#ランサムウェア攻撃

2025年6月23日2025年10月14日

Qilinランサムウェア攻撃の実態と対策：Fortinet脆弱性の悪用を解説

Security NEWS TOPに戻る
バックナンバー TOPに戻る

【関連ウェビナー開催情報】
弊社では10月22日（水）14:00より、「ランサムウェア対策セミナー2025 ～被害を防ぐための実践的アプローチ～」と題したウェビナーを開催予定です。最新のランサムウェア攻撃手口と国内外の被害事例を解説するとともに、企業が取るべき実践的な「防御の仕組み」を具体的に紹介します。ご関心がおありでしたらぜひお申込みください。

昨今、Qilin（キリン）ランサムウェアによる攻撃が世界中で大きな話題となっています。特にFortinet製のネットワーク機器を標的とした攻撃は、企業や公共機関に甚大な被害をもたらしており、セキュリティ業界では警戒感が高まっています。本記事では、Qilinの攻撃手法や被害事例、そして企業が今すぐ取り組むべき対策について、詳しく解説します。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

世界中で猛威を振るうランサムウェアグループQilinの概要と被害事例

Qilinは2022年8月ごろから活動を開始したとされる脅威グループで、Fortinet製品の複数の重大な脆弱性を悪用して侵入を試みます。Bleeping Computerの最新報道によれば、2025年6月時点で310件以上の被害がダークウェブ上のリークサイトで公表されているとのことです。被害を受けた組織の中には、中国の自動車部品大手や米国の出版大手、豪州の裁判所サービス局など、グローバルに名だたる企業や機関が名を連ねています。

英国における医療機関への攻撃と社会的影響

特に注目すべきは、英国の病理検査機関への攻撃でしょう。この事件では、ロンドンの主要なNHS病院にも影響が及び、数百件の診療や手術が中止に追い込まれました。医療現場が機能不全に陥る事態は社会全体に大きな衝撃を与え、ランサムウェア攻撃が単なるIT問題ではなく、人命や社会インフラにも直結する深刻な脅威であることを改めて浮き彫りにしました。

Qilinが悪用するFortinet脆弱性の詳細

PRODAFT Flash Alertの報告によれば、主にCVE-2024-21762およびCVE-2024-55591というFortiOSやFortiProxyの重大な脆弱性が悪用されています。これらの脆弱性は、CVSSスコアが9.6と極めて高く、米国CISAも「既知の悪用された脆弱性カタログ（KEV）」に追加し、連邦機関に対策を義務付けています。CVE-2024-21762は2025年2月に修正パッチが提供されていますが、The Shadowserver Foundationの調査によれば、未だに約15万台のデバイスが脆弱なまま運用されているという現状があります。

Qilinの攻撃手法と特徴

攻撃手法としては、FortiGateファイアウォールの脆弱性を突いて侵入し、部分的に自動化されたランサムウェア攻撃を展開するのが特徴です。Bleeping Computerの記事によれば、Qilinはスペイン語圏の組織を中心に攻撃を仕掛けているものの、今後は地域を問わず拡大する可能性が高いとされています。

日本国内での動向と匿名化された被害事例

日本国内でもQilinグループが、ある医療機関や製造業企業への攻撃をダークウェブ上で主張しているとの情報があります。公式な被害報告は現時点で確認されていませんが、今後も注意が必要です。なお、当該企業名はプライバシー保護の観点から匿名とさせていただきます。

企業が今すぐ取り組むべき対策

こうした状況を踏まえ、企業や組織が今すぐ取り組むべき対策について考えてみましょう。まずは、既知の脆弱性に対するパッチ適用を徹底することが最優先です。パッチ適用が遅れるほど、攻撃リスクが高まることは言うまでもありません。さらに、定期的なセキュリティ評価やネットワークの見直し、サプライチェーン全体のセキュリティ強化も欠かせません。CISAやThe Shadowserver Foundationが警告しているように、最新の脅威情報の収集と共有も重要です。

