への被害の影響は、以下のようなものがあります。

身代金による金銭の損失

ランサムウェア攻撃を受けた場合、身代金を支払うかどうかの選択を迫られます。身代金を支払った場合、その金額は数百万円から数億円に上ることもあります。また、身代金を支払ったとしても、データが復旧できないこともあるため、金銭的な損失は避けられません。

事業での業務が停止

ランサムウェア攻撃により、企業のシステムやデータが暗号化され、業務プロセスが停止することがあります。これにより、本来行われる業務が滞るため、生産性が低下します。業務が停止している期間が長引けば、競争力の低下や市場シェアの減少も懸念されます。

顧客の喪失

ランサムウェア攻撃により、顧客データが漏洩した場合、顧客の信頼を失い、顧客を喪失する可能性があります。また、攻撃によるシステムの停止や業務の遅延などによって顧客に損害を与えた場合、損害賠償請求を受ける可能性もあります。

影響範囲

ランサムウェア攻撃は、企業の規模や業種を問わず、あらゆる企業が標的となる可能性があります。また、攻撃対象は、企業のITインフラや業務システム、顧客データなど、多岐にわたります。そのため、攻撃を受けた場合の影響範囲は、企業によって大きく異なります。

莫大なコストの発生

ランサムウェア攻撃による被害コストは、身代金の支払い以外にも、システム復旧や顧客対応など、多岐にわたります。そのため、被害コストは数千万円から数億円に上ることもあります。

ランサムウェアに感染したら

マルウェア感染(特にランサムウェア感染)に気づいた場合、以下のステップに従って対処することが重要です。

コンピューターウイルスに感染してしまった女性のイラスト
  1. ネットワークの切断:インターネットの接続を切断し、感染を広げないようにします。感染がネットワーク内に広がるのを防ぎ、攻撃者の操作を制限します
  2. コンピュータのシャットダウン:感染したコンピュータを即座にシャットダウンし、データへのアクセスをブロックします。これにより、攻撃者がデータの暗号化を続行するのを防ぎます
  3. 被害状況の報告:インシデント対応チームや情報セキュリティの担当者にすぐに報告し、被害の詳細を共有します。早急な対応が感染拡大を防ぎます
  4. バックアップの確認:バックアップからデータを復旧できるよう、バックアップを確認し、感染前のデータのコピーが利用可能であることを確認します
  5. 身代金の支払いはしない:攻撃者に身代金を支払わないようにしましょう。身代金を支払っても、データの復号が保証されないことがあります
  6. ランサムウェアの種類を特定:攻撃されたランサムウェアの種類を特定し、解析情報をセキュリティ専門家に提供します。これにより、未来の攻撃を防ぐための情報が得られます
  7. ノーモアランサム(No More Ransom):ランサムウェアの解除ツールが提供されている場合、それを利用してデータを復号化します。ノーモアランサムは、解除ツールを提供するプロジェクトの一例です

これらの手順は、マルウェア感染に対処する基本的な対処手順です。セキュリティ対策の実施においては、セキュリティ専門家のアドバイスや組織内のポリシーに従うことも重要です。

ランサムウェアの対策方法

ランサムウェアの基本的な対策は、以下のとおりです。

【システム管理者側での対策】

  • 標的型攻撃メール訓練の実施
  • 定期的なバックアップの実施と安全な保管(別の場所での保管推奨)
  • バックアップ等から復旧可能であることの定期的な確認
  • OS、各種コンポーネントのバージョン管理、パッチ適用
  • 認証機構の強化(14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など)
  • 適切なアクセス制御および監視、ログの取得・分析
  • シャドーIT(管理者が許可しない端末やソフトウェア)の有無の確認
  • 攻撃を受けた場合に想定される影響範囲の把握
  • システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認
  • CSIRTの整備(全社的なインシデントレスポンス体制の構築と維持)

【ユーザ側での対策】

  • 不審なメールに注意し、容易にリンクをクリックしたり添付ファイルを開いたりしない
  • 適切な認証情報の設定(多要素認証の有効化・パスワードの設定)
  • OSおよびソフトウェアを最新の状態に保つ
  • データを定期的にバックアップしておく
  • セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
  • セキュリティアップデートの通知を設定する
  • 不審なアクティビティを検出した場合には、社内へ報告する

基本的な対策こそが重要

ランサムウェアはRaaSの登場などによる犯罪のビジネス化により、攻撃のハードルが下がったことで、高度な技術力を持たなくても攻撃者が参入しやすくなり、攻撃の数は増えるかもしれません。しかし、過去からある基本的なセキュリティ対策を講じていれば、多くの攻撃は未然に防げることに変わりはありません。基本的なセキュリティ対策こそが効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

ランサムウェア攻撃は、特に重要インフラ14分野※においては人命や財産などに深刻な被害をもたらす恐れがあります。
※重要インフラ14分野…重要インフラとは、他に代替することが著しく困難なサービスのこと。その機能が停止、低下又は利用不可能な状態に陥った場合に、わが国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるもののことを指す。内閣府サイバーセキュリティ戦略本部「重要インフラの情報セキュリティ対策に係る行動計画」では、「重要インフラ分野」として、「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス(地方公共団体を含む)」、「医療」、「水道」、「物流」、「化学」、「クレジット」および「石油」の14分野を特定している。

たとえ自社が該当しない業種であっても、同じサプライチェーン上のどこかに重要インフラ事業者がいるのではないでしょうか。つまり、ランサムウェア攻撃というものは常にその被害に遭う可能性があるものと認識する必要があります。ランサムウェア攻撃への備えとして、まずは現状のセキュリティ対策状況を把握するための一つの手段として、セキュリティ診断などを実施することをおすすめします。

感染後の対応だけでなく、被害を未然に防ぐためには侵入経路や攻撃手法を理解しておくことも重要です。
ランサムウェアの感染経路とは ―企業が見落としがちなVPN・RDP侵入リスクを解説


公開日:2024年3月8日
更新日:2026年6月17日

編集責任:木下


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

Security NEWS TOPに戻る
バックナンバー TOPに戻る

【企業のためのランサムウェア対策ガイド】ランサムウェアの仕組みとは ―感染から暗号化までの動きを解説―

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ランサムウェアの仕組みとは ―感染から暗号化までの動きを解説アイキャッチ画像

近年のランサムウェア攻撃は、単なるウイルス感染ではありません。VPN機器やリモートデスクトップを悪用して企業ネットワークへ侵入し、内部で横展開を行いながら、サーバや業務システム全体を停止させるケースが増えています。さらに最近では、データを暗号化するだけでなく、情報を窃取して公開を脅迫する二重脅迫型も主流となっています。本記事では、ランサムウェア攻撃の仕組みや代表的な攻撃手法、サプライチェーン攻撃や標的型攻撃との関係、近年増加している「RaaS(Ransomware as a Service)」の実態について解説します。

ランサムウェアの基本的な仕組みや全体像については、以下の記事で詳しく解説しています。
ランサムウェアとは何か ―企業が知るべき被害・仕組み・対策の基本

ランサムウェア攻撃はどのように進化してきたのか

ランサムウェア攻撃は、時間とともに大きく進化し、より複雑かつ高度になっています。初期のランサムウェアは、不特定多数へフィッシングメールを送信する「ばらまき型」が中心でした。攻撃者は大量のメールを配信し、その一部が感染することを狙う比較的単純な手法を用いていました。しかし現在では、特定の企業や組織を狙う「標的型攻撃」が主流になっています。攻撃者は事前に企業のネットワーク構成や脆弱性を調査し、侵入後は内部ネットワークを移動しながら重要なサーバや業務システムを狙います。その結果、単一端末だけでなく、企業全体の業務停止へ発展するケースが増えています。

さらに近年は、「サプライチェーン攻撃」を経由したランサムウェア感染も増えています。

サプライチェーン攻撃とランサムウェア被害

サプライチェーン攻撃とは、標的企業を直接攻撃するのではなく、取引先や委託先、関連企業などセキュリティが比較的弱い組織を踏み台にして侵入する攻撃手法です。企業が利用している外部サービスや委託先が侵害されることで、本来の標的企業へ不正アクセスが行われます。

2022年には、トヨタ自動車が取引先企業(小島プレス工業)へのサイバー攻撃の影響を受け、国内全工場の稼働停止を発表しました*1。この事例は、サプライチェーン全体を狙う攻撃のリスクを象徴するケースとして広く知られています。現在では、自社だけでなく、サプライチェーン全体を前提としたセキュリティ対策が求められています。

サプライチェーン攻撃については、以下の記事で詳しく解説しています。
サプライチェーン攻撃とは ―委託先・外注先リスクから情報漏えいを防ぐ全体像―

関連リンク:「拡大するランサムウェア攻撃! ―ビジネスの停止を防ぐために備えを―

標的型ランサムウェア攻撃とは

現在のランサムウェア攻撃の多くは、特定の企業や組織を狙った標的型攻撃です。攻撃者は、標的型メール攻撃やVPN機器の脆弱性悪用、リモートデスクトップ接続(RDP)の悪用、認証情報の窃取、水飲み場攻撃など、複数の手法を組み合わせながら侵入を試みます。特に近年は、VPN機器やリモートデスクトップ経由で侵入し、内部ネットワークへ横展開するケースが多く確認されています。また、攻撃者は事前に企業の財務状況や業務特性を調査し、支払い能力が高い企業を狙う傾向があります。

関連リンク:「標的型攻撃とは?事例や見分け方、対策をわかりやすく解説

なぜ企業全体が停止するのか

近年のランサムウェア攻撃では、個人端末だけでなく、企業のサーバや業務システム全体が標的になるケースが増えています。その背景には、企業活動全体を停止させることで、攻撃者がより高額な身代金を要求しやすくなるという事情があります。

ランサムウェア攻撃フロー図

攻撃者はまず、VPN機器やリモートデスクトップ接続(RDP)の脆弱性、あるいは窃取した認証情報を悪用して企業ネットワークへ侵入します。その後、管理者権限を取得し、内部ネットワーク内を横展開しながら、ファイルサーバやバックアップサーバなど重要システムを探索します。さらに近年では、暗号化を行う前にデータを窃取し、情報公開を脅迫材料として利用するケースも増えています。最終的には、業務システムやサーバ全体が暗号化され、企業活動そのものが停止する事態へ発展します。この結果、企業では業務停止や顧客対応の中断だけでなく、情報漏えいや生産ライン停止、医療機関における診療システム停止など、事業継続に深刻な影響が発生することがあります。

ランサムウェアによる被害や経営リスクについては、以下の記事で詳しく解説しています。
サイバー攻撃被害コストの真実―ランサムウェア被害は平均2億円?サイバー攻撃のリスク評価で“事業停止損害”を可視化

二重脅迫・多重脅迫の脅威

警察庁の調査「サイバー空間をめぐる脅威の情勢等」によれば、令和4年上半期以降、国内ではランサムウェアによるサイバー攻撃の被害が高い水準で推移しています。近年主流となっているのが、「二重脅迫型」のランサムウェアです。これは、単にデータを暗号化するだけではなく、事前に情報を窃取し、「データの暴露(公開)をされたくなければ身代金を支払え」と脅迫する手法です。さらに最近では、DDoS(分散型サービス拒否)攻撃を組み合わせたり(三重脅迫)、顧客や取引先へ直接通知したり(四重脅迫)、SNS等で情報公開を示唆したりする「多重脅迫」も確認されています。また、データを暗号化せず、情報窃取だけで脅迫する「ノーウェアランサム」と呼ばれる手法も登場しています。

Ransomware as a Service(RaaS)とは

RaaS概要図

近年、ランサムウェア攻撃が急速に拡大している背景の一つに、「RaaS(Ransomware as a Service)」と呼ばれる仕組みがあります。これは、ランサムウェアを開発するグループが攻撃ツールを“サービス”として提供し、別の攻撃者(アフィリエイト)が実際の攻撃を行うという分業型のビジネスモデルです。

従来は、高度な技術力を持つ攻撃者しかランサムウェア攻撃を実行できませんでした。しかしRaaSの登場によって、専門的な開発能力を持たない攻撃者でも、提供されたツールを利用して攻撃を行えるようになりました。その結果、攻撃者の数が増加し、攻撃の分業化や組織化も進んでいます。

現在では、ランサムウェア開発者、侵入を担当する攻撃者、情報窃取や脅迫を行うグループなどが役割を分担しながら活動しており、ランサムウェア攻撃そのものが“犯罪ビジネス”として拡大しています。これにより、攻撃件数だけでなく、攻撃手法そのものも急速に高度化・複雑化しています。

なぜ“侵入前提”で考える必要があるのか

近年のランサムウェア攻撃は、VPN機器やリモートデスクトップ接続の脆弱性、認証情報の窃取など、複数の経路を組み合わせながら侵入するケースが増えています。また、侵入後も内部ネットワークを横展開し、サーバやバックアップ環境まで攻撃対象を広げるなど、従来より高度で組織的な攻撃が主流になっています。そのため現在では、「完全に侵入を防ぐ」ことだけを前提とするのではなく、侵入される可能性を想定したうえで、被害を最小限に抑える考え方が重要になっています。特に、早期検知や初動対応、アクセス権限管理、バックアップ運用など、侵入後の被害拡大を防ぐための体制整備が、企業に求められるようになっています。

まとめ

現在のランサムウェア攻撃は、単なるマルウェア感染ではなく、企業活動全体を停止させる深刻な経営リスクへと変化しています。近年は、サプライチェーン攻撃や標的型攻撃、情報公開を伴う二重脅迫、RaaS(Ransomware as a Service)による攻撃の分業化などによって、攻撃そのものが高度化・組織化しています。

そのため、従来のように「ウイルス対策ソフトを導入していれば安心」という時代ではなくなっています。企業には、侵入経路や攻撃の流れ、被害発生の仕組みを正しく理解したうえで、平時から備える姿勢が求められています。特に、侵入を完全に防ぐことだけではなく、侵入後の被害拡大を抑える視点を持つことが、これからのランサムウェア対策では重要になります。

ランサムウェア攻撃がどのような経路で侵入するのかについては、以下の記事で詳しく解説しています。
ランサムウェアの感染経路とは ―企業が見落としがちなVPN・RDP侵入リスクを解説


公開日:2024年2月15日
更新日:2026年5月27日

編集責任:木下


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

Security NEWS TOPに戻る
バックナンバー TOPに戻る

【企業のためのランサムウェア対策ガイド】ランサムウェアとは何か ―企業が知るべき被害・仕組み・対策の基本―

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

【企業のためのランサムウェア対策ガイド】ランサムウェアとは何かアイキャッチ画像

近年、企業や組織を狙ったランサムウェア被害が国内外で急増しています。単なるウイルス感染ではなく、業務停止や情報漏えい、金銭要求へ発展するケースも多く、いまやランサムウェアは企業経営に直結するリスクの一つとなっています。

本記事では、ランサムウェアの基本的な仕組みや特徴、代表的な攻撃手法、感染経路について解説します。また、VPN機器やリモートデスクトップを悪用した近年の侵入事例にも触れながら、企業が押さえるべきリスクの全体像を整理します。

なお、本記事は「企業のためのランサムウェア対策ガイド」シリーズとして、関連する各テーマも順次解説していきます。

ランサムウェアがどのような経路で侵入するのかについては、以下の記事で詳しく解説しています。
ランサムウェアの感染経路とは ―企業が見落としがちなVPN・RDP侵入リスクを解説

マルウェアの一種である「ランサムウェア」

ランサムウェアとは、マルウェア(悪意のあるソフトウェア)の一種で、感染したコンピュータやシステム内のデータを暗号化し、アクセスできない状態にした上で、復旧と引き換えに金銭(身代金)を要求する攻撃を指します。

マルウェアには、ウイルス、ワーム、トロイの木馬、スパイウェアなどさまざまな種類がありますが、ランサムウェアは「業務停止やデータ利用不能を引き起こし、金銭を要求する」という点が大きな特徴です。

関連リンク:「マルウェアに感染したら-マルウェアの種類と対策、ウイルスとの違いは-

近年は個人だけでなく、企業や自治体、医療機関など組織を狙った攻撃が急増しており、業務停止や情報漏えいによって大きな社会的影響が発生しています。また現在では、不特定多数を狙う「ばらまき型」だけでなく、特定の企業や組織を狙う「標的型攻撃」へと変化しています。攻撃者は事前にネットワーク構成や脆弱性を調査したうえで侵入し、内部ネットワークを横展開しながら、サーバや業務システム全体を狙うケースが増えています。

ランサムウェア攻撃がどのように侵入し、暗号化や脅迫へ発展するのかについては、以下の記事で詳しく解説しています。
ランサムウェアの仕組みとは ―感染から暗号化までの動きを解説―

ランサムウェアの語源

ランサムウェアの語源(初心者マークに手を添えた画像)イメージ

「ランサムウェア」とは、英語の「Ransom(ランサム)」と「Software(ソフトウェア)」を組み合わせた造語です。この名前は、この種のマルウェアが行う主な行為、すなわち被害者のコンピュータシステムやデータにアクセスを制限し、それらの解放や復元を身代金と交換するという性質に由来しています。攻撃者は感染したシステムやデータを“人質”のように利用し、復旧や公開停止と引き換えに金銭を要求します。

ランサムウェア攻撃の主な特徴は、以下のとおりです。

データの暗号化

感染した端末やサーバのデータを暗号化し、利用できない状態にします。企業では業務システムやファイルサーバが停止し、事業継続に深刻な影響が出るケースもあります。

身代金の要求

攻撃者は、データ復旧のための復号鍵と引き換えに金銭を要求します。支払いには仮想通貨など匿名性の高い手段が利用されることが多く、支払っても復旧が保証されるわけではありません。

情報公開を伴う「二重脅迫」

近年では、データを暗号化するだけでなく、事前に情報を窃取した上で「公開されたくなければ支払え」と脅迫する“二重脅迫型”が主流になっています。

主なランサムウェアグループ

LockBit2019年に初めて確認され、現在も攻撃手法を進化し続けている。長く代表的なRaaSとして知られたが、2024年のOperation Cronosで基盤を押収され、2025年にも追加制裁が行われた*2。現在は「絶対的な主役」というより、摘発を受けてもブランドや派生的影響が残る象徴的事例として扱うのが適切である。
Akira中小企業を中心に、製造、教育、IT、医療、金融、食品・農業など多様な業種を狙う代表的グループ。2025年時点でも新しいTTP(Tactics(戦術), Techniques(技術), and Procedures(手順))が継続的に確認されており、バックアップ、MFA、既知脆弱性対策の重要性が改めて指摘されている*2
Play2022年以降活動するランサムウェアグループで、2024年~2025年にかけて非常に活発。北米・南米・欧州の企業や重要インフラを標的とし、2025年5月時点で約900組織が被害を受けたとFBIは把握している*3。多要素認証の未導入や既知脆弱性の放置が侵入の足掛かりになりやすい。
Medusa2025年2月時点で300超の被害組織。IAB(Initial Access Broker)、フィッシング、未パッチ脆弱性を組み合わせる典型的な現代型RaaSが特徴*4
RansomHub2024年に台頭したRaaS型ランサムウェアグループ。重要インフラを含む幅広い業種を標的とし、データ窃取と暗号化を組み合わせた「二重恐喝」を行う。フィッシング、既知脆弱性の悪用、パスワードスプレーなどで侵入し、他の大手グループから流入したアフィリエイトの受け皿になっている点も特徴である*5

関連リンク:「【2025年版】ランサムウェアギャング大図鑑:脅威マップと攻撃の特徴 第2回:2025年注目のランサムウェアギャング徹底分析

近年のランサムウェア攻撃の流れや特徴については、以下の記事で詳しく解説しています。
ランサムウェアの攻撃手法とは – 侵入から暗号化までの流れを解説

ランサムウェアの感染経路

ランサムウェアを含むマルウェアの感染経路は様々ありますが、以下に主な感染経路の分類と説明をします。

マルウェア(ランサムウェア)の主な感染経路

ランサムウェアを含むマルウェアにはさまざまな感染経路があります。代表的なものとしては、以下が挙げられます。

  • フィッシングメールの添付ファイルやリンク
  • 不正サイト・改ざんサイトの閲覧
  • ソフトウェアやOSの脆弱性
  • VPN機器の脆弱性
  • リモートデスクトップ接続(RDP)の悪用
  • 認証情報の窃取・使い回し