まとめ：Qilinランサムウェア攻撃の教訓と今後の展望

最後に、Qilinランサムウェア攻撃の教訓として、「パッチ適用の徹底」「セキュリティ評価の定期的な実施」「サプライチェーン全体のセキュリティ強化」の3つが企業にとって不可欠な対策であることを強調しておきます。AIや自動化技術の進化によって攻撃手法も高度化している今、企業は常に最新の脅威情報をキャッチアップし、自社のセキュリティ体制を見直す姿勢が求められています。

【参考情報】

Bleeping Computer
https://www.bleepingcomputer.com/news/security/critical-fortinet-flaws-now-exploited-in-qilin-ransomware-attacks/
https://www.bleepingcomputer.com/tag/fortinet/

PRODAFT Flash Alert
https://industrialcyber.co/ransomware/forescout-details-superblack-ransomware-exploiting-critical-fortinet-vulnerabilities/
https://www.cybersecuritydive.com/news/superblack-ransomware-used-to-exploit-fortinet-vulnerabilities/742578/

CISA（既知の悪用された脆弱性カタログ）
https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年6月25日（水）13:00～14:00
「リモートワークの落とし穴を塞ぐ！セキュリティ情報の効率的な収集法＆対策のポイント」

2025年7月2日（水）13:00～14:00
「いまWeb担当者が知るべきプライバシー対応と情報セキュリティ-プライバシー保護規制と進化するサイバー攻撃手法への対応-」

2025年7月16日（水）14:00～15:00
「進化するランサムウェア攻撃-国内最新事例から学ぶ！被害を防ぐ実践ポイント10項目を解説-」

最新情報はこちら

2025年1月31日2025年5月8日

ネットワーク脆弱性診断とは？
【応用編】：企業のセキュリティを守る重要な対策

Security NEWS TOPに戻る
バックナンバー TOPに戻る

このシリーズでは全3回にわたり、ネットワーク脆弱性診断について取り上げます。最終回となる第3回目は応用編として、企業が直面するネットワークのセキュリティ課題について、事例とともに紹介します。最後に、ネットワーク脆弱性診断の実施メリットや適切なサービス選びのポイントを解説します。

企業が直面するネットワークセキュリティの3つの課題

近年、企業ネットワークに対する攻撃はますます高度化・多様化しており、外部からのサイバー攻撃だけでなく、内部要因によるセキュリティリスクも増加しています。企業が直面しがちなセキュリティ課題について主な例を紹介します。

外部からの攻撃
外部からのサイバー攻撃は、組織にとって最大の脅威の一つです。例えば、ランサムウェア攻撃によって重要なデータが暗号化され、多額の身代金を要求される事例が増加しています。また、DDoS攻撃によってウェブサイトやシステムが停止し、業務継続に支障をきたすケースもあります。

内部脅威（内部者の不正行為、設定ミス）
内部者による不正行為や設定ミスも深刻な課題です。例えば、従業員が意図せず機密情報を漏洩したり、不適切なシステム設定が攻撃者に侵入の隙を与えたりするケースもあります。特に、クラウドサービスの設定ミスは外部から気づかれにくいため、重大な被害を引き起こすことがあります。

ハイブリッド環境における複雑な管理
クラウドとオンプレミスのシステムが共存するハイブリッド環境では、ネットワークの複雑さが増し、セキュリティ管理が難しくなっています。例えば、クラウド環境でのアクセス制御ミスや、オンプレミス環境の古いシステムに未適用のセキュリティパッチが攻撃の入り口となることがあります。

これらのセキュリティ課題を放置してしまうと、情報漏洩や業務停止といった直接的な損害だけでなく、顧客や取引先の信頼を失うという長期的な影響も避けられません。これらの課題に適切に対応するためには、ネットワーク環境全体の脆弱性を把握し、的確な対策を講じることが不可欠です。

ネットワーク脆弱性のリスクとは？古いOSやソフトウェア使用の危険性

企業のネットワーク環境で脆弱性が放置されていると、攻撃者に侵入されるリスクが高まります。よく知られるネットワークの脆弱性カテゴリの例は以下の通りです。

古いソフトウェアやOS
サポートが終了したOSや古いバージョンのソフトウェアを使用していると、攻撃者が既知の脆弱性を悪用し、システムに侵入するリスクが高まります。

デフォルト設定や弱いパスワード
ネットワーク機器やアプリケーションがデフォルト設定のままだと、攻撃者が簡単に侵入できる可能性があります。また、『123456』や『password』のように単純な文字列で構成されたパスワードは、総当り（Brute-Force）攻撃の成功率を高めます。

ネットワークの脆弱性を悪用した攻撃事例

ネットワークの脆弱性を悪用した攻撃は、世界中で多くの企業に甚大な影響を与えています。ここでは、実際に起きた攻撃事例の情報が掲載されているサイトの一部をご紹介します。

ランサムウェア攻撃の事例
近年、企業で最も被害件数が増えているサイバー攻撃はランサムウェア攻撃です。ランサムウェアは、個人情報や企業の機密情報などの重要なデータを暗号化することによって、被害者に深刻な損害をもたらします。
【2025年最新】国内外におけるランサムウェアの被害企業一覧とその実態
参考：https://cybersecurity-jp.com/contents/data-security/1612/

DDoS攻撃の事例
【2024年版】国内DDoS攻撃被害企業の例
参考：https://act1.co.jp/column/0125-2/

SQAT.jpでは以下の記事でDoS攻撃・DDoS攻撃に関する情報をご紹介しています。こちらもあわせてご覧ください。
「DoS攻撃とは？DDoS攻撃との違い、すぐにできる3つの基本的な対策」

攻撃者は依然として、セキュリティがあまいシステムを狙っているため、隙をつくらないよう事前に防御しておきたいところです。ネットワーク脆弱性診断を定期的に実施することで、潜在的なリスクを早期に発見し、被害を未然に防ぐことができます。次の項目で、ネットワーク脆弱性診断実施によるメリットについて具体的に紹介します。

ネットワーク脆弱性診断実施によるメリット

ネットワーク脆弱性診断を実施することで得られるメリットは大きく分けて以下の3つになります。

攻撃リスクの低減
ネットワーク脆弱性診断を実施することで、サーバやネットワーク機器、端末などに対する攻撃リスクを大幅に低減できます。ネットワーク脆弱性診断では、情報漏洩やデータ改ざんの原因となるセキュリティホール、構成ミス、OSやミドルウェア、サーバソフトウェアの未適用パッチを事前に特定することによって、どのように対策を講じればよいかがみえてきます。これにより、サイバー攻撃のリスクを未然に防ぎ、ビジネス継続性を確保します。結果的に企業全体のセキュリティレベルが向上するため、自組織がサイバー攻撃の対象となる機会を減らし、安心して業務を進められる環境を整えることができます。

顧客・取引先からの信頼向上
顧客や取引先に対し、情報資産を守るための積極的な姿勢をアピールすることで、信頼度が向上します。診断の実施は、セキュリティコンプライアンスの基準を満たすことにも寄与し、パートナー企業や規制当局からの信頼性を確保します。結果的に、安心感を提供することで取引関係の強化や新規顧客獲得のチャンスを広げ、企業成長を後押しします。

セキュリティ対策コストの削減
ネットワーク脆弱性診断は、長期的な視点で考えると、セキュリティ対策コストを削減する効果があります。診断を通じて、リスクの優先順位を明確化し、効果的かつ効率的な対策を講じることで、不要な出費を回避できます。例えば、全てのシステムやデバイスに無差別に対策を施すのではなく、本当に必要な部分にのみリソースを集中させることが可能です。また、診断の結果をもとに適切な運用改善やセキュリティツールの選定を行うことで、運用コストを最適化します。さらに、セキュリティインシデント発生時の対応コストや業務停止による損失を未然に防ぐことにもつながります。