近年のランサムウェア被害では、メール添付型だけでなく、VPN機器やリモートデスクトップ接続を悪用した侵入が増加しています。

VPN機器・リモートデスクトップ接続からの侵入

VPN機器・リモートデスクトップ接続からの侵入(セキュリティの画像)イメージ

近年、VPN機器やリモートデスクトップ経由のランサムウェア感染が増加した背景には、テレワークの普及があります。

多くの企業が外部から社内ネットワークへ接続する仕組みを導入したことで、VPN機器やリモートデスクトップが攻撃対象になりました。

攻撃者は、以下のような弱点を悪用します。

  • 未修正の脆弱性
  • 弱いパスワード
  • 認証情報の使い回し
  • 多要素認証未設定
  • 不適切なアクセス制御

特に、VPN機器やRDPに脆弱性が存在すると、攻撃者は正規ユーザになりすまして侵入し、内部ネットワークへアクセスできるようになります。

警察庁が発表した「サイバー空間をめぐる脅威の情勢等」によると、令和7年に都道府県警察から警察庁に報告のあった企業・団体等のランサムウェアの被害件数は226件でした。被害に遭った企業へ行ったアンケート調査で感染経路への質問を行ったところ、約8割以上がVPN機器・リモートデスクトップ接続からの侵入であることが報告されています*6

VPN機器やリモートデスクトップを悪用した侵入経路については、以下の記事で詳しく解説しています。
ランサムウェアの感染経路とは – 企業が見落としがちな侵入ポイントと対策

ランサムウェア対策で重要な考え方

ランサムウェア対策では、「特別な対策」だけが重要なわけではありません。むしろ、以下のような基本的なセキュリティ対策を継続できているかが重要です。

  • 脆弱性管理・アップデート
  • 多要素認証(MFA)の導入
  • アクセス権限管理
  • バックアップ運用
  • EDR
  • ウイルス対策
  • 従業員教育
  • インシデント対応体制

近年の攻撃は高度化していますが、多くの侵入は基本的な対策不足を狙っています。そのため、最新の脅威情報だけでなく、「基本を継続できる運用体制」を持つことが重要です。

まとめ

ランサムウェアは、単なるマルウェア感染ではなく、企業活動そのものを停止させる深刻な経営リスクへと変化しています。特に近年は、VPN機器やリモートデスクトップを悪用した侵入、サーバや業務システムを狙う標的型攻撃、情報公開を伴う二重脅迫型など、攻撃手法が高度化しています。だからこそ、脆弱性対策や認証管理、バックアップ運用、従業員教育といった基本的なセキュリティ対策を継続的に見直すことが重要です。

ランサムウェアによって企業にどのような被害が発生するのかについては、以下の記事で詳しく解説しています。
ランサムウェア被害の実態 – 業務停止・損害・企業が直面するリスクとは

本シリーズでは、ランサムウェアの感染経路、攻撃手法、被害リスクについても詳しく解説しています。あわせてご覧ください。


公開日:2024年2月9日
更新日:2026年5月27日

編集責任:木下


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナーダイジェスト動画

Share

アーカイブ動画

過去ご好評いただいたウェビナーの抜粋動画を無料で公開しています。


ピックアップ

ウェビナーダイジェスト版:2026年、企業が直面するサイバー脅威― IPA『情報セキュリティ10大脅威 2026』から考える対応戦略 ―

2025年

ウェビナータイトル画面「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜」2025.9.10(水)開催
フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜
再生時間:05:01
ウェビナータイトル画面「進化するランサムウェア攻撃」2025.7.16(水)開催
進化するランサムウェア攻撃-国内最新事例から学ぶ!被害を防ぐ実践ポイント10項目を解説-
再生時間:05:00
ウェビナータイトル画面「ランサムウェア対策の要! ペネトレーションテストとは?」2025.1.22(水)開催
ランサムウェア対策の要! ペネトレーションテストとは?-ペネトレーションテストの効果、脆弱性診断との違い-
再生時間:04:55

2024年

ウェビナーダイジェスト版:脆弱性診断の新提案!スピード診断と短納期で解決する「SQAT with Swift Delivery」セミナー2024.12.18(水)開催
脆弱性診断の新提案!スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー
再生時間:05:09
ウェビナーダイジェスト版:中小企業に迫るランサムウェア!  サプライチェーン攻撃とは- サプライチェーン攻撃から企業を守るための取り組み2024.11.20(水)開催
中小企業に迫るランサムウェア! サプライチェーン攻撃とは- サプライチェーン攻撃から企業を守るための取り組み
再生時間:05:11
2024.11.13(水)開催
ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ
-サイバー攻撃への事前・事後対応-

再生時間:05:07
2024.8.7(水)開催
AWS・Azure・GCPユーザー必見!企業が直面するクラウドセキュリティリスク
再生時間:05:18
2024.7.10(水)開催
ランサムウェアの脅威を知る~脅威に備えるためのランサムウェア対策
再生時間:05:02
2024.6.19(水)開催
サイバー攻撃に備えるために定期的な脆弱性診断の実施を!-ツール診断と手動診断の比較-
再生時間:05:04
2024.5.22(水)開催
対応必須! 情報セキュリティ事故発生時の緊急対応とは
再生時間:05:09
2024.4.24(水)開催
知っておきたいIPA『情報セキュリティ10大脅威 2024』~セキュリティ診断による予防的コントロール~
再生時間:05:19
2024.4.17(水)開催
変化する不確実性の時代における「安心・安全・安定のWebサイト運営」セミナー
再生時間:03:00

2023年

2023.11.15(水)開催
Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-
再生時間:05:42
2023.10.18(水)開催
自動車産業・製造業におけるセキュリティ対策のポイント-サプライチェーン攻撃の手口と対策方法-
再生時間:04:56
2023.8.9(水)開催
DevSecOpsを実現!-ソースコード診断によるセキュリティ対策のすすめ-
再生時間:05:29
2023.7.20(水)開催
今さら聞けない!PCI DSSで求められる脆弱性診断あれこれ
再生時間:05:00
2023.6.21(水)開催
今さら聞けない!クラウドセキュリティあれこれ
再生時間:05:00
2023.5.17(水)開催
今さら聞けない!ペネトレーションテストあれこれ
再生時間:05:20
2023.4.19(水)開催
知っておきたいIPA『情報セキュリティ10大脅威 2023』~セキュリティ診断による予防的コントロール~
再生時間:05:00
2023.3.15(水)開催
予防で差がつく!脆弱性診断の話
再生時間:04:57
2023.1.27(水)開催
今さら聞けない!ソースコード診断あれこれ
再生時間:05:00

2022年

2022.6.22(水)開催
テレワーク運用時代のセキュリティ情報の集め方-セキュリティに求められる情報収集とは-
再生時間:04:51
ウェビナーダイジェスト版:企業の対策すべき脆弱性入門2022.4.21(水)開催
企業の対策すべき脆弱性入門
再生時間:05:13

TOP-更新情報に戻る


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

今すぐ対応を!Citrix Bleed2(CVE-2025-5777)の脆弱性情報まとめ

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

米サイバーセキュリティ・社会基盤安全保障庁(以下CISA)は2025年7月10日、Known Exploited Vulnerability(KEV)カタログ*7(悪用が確認された脆弱性のカタログ)にCitrix NetScaler ADCおよびNetScaler Gatewayの脆弱性であるCVE-2025-5777を追加、更新しました。本脆弱性は本年6月17日に公開されたメモリ境界外読み取りの脆弱性となり、Webセッションのトークンの奪取が可能となる脆弱性となります。

2026年3月、CitrixBleed 3(CVE-2026-3055)の脆弱性が新たに公開されました。こちらの脆弱性については以下の記事でご紹介しています。
CitrixBleed 3(CVE-2026-3055)の脆弱性:NetScaler ADC / Gatewayの影響・リスク・対策

NetScaler ADC/NetScaler Gatewayの脆弱性

NetScaler ADCはアプリケーションベースでの配信パフォーマンスの最適化やWAFの役割を果たすアプライアンスです。NetScaler Gatewayは社内および社内で使用しているSaaSなどへの単一のゲートウェイとして機能し、シングルサインオン(SSO)などの機能を持つものとなっています。いずれもDMZ上に存在することから外部からのアクセスが可能なアセットの代表格であり、過去にも脆弱性が悪用されてきたものとなります。このため特に悪用への対応が急がれるアセットといえます。

CVE-2025-5777の対象バージョン

CVE-2025-5777の対象となるバージョンは以下の通りです。いずれも更新バージョンへのアップデートが推奨されています。いずれも更新バージョンへのアップデートが推奨されています。

製品バージョン対象のビルド
NetScaler ADCおよびNetScaler Gateway14.114.1-43.56未満
13.113.1.58.32未満
NetScaler ADC13.1-FIPSおよびNDcPP13.1-37.235未満
NetScaler ADC12.1-FIPS12.1-55.328未満

詳細については以下をご確認ください。

https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420

CVE-2025-6543の対象バージョン

なお、CVE-2025-5777の後に公開された、同じくKEVカタログに掲載されている脆弱性CVE-2025-6543の対象バージョンは以下の通りです。こちらも併せて対応されることをおすすめします。

製品バージョン対象のビルド
NetScaler ADCおよびNetScaler Gateway14.114.1-47.46未満
13.113.1.58.32未満
NetScaler ADC13.1-FIPSおよびNDcPP13.1-37.236未満

詳細については以下をご確認ください。

https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788
※CVE-2025-6543はNetScaler ADC 12.1-FIPSの対象外となっています。
※NetScaler ADCおよびNetScaler Gatewayの12.1と13.0はEOL(End of Life、サポート終了)となっており、アプライアンスをサポートされたバージョンにアップグレードすることが推奨されています。

なお、NetScalerを14.1 47.46または13.1 59.19にアップグレードした際に認証関連で問題が発生する可能性があることが公開されています。以下のナレッジベースの記事を参考までに掲載します。このほかにも冗長構成でのアップデートについては注意が必要となります。詳しくはご購入された販売代理店のサポート窓口やCitrixまでご相談ください。

https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694826

SQAT.jpではKEV Catalogについて以下の記事でも取り上げています。ぜひあわせてご参照ください。
2024年のサイバーセキュリティ振り返り-KEVカタログが示す脆弱性の実態- | SQAT®.jp
2025年Q1のKEVカタログ掲載CVEの統計と分析 | SQAT®.jp

CVE-2025-5777(Citrix Bleed2)の脆弱性の概要とリスク

  • リモートから認証なしで悪用可能
  • 2023年に公開され、のちに悪用が確認された同様の脆弱性・Citrix Bleed(CVE-2023-4966)と同様にメモリ境界外読み取りの脆弱性であり、Citrix Bleed2と名付けられている
  • 複数のセキュリティ企業から脆弱性公開後、脆弱性の再現などを含む分析や侵害に関する情報が公開されている
    ただしCitrixは公に侵害事例や攻撃兆候について認めていない(日本時間2025年7月11日正午時点)