定期的な脆弱性診断の実施の重要性

脆弱性診断は一度実施したらそれで終わりというものではありません。脆弱性は日々増加し続けるため、診断実施後に適切なセキュリティ対策を行っていたとしても形を変えて自組織のシステムにサイバー攻撃を行う可能性は十分にあります。顧客が安心してサービスを利用し続けられるためにも定期的な診断を実施し、洗い出されたセキュリティ上の問題に優先順位をつけて、ひとつひとつ対処することが重要です。診断ツールの検討に関しては自組織の環境やシステムの特性に合わせたものを選定し、継続的なセキュリティ対策に有効活用できるようにしましょう。

脆弱性診断サービスの選び方

脆弱性診断サービスを選ぶ際には、信頼性と効果的な診断を提供できるベンダーを選定することが重要です。選定時に注目すべきポイントをご紹介します。

ベンダーの実績確認
まず、ベンダーの実績を確認することが大切です。過去に同業種の企業での診断経験があるか、セキュリティに関する認定資格を持つ専門家がいるかを確認しましょう。例えば、独立行政法人情報処理推進機構（IPA）が公開している「情報セキュリティサービス基準適合サービスリスト」には、経済産業省が策定した「情報セキュリティサービス基準」に適合した信頼性の高い事業者のサービスが掲載されています。また、顧客レビューや導入事例の有無も信頼性を判断するポイントです。

診断範囲やツールの使用状況
提供される診断範囲や使用ツールを確認しましょう。ネットワーク、アプリケーション、クラウド環境など、対象範囲が自社のセキュリティニーズに合致していることが重要です。また、自動診断ツールと手動診断を組み合わせたサービスは、より精度の高い結果が期待できます。

コストパフォーマンスとアフターサポート
コストパフォーマンスも重要なポイントです。見積もり金額だけでなく、診断後のレポート作成や改善提案、アフターサポートが充実しているかを確認しましょう。一時的な診断だけでなく、継続的なサポートを提供しているベンダーは、長期的なセキュリティ向上に貢献します。

また、選定時は価格だけで判断せず、サービス内容やサポート体制も慎重に検討しましょう。診断結果が形骸化しないよう、実行可能な改善提案を行うベンダーを選ぶことも重要です。

適切な脆弱性診断サービスを選ぶことで、ネットワークのセキュリティリスクを大幅に軽減できます。弊社ブロードバンドセキュリティが提供するSQAT脆弱性診断サービスでは、診断範囲の柔軟なカスタマイズや専門家によるサポートを提供しています。詳細はこちらをご覧ください。

SQAT脆弱性診断サービスの優位性

SQAT®（Software Quality Analysis Team）サービスは「システムの弱点をあらゆる視点から網羅する」「正確かつ客観性の高いレポートをする」「お客様にわかりやすく説明する」が特徴です。お客様は、すべての問題部位と脆弱性のポイントの把握、リスクに対する明確な理解、具体的な対策立案のヒントを得ることが出来ます。

SQAT脆弱性診断サービスの特長

外部からの脆弱性診断のみご提供するのではなく、様々な情報セキュリティ対策の観点からサービス・ソリューションを組み合わせ、お客様にとって最適解をご提案するのが、SQAT脆弱性診断サービスの特徴です。

まとめ

ネットワーク脆弱性診断は、企業のセキュリティを守るために不可欠な対策の一つです。本記事では、外部攻撃、内部脅威、ハイブリッド環境の管理の複雑さという主要なセキュリティ課題を解説しました。特にランサムウェアやDDoS攻撃の事例では、情報漏洩や業務停止など深刻な被害が発生しています。脆弱性診断を実施することで、未適用パッチや設定ミスなどを特定し、サイバー攻撃のリスクを低減させることが可能です。また、定期的な診断は顧客や取引先の信頼向上にも寄与し、長期的にはコスト削減や効率的なリソース配分に繋がります。診断サービス選定時には、ベンダーの実績、診断範囲、コストパフォーマンス、アフターサポートの確認が重要です。特に弊社のサービスである、SQAT脆弱性診断サービスは柔軟な診断範囲や専門家のサポートを特徴とし、企業のセキュリティ強化を総合的に支援します。定期的な診断の実施で潜在リスクを早期発見し、セキュリティレベル向上を図りましょう。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年11月8日2025年5月8日