脆弱性公開からKEVカタログ掲載までの時系列まとめ

日付経緯
2025年6月17日CitrixによるCVE-2025-5777の公開
2025年6月20日Reliaquestによる侵害事例の公開
2025年6月24日セキュリティ研究者によるCVE-2023-4966との類似性の指摘を含む注意喚起
2025年6月25日CitrixによるCVE-2025-6543とCVE-2025-6543の悪用兆候の公開
2025年6月26日CitrixによるCVE-2023-4966との類似性の指摘の否定・CVE-2025-5777の悪用の否定
2025年7月4日Watchtowrによる再現と原因分析、注意喚起を含む情報の公開
2025年7月7日Horizon3.aiによる、同時に修正・公開された脆弱性を含む分析、注意喚起を含む情報の公開
2025年7月9日Health-ISACが公開PoCの存在を根拠とする脅威情報の注意喚起を公開
2025年7月10日CISAがKEVカタログにCVE-2025-5777を追加

【参考情報】

Citrixからの情報

  • CVE-2025-5777関連:https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420
  • CVE-2025-6543関連:https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788
  • アップデート時の認証関連の問題:https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694826
  • ブログ

  • https://www.netscaler.com/blog/news/critical-security-updates-for-netscaler-netscaler-gateway-and-netscaler-console/
  • https://www.netscaler.com/blog/news/critical-severity-update-announced-for-netscaler-gateway-and-netscaler/
  • https://www.netscaler.com/blog/news/netscaler-critical-security-updates-for-cve-2025-6543-and-cve-2025-5777/
  • セキュリティ各社・研究者による分析および侵害事例報告

  • https://reliaquest.com/blog/threat-spotlight-citrix-bleed-2-vulnerability-in-netscaler-adc-gateway-devices/
  • https://doublepulsar.com/citrixbleed-2-electric-boogaloo-cve-2025-5777-c7f5e349d206
  • https://labs.watchtowr.com/how-much-more-must-we-bleed-citrix-netscaler-memory-disclosure-citrixbleed-2-cve-2025-5777/
  • https://horizon3.ai/attack-research/attack-blogs/cve-2025-5777-citrixbleed-2-write-up-maybe/
  • Health-ISACの注意喚起(American Hospital Associationから配信されたもの)

  • https://www.aha.org/system/files/media/file/2025/07/h-isac-tlp-white-threat-bulletin-poc-exploits-available-for-citrix-netscaler-adc-and-netscaler-gateway-flaw-cve-2025-5777-7-9-2025.pdf
  • BBSecでは

    当社では様々なご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。

    アタックサーフェス調査バナー
    ペネトレーションテストバナー

    公開日:2025年7月14日
    更新日:2026年4月22日

    編集責任:木下

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2026年5月13日(水)13:00~14:00【好評アンコール配信】
    攻撃は本当に成立するのか?ペネトレーションテストで検証する実践的セキュリティ対策(デモ解説)
  • 2026年5月20日(水)14:00~15:30 <BBSec/Future/ハンモック共催>
    脆弱性管理の最適解 ― ASM・IT資産管理・脆弱性管理を分けて考え、統合するという選択
  • 2026年5月27日(水)14:00~15:00
    ~取引先から求められる前に押さえる~ SCS評価制度への対応準備と現実的な進め方
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    脆弱性の意味を正しく理解する―読み方・具体例・種類をわかりやすく解説

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    脆弱性の意味を正しく理解する―種類・悪用リスク・企業が取るべき対策アイキャッチ画像

    脆弱性とは、システムやソフトウェア、ネットワークなどに存在する「セキュリティ上の弱点」を指します。この弱点を攻撃者に悪用されると、不正アクセスや情報漏えいなどのサイバー攻撃につながる可能性があります。この言葉の意味を正しく理解することは、サイバーセキュリティを理解するうえで非常に重要であり、企業や組織が安全にシステムを運用するためには、脆弱性を早期に発見し、適切に対策することが重要です。本記事では、脆弱性の正しい意味、サイバー攻撃との関わり、企業が取るべき対策までを体系的に整理し、分かりやすく解説します。

    脆弱性とは何か?

    「脆弱性(ぜいじゃくせい)」とは、システムやソフトウェア、ネットワークなどに存在する「セキュリティ上の弱点」や「欠陥」のことです。この弱点が存在すると、攻撃者に悪用されることで、不正アクセス、情報漏洩、マルウェア感染、サービス停止といったサイバー攻撃の被害につながる可能性があります。

    脆弱性の多くは、「プログラムの設計ミスやコーディングミスなどによるバグ」になります。バグが存在せず正しく動作するプログラムやWebアプリケーションであっても、設計者が想定しないやり方で機能が悪用され、 結果としてサイバー攻撃が成立する場合には、その「悪用されうる機能設計」が脆弱性とみなされます。

    企業では、こうした脆弱性を早期に発見するために「脆弱性診断」を実施することが重要です。→「脆弱性診断の必要性とは?ツールなど調査手法と進め方

    脆弱性診断は、システムやアプリケーションに存在するセキュリティ上の欠陥を特定し、対策につなげるための検査です。

    しかし、いざ「脆弱性 意味」「脆弱性とは何か?」と問われると、具体的に説明できない人も少なくありません。

    脆弱性の読み方と語源

    「脆弱性」は「ぜいじゃくせい」と読みます。

    「脆」(ぜい):もろい、こわれやすいという意味
    「弱」(じゃく):よわい、力が足りないという意味
    「性」(せい):性質や特徴を示します

    つまり、「壊れやすく弱い性質」という意味で、ITセキュリティ分野では“攻撃に利用される欠陥や弱点”を指す言葉として使われます。また英語ではvulnerability(バルネラビリティ=「攻撃を受けやすいこと」の意)と呼ばれます。

    脆弱性の代表例

    脆弱性はさまざまな原因によって発生します。ここでは代表的な脆弱性の例を紹介します。

    ソフトウェアの脆弱性

    ソフトウェアのプログラムに不具合があると、それが脆弱性となる場合があります。例として、

    • 入力値の検証不足
    • バッファオーバーフロー
    • SQLインジェクション

    などが挙げられます。このような不具合を攻撃者が悪用すると、データベースの情報が盗まれたり、システムが乗っ取られたりする可能性があります。

    これらの代表的なWebアプリケーションのセキュリティリスクは、OWASP Top10として国際的な指標としてまとめられています。
    → 「OWASP Top10 2025:2021版からの変更点と企業が取るべきセキュリティ強化ポイント

    OWASP Top10はWebアプリケーションの代表的なセキュリティリスクをまとめた国際的なガイドラインです。

    設定ミスによる脆弱性

    システムの設定が適切でない場合も脆弱性の原因になります。代表的な例として

    • 管理画面がインターネットに公開されている
    • デフォルトパスワードのまま運用している
    • 不要なポートが開放されている

    などが挙げられます。こうした設定ミスは攻撃者にとって侵入の入り口となることがあります。

    設計上の問題による脆弱性

    システムの設計段階に問題がある場合、構造的な脆弱性が発生することがあります。

    例えば

    • 認証機能の設計ミス
    • 権限管理の不備
    • セッション管理の問題

    などです。設計段階の脆弱性は、後から修正するのが難しい場合も多く、開発段階からのセキュリティ対策が重要になります。

    脆弱性が攻撃の入口になる理由

    攻撃者はまず「侵入できる弱点がないか」を探します。この弱点こそが脆弱性です。例えば、

    • 公開された脆弱性のパッチを適用していない
    • 古いプログラムを長期間放置している
    • 不要なサービスやポートを開けたまま

    といった状態は、攻撃者に「ここから入れる」と示しているようなものです。実際、多くのサイバー攻撃は “脆弱性の悪用” から始まっています。

    ここまでの説明でお気づきかもしれませんが、「脆弱性が多く報告されている」ことは必ずしも「品質が悪い」ことを意味するのではありません。脆弱性が存在してもそのことが報告・公表されていなければ、「脆弱性がある」とは認知されないわけです。

    脆弱性が悪用されるとどうなる?

    脆弱性が攻撃者に悪用されると、企業や組織に大きな被害をもたらす可能性があります。代表的な被害をご紹介します。

    • 重要情報(顧客情報・社員情報・機密情報等)の漏洩
    • サイバー攻撃(ランサムウェア攻撃等)を受けるリスク
    • サービス停止や業務停止リスク

    特に近年は、脆弱性を狙った攻撃が高度化し、攻撃者が自動的に弱点を探索するツールも普及しています。「気づいたら侵入されていた」というケースも少なくありません。

    脆弱性を悪用したセキュリティ事故は日々発生しています。SQAT.jpでは以下の記事でも取り上げていますので、ぜひあわせてご参考ください。

    ● 「定期的な脆弱性診断でシステムを守ろう!-放置された脆弱性のリスクと対処方法-
    ● 「備えあれば憂いなし!サイバー保険の利活用

    脆弱性を防ぐための対策

    脆弱性を放置すると、重大なセキュリティ事故につながる可能性があります。脆弱性対策の基本的な考え方としては、システムの欠陥をつぶし、脆弱性を無くすこと(「攻撃の的」を無くすこと)が最も重要です。企業での実践方法としては以下の項目があげられます。

    修正パッチの適用


    衣服等の破れを補修する「継ぎ当て」や傷口に貼る「絆創膏」のことを英語で「パッチ(patch)」と言いますが、脆弱性を修正するプログラムも「パッチ」と呼ばれます。修正プログラムを適用することは「パッチをあてる」と言われたりします。パッチをあてることにより、システムに影響が及ぶ場合があります。適用にあたっては事前に調査を行い、必要に応じて十分な検証を実施してください。なお、自組織で開発したシステムに関しては、必ずテスト環境を用意し、パッチ適用による整合性チェックを行いましょう。

    ソフトウェアやOSの定期的なアップデート

    アップデートされた最新バージョンでは既知の脆弱性や不具合が修正されていますので、後回しにせずに更新を行うようにしてください。

    セキュアプログラミングで脆弱性を作りこまない体制に

    自組織で開発したソフトウェアやWebアプリケーション等の場合は、サービスが稼働する前の上流工程(開発段階)から、そもそも脆弱性を作り込まない体制を構築することが大切です。

    また、テレワーク環境では、以上の項目に加え、クライアントサイドでのパッチ適用が適切に行われているかをチェックする体制を構築することも重要です。また、シャドーITの状況把握も厳格に実施する必要があります。

    「IT部門が知らないサービスを勝手に利用され、結果として脆弱性の有無について未検証のクライアントソフトやブラウザプラグインが使われていた」という事態は防がねばなりません。

    脆弱性情報はWebサイトでチェックできる

    脆弱性は、さまざまなソフトウェアやプラットフォームで日々発見されています。そうした情報は、多くの場合、ソフトウェアやプラットフォーム提供元のWebサイトに掲載されます。
    少なくとも、自組織で利用している主要なプラットフォームに関しては、緊急性が高い脆弱性が出現していないかどうかを、提供元のWebサイトで定期的にチェックするとよいでしょう。

    JVNを利用した脆弱性情報の正確な情報収集と活用法

    一般社団法人JPCERTコーディネーションセンターとIPA(独立行政法人情報処理推進機構)では、公表された脆弱性情報を収集して公開するサービス「JVN(Japan Vulnerability Notes)」を共同運営しています。日本で利用されている大半のソフトウェアの脆弱性の情報は、このサイトでチェックできます。

    脆弱性情報ソースと活用

    インシデントやゼロデイの発生情報については、セキュリティ専門のニュースサイト、セキュリティエバンジェリストのSNSなどからも情報をキャッチできます。

    情報の裏取りとして、セキュリティベンダからの発表やtechブログ等を参照することもと重要となります。攻撃の影響範囲や危険度を確認するには、Exploitの有無を技術者のPoC検証ブログやNVD等で確認することも有効です。

    ツールを使って脆弱性を見つける

    脆弱性を発見するためのソフトウェアは「チェックツール」「スキャンツール」「スキャナ」などと呼ばれます。以下に、代表的なものをご紹介しましょう。有償、無償のさまざまなツールが提供されていますので、機能や特徴を知り、ニーズに合致するものを試してみてはいかがでしょうか。

      有償ツール 無償ツール
    Webアプリケーション向けAppScan、Burp Suite、WebInspect など OWASP ZAP など
    サーバ、ネットワーク向け Nessus(一部無償)、nmap など Nirvana改弐、Vuls など

    「脆弱性診断」サービスで自組織のソフトウェアの脆弱性を見つける

    上記でご紹介したツールを使えば、脆弱性のチェックを自組織で行うことが可能です。しかし、前述の通り、「脆弱性が存在するのに報告されていない」ために情報がツールに実装されていないソフトウェアも数多くあります。また、一般に広く利用されているソフトウェアであれば次々に脆弱性が発見、公開されますが、自組織で開発したWebアプリケーションの場合は、外部に頼れる脆弱性ソースはありません。さらに、実施にあたっては相応の技術的知識が求められます。そこで検討したいのが脆弱性診断サービスの利用です。脆弱性の有無を確認するには、脆弱性診断が最も有効な手段です。

    脆弱性診断サービスでは、システムを構成する多様なソフトウェアやWebアプリケーション、API、スマホアプリケーション、ネットワークなどに関し、広範な知識を持つ担当者が、セキュリティ上のベストプラクティス、システム独自の要件などを総合的に分析し、対象システムの脆弱性を評価します。組織からの依頼に応じて、「自組織で気付けていない脆弱性がないかどうか」を調べる目的のほか、「脆弱性に対して施した対策が充分に機能しているか」を検証する目的で実施することもできます。

    対策が正常に機能しているかの検証を含めた確認には専門家の目線をいれることをおすすめしています。予防的にコントロールをするといった観点も含め、よりシステムを堅牢かしていくために脆弱性診断をご検討ください。脆弱性を防ぐためには、ソフトウェア更新や設定の見直しだけでなく、定期的なセキュリティ診断を行うことが重要です。

    特に企業のシステムでは、脆弱性診断に加えて、実際の攻撃を想定したペネトレーションテストを実施することで、セキュリティ対策の有効性を確認することができます。
    →「ペネトレーションテスト(侵入テスト)とは?

    脆弱性との共存(?)を図るケースもある

    最後に、診断で発見された脆弱性にパッチをあてることができないときの対処法をご紹介しましょう。

    まず、「パッチを適用することで、現在稼働している重要なアプリケーションに不具合が起こることが事前検証の結果判明した」場合です。このようなケースでは、システムの安定稼働を優先し、あえてパッチをあてずに、その脆弱性への攻撃をブロックするセキュリティ機器を導入することで攻撃を防ぎます。セキュリティ機器によって「仮想的なパッチをあてる」という対策になるため、「バーチャルパッチ」とも呼ばれます。

    また、脆弱性が発見されたのがミッションクリティカルなシステムではなく、ほとんど使われていない業務アプリであった場合は、脆弱性を修正するのではなく、そのアプリ自体の使用を停止することを検討できるでしょう。これは、運用によってリスクを回避する方法といえます。

    なお、前項でご紹介した脆弱性診断サービスの利用は、脆弱性に対して以上のような回避策をとる場合にも、メリットがあるといえます。発見された脆弱性について、深刻度、悪用される危険性、システム全体への影響度といった、専門サービスならではのより詳細な分析結果にもとづいて、対処の意思決定を行えるためです。

    脆弱性に関するよくある質問

    ▼脆弱性とは簡単にいうと何ですか?
    ▼脆弱性とバグの違いは何ですか?
    ▼脆弱性と脅威の違いは?

    まとめ

    「脆弱性とは何か?」を正しく理解することは、サイバー攻撃に備えるうえで最も基本かつ重要なステップです。脆弱性は放置すれば攻撃者にとって“格好の入口”となり、情報漏えいやサービス停止など重大な被害を招きかねません。自社システムの安全性を確保するためにも、日頃から更新・診断・運用の見直しを行い、脆弱性を適切に管理することが求められます。

    関連情報

    ● 脆弱性診断の必要性とは?ツールなど調査手法と進め方

    公開日:2020年7月20日
    更新日:2026年3月11日

    編集責任:木下


    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    マルウェアとウイルスの違いとは?種類・特徴・感染経路をわかりやすく解説

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    近年、サイバー攻撃はますます高度化し、企業や個人を狙った被害が増えています。その中心的な脅威が「マルウェア」と呼ばれる悪意あるソフトウェアです。しかし、「マルウェアとウイルスの違いがわからない」という方も多いのではないでしょうか。本記事では、両者の違いをわかりやすく解説し、代表的な種類や感染経路、被害事例、そして防ぐための対策まで詳しく紹介します。

    マルウェア(malware)とは?意味と基本的な仕組み

    マルウェアとは、「Malicious(マリシャス=悪意のある)」と「Software(ソフトウェア)」を組み合わせた造語で、コンピュータやネットワークに害を与える悪意のあるプログラムの総称です。具体的には、ユーザの意図しない動作を引き起こし、情報の窃取や破壊、システムの乗っ取りなどを目的とするプログラムを指します。代表的なものにコンピュータウイルス(=ウイルス)、ワーム、トロイの木馬、スパイウェア、ランサムウェアなどがあります。

    マルウェアは、メールの添付ファイルや不正なWebサイト、ソフトウェアの脆弱性などを通じて感染し、個人情報の漏洩や金銭的被害、業務妨害など深刻な問題を引き起こす可能性があります。そのため、日常的なセキュリティ対策が非常に重要です。

    マルウェアとウイルスの違い

    マルウェアは、悪意のあるソフトウェアの総称で、コンピュータウイルスはその一種です。ウイルスは自己複製し、他のプログラムやファイルに感染して広がる特徴を持つのに対し、マルウェアには様々な種類があり、必ずしも自己複製しません。つまり、全てのウイルスはマルウェアですが、全てのマルウェアがウイルスというわけではありません。マルウェアは、より広範な脅威を指す用語です。

    比較項目マルウェアコンピュータウイルス
    定義悪意のあるソフトウェア全般マルウェアの一種
    自己複製しないものもある自己複製する
    感染方法メール・Web・USBなど多様他ファイルやプログラムに感染
    代表例ワーム、トロイの木馬、ランサムウェアなどMichelangelo、ILOVEYOUなど

    主なマルウェアの分類

    1. ウイルス
      コンピュータウイルスは、自己複製する悪意のあるプログラムです。ユーザがプログラムやファイルを実行することで動作し、自己複製して他のプログラムやファイルに感染します。感染したファイルが開かれるたびに広がり、データの破壊やシステムの動作不良を引き起こします。ウイルスは通常、ファイルやプログラムを破壊する目的で作成され、感染拡大によるシステムの停止を引き起こす可能性があります。
    2. ワーム
      ワームは、自己複製する悪意のあるプログラムです。ユーザの操作なしに、ネットワークの脆弱性を利用して感染したコンピュータからネットワーク内の他のコンピュータに拡散し、ネットワークの帯域を消費してシステムのパフォーマンス低下や停止を引き起こすことがあります。ワームはウイルスと異なり、ホストプログラムを必要としません。特に企業や大規模ネットワークに対して深刻な脅威です。
    3. トロイの木馬
      トロイの木馬は、通常のソフトウェアやファイルに見せかけてユーザにインストールさせる悪意のあるプログラムです。ユーザのコンピュータに侵入したあと、何かのトリガーが起こった場合に、バックドアの作成や情報窃取などを自動的に実行します。自己複製能力はありませんが、一度実行されると重大な被害をもたらす可能性があります。

    マルウェアの主な種類と特徴

    マルウェアにはいくつか種類があります。以下に代表的なマルウェアの特徴をご紹介します。

    ランサムウェア

    ランサムウェアは、ユーザのデータやファイルを暗号化し、アクセスを不能にするマルウェアです。サイバー攻撃者は暗号化されたデータやシファイルの暗号化解除と引き換えに、身代金の支払いを要求します。攻撃者は、データの復元やアクセスの回復のために身代金を要求します。「Ransom(ランサム=身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、これが名称の由来です。多くの場合、身代金は暗号通貨で支払うことが要求され、支払ったとしてもデータが復元される保証はありません。このため、ランサムウェアは組織にとって非常に深刻な脅威となっています。

    近年、二重脅迫型の攻撃も増加しており、支払いに応じなければデータを公開すると脅迫されます。被害者は重要データへのアクセスを失い、業務停止や金銭的損失に直面します。感染経路には、メール添付ファイル経由、VPN経由、リモートデスクトップ接続経由など様々なものがあります。