サイバー攻撃者は何を狙うのか？～サイバー攻撃の準備段階～
第１回侵入するための偵察活動

Security NEWS TOPに戻る
バックナンバー TOPに戻る

攻撃者はターゲットの目星を付けるためや、侵入を計画・実行するために情報を収集します。この情報収集活動が偵察活動です。サイバー攻撃などが発生したとき、たいてい注目されるのはどこから入られたのか、どういった痕跡が残されているのかといった侵害行為の初動（初期アクセス）の時点からですが、攻撃者は侵害行為を始める前に偵察活動と、侵害行為のための足掛かりづくりを行います。シリーズ第1回目の今回はこの偵察活動についてお伝えします。

偵察活動の例

ランサムウェア攻撃グループ「LockBit」

2024年初頭に国際法執行機関による捜査の結果、一部関係者が逮捕されたランサムウェア「LockBit」ですが、LockBitも偵察活動の一環として他の脅威アクターからフィッシングや脆弱なアプリ、ブルートフォース攻撃で取得したRDPアカウントの情報をアフィリエイト経由で入手していたといわれています*1。

Cobalt Strikeを悪用するランサムウェアグループ

本来は正規の攻撃再現ツールであるCobalt Strikeですが、その高い機能性からランサムウェアギャングなどによる悪用が行われているソフトウェアでもあります*2。過去に行われたCobalt Strikeを悪用したキャンペーンではフィッシング手法が使われていることも周知されています*3。また、Cobalt StrikeにはBeaconという機能*4があり、この機能はターゲットのスキャンとソフトウェアの種類とバージョンの特定を行うことができます。正しく使用すればアセット管理・インベントリ管理にも使えるのですが、残念なことにこの機能が悪用されたことがあります。この悪用はフィッシング後に実行されていますが、偵察活動の一環として使用された可能性があることからこちらの項でご紹介します。

Volt Typhoon

ランサムウェアギャングやマルウェア以外の中でも、我々にとって比較的身近な、国家支援型の脅威アクターの中で名前が挙げられるグループの一つが「Volt Typhoon」でしょう。JPCERT/CCから詳細なレポートも出ており、その活動の特徴から侵害の痕跡をもととした対策があまり効果的でない点について指摘されています。これはVolt Typhoonがターゲットとするものがアクティブディレクトリ（AD）に限定されること、偵察活動と実際の侵害行為を時系列的に完全に切り離して実行していることの2点によります。つまり、Volt Typhoonや類似のアクターに対しては偵察行為の時点で発見するということが重要となります。

ランサムウェアの脅威画像 — 出典：JPCERT/CC「Volt Typhoonの攻撃キャンペーンにどう備えていくべきなのか　～将来の攻撃に備えるThreat Huntingのアプローチについて考える～」より引用

JPCERT/CCは豪州通信情報局豪州サイバーセキュリティセンター（ASD’s ACSC）主導のもと各国と協力の上、2024年8月にWindowsのイベントログと脅威検出についてのベストプラクティスを発表しています*5。これはシステム内規制戦術をとる脅威アクターをターゲットとした文書ですが、Volt Typhoonもケーススタディとして取り上げられています。Windows環境、特にAD環境を運用されている組織の方はぜひこの文書を参考にログの取得方法の見直しをすることをおすすめします。