    スパイウェア

    スパイウェアは、ユーザの個人情報を収集し、ユーザが意図しないうちに外部に送信するマルウェアです。収集するデータには、キーロガーやスクリーンキャプチャー機能を持つものもあり、パスワードやクレジットカード情報などを窃取します。スパイウェアは、一般的に無意識のうちにインストールされることが多く、主にダウンロードしたソフトウェアや悪意のあるリンクを介して広がります。正規ソフトウェアに偽装して侵入することが多いため、検出が困難です。感染してしまうと、個人のプライバシー侵害だけでなく、企業の機密情報漏洩にも繋がる危険性があります。

    スケアウェア

    スケアウェアとは、虚偽のセキュリティ警告を表示し、無駄なソフトウェアを購入させる詐欺的なソフトウェアです。実際にはセキュリティ問題がないにもかかわらず、感染していると偽り、解決策として高額なソフトウェアをすすめます。ユーザの不安を煽り、冷静な判断を妨げることにより、被害を拡大させるのが特徴です。

    アドウェア

    アドウェアは、ユーザの同意なしに広告を表示するソフトウェアです。主にウェブブラウザにインストールされ、ポップアップ広告やバナー広告を表示します。ユーザのオンライン行動を追跡し、広告のターゲティングに利用することもあります。アドウェアそのものは必ずしも悪意があるわけではありませんが、システムのパフォーマンス低下やプライバシー侵害の原因となることがあります。一部のアドウェアは悪質な広告を表示し、マルウェアの配布を促すこともあります。

    ファイルレスマルウェア

    ファイルレスマルウェアは、ディスク上にファイルを残さずに、システムのメモリやプロセスに直接感染するマルウェアです。これにより、従来のウイルス対策ソフトウェアでは検出しにくくなります。ファイルレスマルウェアは、通常、システムの脆弱性を利用して実行され、バックドアとして機能することが多いです。

    トロイの木馬のタイプ

    マルウェアの分類の一つである「トロイの木馬」は動作によりいつくかのタイプに分けることができます。

    • ダウンローダー型:一見無害にみえるファイルを通じてマルウェアをダウンロードし感染させます。
    • ドロッパー型:侵入後に複数のマルウェアを一度にシステムにダウンロードし、展開します。
    • バックドア型:攻撃者がシステムに不正アクセスするための裏口を作り、遠隔操作や情報窃取を行います。
    • キーロガー型:ユーザのキーボード入力を記録し、パスワードなどの個人情報を盗み取ります。
    • パスワード窃盗型:システムやアプリケーションに保存されているパスワードを探索し、盗み出します。
    • プロキシ型:感染したPCをプロキシサーバとして使い、他のシステムへの攻撃を隠蔽します。
    • ボット型:感染したPCをボットネットの一部として使用し、大規模なDDoS攻撃などに利用します

    マルウェア感染による被害と企業リスク

    マルウェアに感染することで、次のような被害が発生します。

    • 情報漏洩:個人情報や機密データが攻撃者に盗まれ、企業の信用や顧客の信頼が損なわれます。
    • Webサイトの改ざん:攻撃者が不正なコードを埋め込み、訪問者を悪意あるサイトにリダイレクトさせたり、偽情報を掲載したりすることで、Webサイト利用者に被害を与えます。
    • PC動作不能:マルウェアがシステムを破壊・損傷し、PCやサーバが動作不能に陥り、業務が停止するリスクがあります。
    • デバイスの乗っ取り:マルウェアがデバイスを遠隔操作可能な状態にし、攻撃者が不正操作などの行為を実行します。
    • 金銭損失:ランサムウェアなどの攻撃により、身代金の支払いを強要され、システムの復旧コストや顧客対応などにより多額の金銭的な損害が発生します。

    マルウェアの主な感染経路と予防策

    マルウェアの感染経路としては、大きくわけて以下のようなものが挙げられます。

    ・メール

    マルウェアの感染経路として最も一般的なのがメールです。特に「フィッシングメール」と呼ばれる手法で、信頼できる企業やサービスを装ったメールが送られてきます。受信者がメール内のリンクをクリックしたり、添付ファイルを開いたりすると、マルウェアが自動的にダウンロードされ、システムに侵入します。これにより、個人情報の盗難やランサムウェアの感染が発生することがあります。メールのリンクや添付ファイルを開く前に、その送信元が信頼できるかを必ず確認することが重要です。

    ・Webサイト

    不正なWebサイトもマルウェアの感染源となります。特に不正な広告やフィッシングサイトなどは、利用者がサイトを訪れただけでマルウェアが自動的にダウンロードされることがあります。これを「ドライブバイダウンロード攻撃」と呼びます。また、信頼できるWebサイトであっても、第三者によって改ざんされている可能性があるため、Webサイトを利用する際は、最新のウイルス対策ソフトによるスキャンの実行、ブラウザのセキュリティ設定を適切に行うことなどが重要になります。

    ・ファイル共有ソフト

    ファイル共有ソフトを使用することも、マルウェア感染のリスクを高めます。ユーザがダウンロードしたファイルにマルウェアが含まれていることが多く、特に海賊版ソフトウェアや違法に共有されたコンテンツには注意が必要です。これらのファイルを実行すると、システムが感染し、データが破壊されたり、外部に漏洩したりする可能性があります。正規のソフトウェアやコンテンツを使用し、不明なファイルはダウンロードしないことが推奨されます。

    ・外部ストレージ(USBメモリ)

    外部ストレージ(USBメモリ)は、便利である反面、マルウェアの感染経路としても広く利用されています。感染したUSBメモリをパソコンに挿入すると、システムにマルウェアが拡散し、企業内ネットワーク全体に影響を及ぼすこともあります。USBメモリを使用する際は、信頼できるデバイスのみを使用し、不必要に他人のUSBメモリを挿入しないように注意する必要があります。また、ウイルススキャンを行ってから使用することが推奨されます。

    ・クラウドストレージ

    ユーザがマルウェアに感染したファイルをアップロードし、他のユーザがそれをダウンロードすることで、マルウェア感染が広がることがあります。また、クラウドサービス自体がハッキングされることで、全てのクラウドサービス利用者に影響が及ぶ可能性もあります。クラウドストレージを利用する際は、アップロードするファイルの安全性を確認し、適切なアクセス制限と二要素認証などのセキュリティ対策を講じることが重要です。

    マルウェア感染を防ぐための基本対策

    • OS・ソフトウェアを常に最新状態に更新する
    • 信頼できないメール・リンク・添付ファイルを開かない
    • セキュリティソフトを導入し、リアルタイム保護を有効化する
    • 定期的にバックアップを取り、復旧体制を整える
    • 社員教育を実施し、セキュリティリテラシーを向上させる

    まとめ

    マルウェアは、コンピュータやネットワークに悪影響を与える悪意のあるプログラムの総称です。代表的なものには、コンピュータウイルス、ワーム、トロイの木馬、スパイウェア、ランサムウェアなどがあります。

    主な分類として、自己複製し他のファイルに感染するウイルス、ネットワークを通じて拡散するワーム、正常なソフトウェアに偽装するトロイの木馬があります。その他の種類には、データを暗号化して身代金を要求するランサムウェア、個人情報を収集するスパイウェア、偽のセキュリティ警告を表示するスケアウェア、不要な広告を表示するアドウェア、ファイルを残さずにメモリ上で動作するファイルレスマルウェアなどがあります。

    マルウェアは主にメール、不正なWebサイト、ファイル共有ソフト、外部ストレージ、クラウドストレージなどを通じて感染します。感染すると、情報漏洩、Webサイトの改ざん、システムの動作不能、デバイスの乗っ取り、金銭的損失などの被害が発生する可能性があります。マルウェアに感染すると深刻な被害を受け、企業に大きな影響を与えるため、適切なセキュリティ対策の実施が必要です。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    不正ログインされたらどうする?すぐに取るべき対処&予防策

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    不正ログインとは、第三者が正規の利用者になりすましてアカウントに侵入する行為です。もし「不正ログインされたら」、個人情報の流出や不正送金、SNSの乗っ取りなど深刻な被害につながる恐れがあります。対応を誤ったり遅れたりすると、被害が拡大し、信用の失墜や事業への影響を招く可能性もあります。本記事では、不正ログインの主な原因と手口を解説し、実際に不正ログインされた場合の初動対応と、再発防止のための具体的な対策を紹介します。

    不正ログインとは?不正アクセスとの違い

    不正ログインとは、正当な利用者のIDやパスワードを盗み取り、本人になりすましてシステムやサービスに侵入する行為です。これに対し「不正アクセス」は、アクセス権限を持たない状態でサーバやネットワークに侵入する広い概念を指します。つまり、不正ログインは不正アクセスの一種であり、特にアカウント情報が狙われる点が特徴です。

    「不正アクセス」が厳密にどのような行為を指すのかは、1999年に公布(最新改正は2013年)された「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」で規定されています。同法では、アクセス制御機能を持つWebサービスやサーバ等に、正当なアクセス権限を持たない者が侵入する行為、およびそうした侵入を助長する行為を指します。

    不正アクセス禁止法では、単に他人のIDやパスワード(「識別符号」と呼ばれる)を無許可で使用する行為だけでなく、他の情報を利用してWebサービスやサーバなどのシステム(「特定電子計算機」と定義されている)を操作する行為も「不正」と定義されています。この点には特に留意する必要があります。

    昨今はSNSアカウントやクラウドサービス、ECサイト、業務システムなどが標的となり、被害は個人だけでなく企業にも広がっています。

    不正ログインの主な原因と手口

    不正ログインは偶発的に発生するのではなく、多くの場合、攻撃者が狙いを定めて計画的に仕掛けます。では、そもそも悪意を持った、攻撃者による不正ログインの手口にはどのようなものがあるのでしょうか。典型的なのは、「盗んだIDとパスワード、あるいは推測したパスワードを使って、システムに不正にログインする」というものです。ID・パスワードの組み合わせを総当り的に試してログインを図る「ブルートフォース攻撃」、辞書にある語句を利用する「辞書攻撃」、不正に入手したログイン情報を利用する「パスワードリスト攻撃」などが知られています。

    中でも近年特に話題を集めているのは「パスワードリスト攻撃」です。背景には、数十万~数億件規模のID・パスワードがセットで売買されていたり、インターネット上に公開されていたりする事態があちこちで確認されており、攻撃者が不正アクセスのための情報を容易に手に入れやすくなっている状況があります。また、もし複数のシステムに対して同じID・パスワードが使いまわされている場合、1件の情報を入手することで複数のシステムへのログインが可能になるという点も、攻撃者を引き付けています。