偵察活動の一覧

最後にMITRE ATT&CKで偵察活動として挙げられているものの一覧を掲載します。

弊社では11月20日（水）13:50より、「中小企業に迫るランサムウェア！サプライチェーン攻撃とは -サプライチェーン攻撃から企業を守るための取り組み-」と題し、ウェビナーを開催予定です。こちらでは以下でご紹介するMITRE ATT＆CKで挙げられている偵察活動の例について、講師が解説いたします。ご関心がおありでしたらぜひお申込みください。詳細はこちら。

表の見方

MITRE ATT&CK ID: MITRE ATT&CKで活動に対して付与されているID
名称：MITRE ATT&CKが活動に対して付与した名称
備考：記載があるものはよく偵察活動で実行されているものについて弊社で記載したもの

偵察活動の一覧

MITRE ATT&CK ID		名称	備考
T1595		アクティブスキャン
	0.001	IPブロック（パブリックIP）のスキャン
	0.002	脆弱性スキャン	備考攻撃者は悪用できそうな脆弱性を見つけるために脆弱性スキャンを実行するケースが多い。公開アセットに対する脆弱性スキャン自体を防ぐことは困難であるため、不要なアセットを公開しないことや適切なアクセス制御を行うこと、公開アセットの脆弱性を最低限に抑えること、ネットワークトラフィックの中身やフローから脅威を発見する体制を整えることがポイントとなる。
	0.003	ワードリストスキャン　注 1)
T1592		ターゲットのホスト情報の収集
	0.001	ハードウェア
	0.002	ソフトウェア	備考攻撃者は複数の手段でホスト情報を収集する。侵害したWebサイトを経由した未来のターゲット情報（Webブラウザ関連の情報）の収集、フィッシングサイトの訪問者からのユーザーエージェント情報の取得、サプライチェーン攻撃のためのソフトウェアコードの情報や特定のソフトウェアを使用しているコンピューターリストの収集などがある。
	0.003	ファームウェア
	0.004	クライアント設定　注 2)
T1592		ターゲットの認証・個人情報の収集　注 3)
	0.001	認証情報	備考攻撃者はありとあらゆる手段を用いて認証情報を収集する。単純なログイン情報の取得だけでなく、ターゲット組織内のユーザーの個人用・ビジネス用両方のアカウント同じパスワードを使い回しているケースなどを狙って認証情報を取得する。また、過去に情報漏洩の被害に遭った企業をターゲットにブルートフォース攻撃を実行したり、特定の機器やソフトウェアの認証情報を収集したり、SMS経由でスピアフィッシングメッセージを送信し認証情報を窃取することもある。偵察行為の時点では防御や検知が困難なため、実際に悪用された時点での検知が重要となる。
	0.002	メールアドレス	備考攻撃者は、ソーシャルメディア、公開Webサイトの情報の検索、Microsoft 365環境用のアドレスを公開APIなどの手段を利用して入手することができる。入手した情報はフィッシングやブルートフォース攻撃に利用される可能性がある。もともとメールアドレスは外部公開を前提とした情報であるため防御は困難だが、メールアドレスやユーザー名を探索しようとする目的のトラフィックを検知することで攻撃の予兆を把握することができる。
	0.003	従業員名	備考攻撃者はフィッシングなどで相手を信用させるため、アカウント侵害の際に悪用するため、従業員情報を収集する。SNSやターゲットのWebサイトの検索などで容易に収集可能なため、偵察行為の時点では防御や検知は困難である。実際に悪用された時点での検出が重要となる。
T1592		ターゲットのネットワーク情報の収集
	0.001	ドメインプロパティ　注 4)
	0.002	DNS
	0.003	ネットワークの信頼関係　注 5)
	0.004	ネットワークトポロジー
	0.005	IPアドレス
	0.006	ネットワークセキュリティアプライアンス
T1591		ターゲットの組織情報の収集
	0.001	物理ロケーションの推定
	0.002	取引関係の推定	備考攻撃者は、ターゲティングに利用できる取引関係の情報情報（ハードウェア・ソフトウェアのサプライチェーンやセカンドパーティー・サードパーティーの組織・ドメインの情報など）を収集する。収集した情報は他の偵察行為や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。防御や検知は困難で、この段階では不正確な判定につながる可能性が高いため、悪用された時点での検出が重要となる。
	0.003	ビジネスのテンポの推定　注 6)