    2020年8月には、日本企業約40社において、VPN(Virtual Private Network)のID・パスワードが盗まれ、インターネットに公開されるという事件が発生しました。VPNは、本来、セキュリティを確保したうえで企業ネットワークへアクセスするために使われる「安全性の高い入口」です。そこにログインするためのID・パスワードが盗まれることが極めて大きな被害につながり得ること、裏を返せば、攻撃者にとって極めて大きな利得につながり得ることは、論をまたないでしょう。

    もちろん、不正アクセスのための攻撃は、ID・パスワードを狙ったものだけではありません。ID・パスワードの入手につながる脆弱性も格好の標的になります。例えば、Webアプリケーションや公開Webサーバの脆弱性はその最たるものです。攻撃者はしばしばSQLインジェクションの脆弱性クロスサイトスクリプティングの脆弱性などを悪用して個人情報を不正に入手し、ID・パスワードを特定してシステムへの侵入を試みます。

    このように「不正ログインされたら」という状況は、ほとんどがこうした攻撃手法に起因しています。利用者側の意識やセキュリティ設定が不十分だと、攻撃者にとって格好の標的となってしまうのです。ID・パスワードの保護に加え、結果としてID・パスワードの特定につながる脆弱性を放置しないことが、不正ログインを防ぐためには最重要といえるでしょう。

    不正ログインされたらすぐに取るべき対応

    不正ログインされたら、被害の拡大を防ぐために迅速な対応が不可欠です。焦って誤った判断をしないよう、次の手順を順番に実行しましょう。

    • パスワードを即時変更する
      まずはログインが可能なうちにパスワードを強力なものへ変更します。推測されやすい単語や誕生日ではなく、英数字・記号を組み合わせた長いパスワードを設定することが重要です。
    • ログイン履歴・アクセス状況を確認する
      サービスによっては、過去のログイン日時やアクセス元IPを確認できます。不審な履歴があれば、被害範囲を把握する手がかりになります。
    • 関連するサービスのパスワードも見直す
      パスワードを使い回していた場合は、同じID・パスワードで利用している他のサービスも狙われている可能性があります。連携しているメール、クラウド、SNSなども必ず変更しましょう。
    • 二段階認証を設定する
      ログイン自体はできても、二段階認証を有効化しておけば不正利用を防げるケースがあります。まだ導入していない場合は、このタイミングで必ず設定してください。
    • サービス提供元に連絡する
      金融機関やECサイトなどで不正利用が疑われる場合は、サポート窓口に連絡し、アカウントの一時停止や不正取引の補償について確認しましょう。

    インシデントを防ぐための運用体制の構築

    過去記事「情報漏えいの原因と予防するための対策」では、「情報漏えい事故の報告書と収束までの流れ」として、事故発生時の報告書作成の注意点について解説しました。今回は、不正アクセスされた直後の対応や、真相究明を行う社内の組織体制構築でのポイントをご紹介します。

    不正アクセス事故対応のチーム作り

    セキュリティ事故対応を行う専門部署であるCSIRTが社内にない場合は、事故対応チームを速やかに組織しなければなりません。どのような編成を想定すべきか、参考として、モデル的な図解を下記に示します。

    https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf より当社作成

    もちろん、セキュリティ専門企業でない限り、ほとんどの組織にとってはここまでの編成をとることは合理的とはいえません。既存の組織・人員の状況に応じて、下記のような事項をポイントにチームを編成し、自組織の業種業態、慣習、人材、文化等を踏まえながら継続的にチームの発展・強化に取り組むことをお勧めします。

    • CSIRTがインシデント発生時における最終判断(システム停止も含む)までを担う場合は、責任を担う経営陣を参画させる。
    • 現体制におけるキーマンを特定し、そのキーマンを必ずメンバーに加える。
    • 現体制で実施できている役割がないか確認する(「実施できている役割は踏襲する」という判断も重要)。
    • 技術的な知識、経験、人材を持たない場合は、最低限CSIRTに必要な機能(=有事の報告、伝達を的確に行い、意思決定者へ早期伝達すること)を有する、「コーディネーション機能に重点を置いたCSIRT」を目指す。

    取引先、関係者、個人情報保護委員会への連絡

    あなたの会社のステークホルダーに対して、現時点で判明している事故の事実関係を連絡します。規制業種の場合は所轄官庁への報告義務があります。なお、個人情報保護法では、個人情報漏えい等の場合、本人通知や監督官庁への報告を努力義務としていますが、2022年に施行予定の改正個人情報保護法では一定範囲においてこれが義務化されるため注意が必要です。

    不正アクセスの原因究明

    続いて取り組むべきは、原因究明です。不正アクセスを受けた場合、侵入経路の特定や証拠保全などは自社でどこまで可能なのでしょう。監視やSOC(セキュリティオペレーションセンター)サービスの契約などによって保存してあるログを解析可能な場合、「不正アクセスの発端と展開過程がわかるから、自経路の解析や被害範囲の特定もできる」と考えてしまうかもしれません。しかし、火事場のように混乱する事故発生直後は、日頃から備えをしていた企業ですら、一刻を争う状況下で解析すべき情報の膨大さに圧倒されるものです。また、刑事事件として告発を行う場合や損害賠償請求を行う場合には証拠保全が必要となりますが、混乱し、慣れない状況下で証拠保全を念頭に調査や対応を行うのは大きな負荷となります。

    さらに、「サイバー攻撃を行う5つの主体と5つの目的」で解説した「APT攻撃」が行われるケースも想定しておく必要があります。APTでは、侵入の痕跡を消されることが少なくなく、そのような場合、侵入経路の特定や証拠保存は難しくなります。しかし、日々ログの収集を行っていたとしたら、その痕跡からデジタルフォレンジックを実施することが可能です。

    不正ログインを防ぐためのセキュリティ強化策

    不正ログインの被害を防ぐには、日頃からの予防策とシステム設定の強化が重要です。以下の方法を実践することで、アカウントの安全性を高められます。

    • 多要素認証(MFA)の導入
      パスワードだけでなく、SMSや認証アプリ、ハードウェアトークンなど複数の認証手段を組み合わせることで、不正ログインを大幅に防ぐことができます。
    • 強力なパスワードと管理ツールの活用
      推測されにくい長く複雑なパスワードを設定し、使い回しを避けることが基本です。パスワード管理ツールを活用すると、安全にパスワードを管理できます。
    • ログイン通知の有効化
      不審なログインがあった場合に通知される機能を有効にしておくと、早期に被害を発見できます。メールやアプリ通知で異常を検知したら、速やかに対応しましょう。例えば、サーバに対するアクセスログを収集・保存し、同一IPからの複数回ログインに対するアラートをルール化する等の設定をしておくことで、誰かが不正ログインを行っていることを早期に知り、ブロックするなどの対処を行えるようになります。
    • OS・アプリケーションの定期アップデート
      セキュリティ脆弱性を放置すると、マルウェア感染や不正ログインのリスクが高まります。常に最新バージョンを適用する習慣をつけましょう。
    • 不要アカウントやアクセス権限の整理
      使っていないサービスや不要な権限は削除・無効化し、アクセスできる範囲を最小化することで、攻撃対象を減らせます。

    これらの施策を組み合わせることで、不正ログインのリスクを大幅に低減し、万一の場合でも早期対応が可能になります。

    インシデント発生時に役立つ「かかりつけ」のセキュリティ企業を持つ重要性

    不正アクセス事故に備えるためには、日常的なアクセスログの収集や分析、SOCサービスの契約、さらにはCSIRT組織の設置など、日頃からの備えが重要です。不正アクセスを未然に防ぐと同時に、万一発生した場合の対応力を高める役割を果たします。

    そして、もう一つ有効な取り組みは、信頼できるセキュリティ企業との関係構築です。「かかりつけ医」のセキュリティ企業を持つことは、事故発生時に迅速かつ効果的に対応できる可能性があります。それまで取引が一度もなかったセキュリティ企業に、事故が発生した際に初めて調査や対応を依頼したとしたらどうでしょう。社内のネットワーク構成、稼働するサービス、重要情報がどこにどれだけあるのか、関係会社や取引先の情報などを一から説明する必要が生じ、対応に時間がかかってしまいます。わずかな時間も惜しまれるインシデント対応の現場では大きなリスクとなります。

    脆弱性診断やインシデント対応などのセキュリティサービスを提供する企業に依頼をする際には、その企業が単に技術力があるかどうかだけでなく、信頼できる企業かどうか、いざというときにサポートしてくれるかどうかを慎重に考慮して選ぶことが重要です。提供サービス体制も幅広く調べたうえで、長期的な観点から利用を検討することをおすすめします。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン

    まとめ

    • 不正ログインは不正アクセスの一種であり、正当な利用者のIDやパスワードを盗み取り、本人になりすましてシステムやサービスに侵入する行為です。これに対し不正アクセスは、アクセス権限を持たない状態でサーバやネットワークに侵入する広い概念を指します
    • ID・パスワードの管理だけでなく、Webアプリケーションやサーバの脆弱性管理も欠かせません。セキュリティ対策は多層的に行うことが安全性向上につながります
    • 不正ログインをされたら、迅速に対応チームを組織し、ステークホルダーへの連絡、原因究明、被害の拡大防止を行います。
    • インシデントが起きたときの対応力を高めるには、日頃からのアクセスログ収集や分析、SOCサービスの契約、CSIRT組織の設置、「かかりつけ」セキュリティ企業との関係構築などが有効です

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    【初心者向け】ペネトレーションテスト(侵入テスト)とは?目的・方法・費用ガイド

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ペネトレーションテスト(侵入テスト)とは、実際の攻撃者と同じ手法を用いてシステムやネットワークに侵入を試みることで、セキュリティ上の弱点を明らかにする検証手法です。脆弱性診断との違いや、実施の流れを理解することで、自社に最適なセキュリティ対策を選択できるようになります。本記事では、ペネトレーションテストの目的や手順、費用感、活用のメリットまでわかりやすく解説します。

    サービス紹介動画(ペネトレーションテスト)
    sqatサイトお問い合わせページリンクボタン

    ペネトレーションテストとは

    ペネトレーションテストとは、主に企業ネットワークや、Webアプリケーションなどに不正に侵入することができるかどうかをテストすることです。英語の「 penetration 」には「貫通」、「 penetrate 」には「貫く」「見抜く」などの意味があります。「ペンテスト」と略されたり、「侵入テスト」と呼ばれることもあります。