	0.004	役職などの推定	備考攻撃者は、ターゲット設定のために、組織内の主要な人員の情報やアクセスできるデータやリソースなどの情報を収集する。フィッシングなどによる情報収集から、最も効率的にデータにアクセスできるアカウントはどれか、自分が情報をそろえているアカウントがアクセスできるデータの範囲はどこかといった情報を確認し、侵害すべき対象を見極める。収集した情報は他の偵察行為や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。偵察行為の時点では防御や検知は困難なため、悪用された時点での検出が重要となる。
T1598		情報収集のためのフィッシング
	0.001	スピアフィッシングサービス　注 7)
	0.002	悪意のあるコードなどを含む添付ファイルによるスピアフィッシング	備考スピアフィッシングでは、攻撃者がソーシャルエンジニアリングの技法を用いて、ターゲット企業のユーザーに対して悪意あるコードなどを含む添付ファイルを含んだメールを送信し、その添付ファイルを開かせ、認証情報などの悪用可能な情報を収集する。防御方法としては、SPFやDKIM、DMARCといったメールサーバの基本設定を行うことや、フィルタリング、ユーザートレーニングが推奨されている。検知方法としてはメールのモニタリングやフィルタリング、ネットワークトラフィックの監視や分析が有効。
	0.003/td>	リンクを悪用したスピアフィッシング	備考スピアフィッシングのうち、メッセージ内にリンク挿入したものやトラッキング用のタグを含むもの。リンク先自体は正規のWebサイトの場合もあれば、リンク先は悪意のあるWebサイトの場合もあり、攻撃者はサイトへ誘導したうえで認証情報を窃取する。またトラッキング用のタグを使用し、ユーザーが対象のメールを開いたかどうかを確認する。この場合も防御方法としては、SPFやDKIM、DMARCといったメールサーバの基本設定を行うことや、フィルタリング、ユーザートレーニングが推奨される。検知方法も同様で、メールのモニタリングやフィルタリング、ネットワークトラフィックの監視や分析が有効。
	0.004	音声によるスピアフィッシング	備考音声通信（電話）を用いたスピアフィッシング。攻撃者は取引先やテクニカルサポートスタッフなどの信頼できる相手を装い機密情報を聞き出そうとする。また、フィッシングメッセージから電話を掛けるように誘導するパターンや別の偵察活動で得た情報を利用し、ターゲットの信頼を得ようとすることもある。実例として、認証情報の窃取、サポートデスクに連絡して権限昇格を要求する、悪意のあるWebサイトへの誘導などがある。ほかのスピアフィッシングに比べると防御・検知の手段が限られており、防御はユーザーのセキュリティ教育、検知はコールログの監視などにとどまる。
T1597		閉鎖的・限定的な情報源からの情報収集　注 8)
	0.001	脅威インテリンジェスベンダー　注 9)
	0.002	技術データの購入　注 10)
T1596		公開技術データベースの検索　注 11)
	0.001	DNS/Passive DNS
	0.002	WHOIS
	0.003	デジタル証明書
	0.004	CDN
	0.005	公開スキャンデータベース
T1593		公開Webサイト・ドメインの検索	備考公開Webサイトやドメインといった組織の管理外の公開資産のため、防御・検知は困難なものが多い。
	0.001	ソーシャルメディア	備考攻撃者はSNSを利用してターゲット個人を特定し、フィッシングメールを送信したり、なりすましをしたり、個人情報を収集したりする。収集した情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。偵察行為の時点での防御・検知は困難なため、悪用された時点での検出が重要となる。
	0.002	検索エンジン
	0.003	コードレポジトリ	備考攻撃者はGitHubなどの公開コードレポジトリを検索し、ターゲット組織の情報（認証情報・ソースコード）を収集する。収集した情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。防御はアプリケーション開発者向けのガイドの頒布や監査の実施が有効とされている。ただし偵察行為の時点では検知は困難なため、悪用された時点での検出が重要となる。
T1594		ターゲット所有のWebサイトの検索	備考企業は事業活動の一環として会社情報の公開が不可避ですが、攻撃者はターゲット所有のWebサイトから様々な情報の収集を試みる。収集された情報は他の形態の偵察や攻撃の足掛かりづくり、初期アクセスに展開される可能性がある。実例として、コンタクトフォームを経由したフィッシングメールの送信、ターゲット企業の情報を計画に反映する、ターゲット個人の学術的関心事の調査などが挙げられる。