    サイバー攻撃者はまず不正侵入し、その後、情報を盗んだり、バックドアを仕掛けたり、あるいは破壊工作などを行います。それらすべての端緒となる不正侵入を許すかどうかを調べるのが、ペネトレーションテストの役割です。

    ペネトレーションテストは、システムやネットワークに対する不正侵入や攻撃が可能かどうかを確認するためのテスト手法です。このテストは、単に脆弱性を見つけるだけではなく、それらが実際に悪用される可能性があるかどうかを判断することに重点を置いています。これにより、システムのセキュリティ状態の把握や実装されているセキュリティ対策の有効性を検証することができます。

    ペネトレーションテストが必要な業界と業種

    ペネトレーションテストは、特にセキュリティが重要視される業界や業種で必要とされます。
    金融、医療、政府機関、ITサービスなど、機密情報を扱うすべての業界で、ペネトレーションテストの実施は必要不可欠です。これらの業界では、データ漏洩やシステム障害が重大な結果を招く可能性があるため、定期的なテストが推奨されます。

    ペネトレーションテストが必要な3つの業種

    脆弱性診断の結果見つかった脆弱性を悪用して、攻撃が本当に成功するのかを検証するために、ペネトレーションテストが実施されることがあります。あくまで一般論ですが、ペネトレーションテストが必要な業種や事業として、以下の3つが挙げられます。

    1.生命・生活に直接影響を与える事業やサービス
    第一に、生命や生活に影響を及ぼす業種が挙げられます。具体的には、水道・電気・ガス・道路・交通等の社会インフラや、病院、ビル管理、工場のシステムなどです。

    2.資産に影響を与える個人情報を扱うサービス
    個人情報を保有する事業やサービスにも、ペネトレーションテストが必要な場合が多いでしょう。とりわけ銀行や証券会社、クレジットカード、仮想通貨取引所などの金融、大規模なWebサービスやECサイト、住民データを扱う自治体や官公庁などが挙げられます。

    3.事業継続に影響を与える機密情報を扱うシステム
    重要な営業機密や知的財産を保有する企業もペネトレーションテストの実施が望ましいといえるでしょう。

    特に、クローズモデルの知財戦略に基づいて特許を取得しない方針の企業が、サイバー攻撃によって機密情報を盗まれ、他の企業に国内外で特許申請・取得された場合、事業継続に関わる重大な影響が懸念されます。

    また、データ自体に価値はあるが、特許法や不正競争防止法では保護対象とならないようなデータについては、セキュリティ対策によって保護を図る必要があります。

    ペネトレーションテストと脆弱性診断との違い

    ペネトレーションテストは、脆弱性診断とは異なるアプローチを取ります。

    脆弱性診断はシステムの脆弱性を特定することに焦点を当てていますが、ペネトレーションテストはその脆弱性を利用して実際に攻撃を試み、システムのセキュリティを実際に検証します。この違いは、単にリスクを特定するのではなく、そのリスクが実際にどのように悪用され得るかを理解することにあります。

    以下に「対象」「目的」「範囲」、必要な「期間」の4つの観点から、ペネトレーションテストと脆弱性診断の違いを示します。

    ペネトレーションテスト脆弱性診断
    対象脆弱性診断同様、ネットワークやWebアプリケーションを対象にしますが、ときに警備員をあざむいて建物に侵入できるかどうか等の物理的侵入テストが行われることもあります。ネットワークやWebアプリケーションが対象となります。
    目的脆弱性診断は脆弱性を発見して報告することが主な業務ですが、ペネトレーションテストは脆弱性をもとに不正アクセスし、ネットワーク等に侵入することが目的となります。 脆弱性を検知・検出すること。
    範囲広い範囲の網羅性を重視する脆弱性診断と異なり、ペネトレーションテストは侵入することが目的であるため、脆弱性診断とは反対に、狭く深く、ときに針の穴のような侵入できる一点を探します。 広く網羅的に脆弱性の有無を探します。
    期間ペネトレーションテストは、とにかく侵入が成功するまでトライし続ける作業であるため、脆弱性診断よりも長い期間を要する場合が少なくありません。ただし、一般論として、優秀なペネトレーションテストサービスであればあるほど、短い期間で侵入が成功します。 探すものが事前に決まっているためペネトレーションテストよりも通常は短い期間で完了します。

    ペネトレーションテスト実施のステップ

    ペネトレーションテストサービスは提供する企業によってそれぞれ個性がありますが、大きく分けると下記の手順で実施されます。

    Step1.ヒアリング

    目的に応じ、たとえば「顧客データベース」など、ペネトレーションテストを行う対象を決定します。そして「顧客データベース」が外部から攻撃されるのか、あるいは内部犯行なのか、想定する攻撃シナリオを作成し、最後に、ペネトレーションテストを行う期間を決定します。

    Step2.実施

    対象によってさまざまな実施方法があります。公開されているWebアプリケーションであればリモートから実施することができます。内部犯行の危険性をテストする場合ならオフィス内から実施することもあるでしょう。

    Step3.完了

    「侵入に成功したとき」あるいは反対に、「侵入に成功できないまま期間が終了したとき」のいずれかをもってペネトレーションテストは完了します。どちらの結果にも意味があります。侵入に成功した場合は、その報告を受けて防御力を高める必要性を認識することになり、侵入に失敗した場合は、一定の防御力を保持できている目安となります。

    Step4.報告

    ペネトレーションテスト事業者からの報告書提出や報告会が行われます。具体的にどういうプロセスで、どういう技術を用いて侵入し、重要なデータがどこまで閲覧可能だったのか、どんなことができてしまう危険性があったのか、など管理者の気にかかることが詳細に報告されます。

    ペネトレーションテストのメリットとデメリット

    メリット

    • 攻撃者視点でリスクを把握できる
    • 発見された問題を経営層や現場に説得力をもって説明できる
    • 実際の被害想定を踏まえた改善が可能

    デメリット

    • 費用や工数が脆弱性診断よりも高い傾向にある
    • 診断範囲が限られることがある
    • 実施時の負荷に配慮が必要

    ペネトレーションテストの費用相場

    ペネトレーションテストの費用は、対象システムの規模や診断範囲によって異なります。一般的にはあくまで一般的な相場として「脆弱性診断の1.5倍から2倍」程度、数百万円程度が目安ですが、小規模のWebアプリケーションなら数十万円から実施可能な場合もあります。

    ペネトレーションテストの重要性

    主に以下のような理由により、企業・組織において、ペネトレーションテストを実施することは重要です。

    • 実際の攻撃シナリオの検証
    • セキュリティ対策の有効性評価
    • コンプライアンス要件の遵守
    • ビジネスリスクの低減

    脆弱性診断とは異なり、ペネトレーションテストは単に脆弱性を発見するだけでなく、それらが実際に悪用される可能性があるかどうかを重視します。これにより、システムのセキュリティ状態を詳細に把握し、実装されているセキュリティ対策の有効性を検証することができます。

    特に金融、医療、政府機関、ITサービス業界など、高度なセキュリティが要求される分野では、セキュリティ対策の一環としてペネトレーションテストが法令やガイドラインで義務付けられている場合があります。

    ペネトレーションテストを実施する会社の適切な選び方

    ペネトレーションテストを実施する際には、専門知識と経験を持つ信頼できる会社を選ぶことが重要です。セキュリティテストの専門家であること、業界の最新の脅威に精通していること、そして過去の成功事例を持つことが、良いサービスプロバイダーの特徴です。また、テストの範囲、方法、報告の詳細さなど、サービスの質にも注意を払う必要があります。

    ペネトレーションテストは経験とセンスが求められる仕事であるため、優良事業者選びはとても重要です。前述したとおり「優秀なペネトレーションテストサービスであればあるほど、短い期間でテストが終了(=侵入に成功)」します。ペネトレーションテストの見積額はエンジニアの拘束時間とも相関しますので、予算にもかかわってきます。大きく以下の3つのポイントを、いいペネトレーションテスト会社選びの参考にしてください。

    1.丁寧なヒアリングにもとづいてシナリオを考えてくれるか

    システム構成や業務手順、ときには組織構成など、実際のサイバー攻撃を行う際に参照するとされる、さまざまな情報をもとにして、実施するサービスの適用範囲、留意事項、制限などを聞き、顧客の目的や要望、要件に沿ったペネトレーションテストの攻撃シナリオを考えてくれる会社を選びましょう。

    2.技術者の経験と勘、クリエイティビティ

    ペネトレーションテストはときに針の穴を通すような隙間を見つけ出して侵入を成功させる業務です。技術者のこれまでの経験、保有資格などを確かめ、技術者の層が厚い会社を選びましょう。

    3.診断実績

    過去のペネトレーションテストの実施社数や件数、リピート社数なども、いいペネトレーションテスト会社選びの参考になります。

    ペネトレーションテストのツール

    ここまで述べてきたとおりペネトレーションテストとは、丁寧なヒアリングのもとで作成した攻撃シナリオに基づいて、経験豊かな技術者が実施するクリエイティブな手作業です。ペネトレーションテストをすべて自動で行うツールは存在しません。

    ただし、ペネトレーションテストを行う技術者が、いわば「工具」「道具箱」のように用いるツールは数多くあります。代表的なものとして、オープンソースプロジェクトである Metasploit が提供する、さまざまなツール群が挙げられます。

    セキュリティ企業に依頼せずに、自分でMetasploit が提供するツールを用いて、公開されている脆弱性などを用いて攻撃を実行することは可能です。しかし、その結果を読み解いたり、優先順位をつけたりするノウハウには経験と知見が必要とされます。

    また、自宅に置いたサーバに研究目的でツールを走らせるような場合でも、不用意にこうしたツールを使用したり、不適切な方法で攻撃用のエクスプロイトを取得・保管したりすると「不正アクセス行為の禁止等に関する法律」「不正指令電磁的記録に関する罪(刑法刑法168条の2及び168条の3)」等にも触れる犯罪となる危険性もあることを忘れてはいけません。

    まとめ

    ・ペネトレーションテストとは、システム・ネットワークへの不正侵入や攻撃が成立するか確
     認するテスト手法の一つ
    ・特にセキュリティが重要視される業界や業種、金融、医療、政府機関、ITサービス業界など

     で、ペネトレーションテストの実施が必要不可欠
    ・脆弱性の有無を判定する脆弱性診断と異なり、ペネトレーションテストでは脆弱性自体を見

     つけることよりも不正侵入や攻撃が成立するかどうかの判断を優先する
    ・事前ヒアリングが丁寧で、優秀な技術者が在籍する、診断実績の多い会社を探す

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像