出典：MITRE ATT&CK^®（https://attack.mitre.org/tactics/TA0043/）を元に弊社和訳、備考欄追記

注：
1)　一般的に使用されるファイル名、ファイル拡張子、特定のソフトウェア固有の用語をスキャンするもの。他の偵察技術から収集した情報をもとにカスタムしたワードリストを使う場合も。Webサイトのイースターエッグや古い脆弱性を含むページ、管理用の隠しページなどを掘り起こして悪用することを目的に総当たりでディレクトリとページの構造をスキャンすることも。
2)　Office 365のテナントからターゲットの環境情報を収集する例などがあります。
3)　秘密の質問やMFA（多要素認証）の設定なども含まれる。
4)　ドメイン情報から読み取れる情報（氏名・電子メールアドレス・電話番号などの個人情報とネームサーバー情報やレジストラなどの情報）、クラウドプロバイダが関係する場合はその公開APIからのレスポンスなどで取得できる情報が該当する。
5)　ネットワーク間の相互信頼・依存関係などが対象。例えばAD間の相互信頼関係や、サプライチェーン内でのネットワークの相互信頼・依存関係が該当する。
6)　営業時間、定休日、出荷サイクルなどの情報。
7)　サードパーティーのサービスを介してスピアフィッシングメッセージを送信し、機密情報（認証情報など攻撃への悪用ができる情報）を聞き出すことを指す。SNS、個人へのメール、企業が管理していない各種サービスからのメッセージなどありとあらゆる、企業よりもセキュリティポリシーが緩いサービス上で実行される。
8)　評価の高い情報源や有料購読の情報源（有料の時点である程度の品質が期待される）、課金で情報を買うデータベースなどから情報を収集するケースが想定されている。代替手段としてダークウェブやサイバー犯罪のブラックマーケットからの情報購入も挙げられている。
9)　脅威インテリンジェスベンダーの有償データを検索して標的設定用のデータを探すケース。通常こういったデータは社名などの機密情報を匿名化していることが大半だが、標的の業種、成功したTTP(Tactics, Techniques and Proceduresの略。戦略・技法・手順を指す)や対策などの侵害に関するトレンドが含まれているので、ターゲットに合致する情報が含まれている可能性がある。
10)　評価の高い情報源や各種データベースからの情報の購入、代替手段としてのダークウェブやブラックマーケットからの情報購入が挙げられているが、代表例はダークウェブから認証情報が購入された事例となっている。
11)　公開技術データベースの特性上、防御・検知が困難なものが多い。いずれも初期アクセスの時点での検知が重要となる。

ウェビナー開催のご案内

2024年11月13日（水）14:00～15:00
「ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-」

2024年11月27日（水）12:50～14:00
【好評アンコール配信】
「Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-」

最新情報はこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年2月9日2025年5月12日

ランサムウェアとは何か -ランサムウェアあれこれ 1-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ランサムウェアはマルウェアの一種です。この記事では、ランサムウェアの基本的な概念から、語源等について解説します。さらに、ランサムウェアがどのようにしてシステムに侵入し、被害を引き起こすのか、特に昨今知られるVPN機器やリモートデスクトップ接続からの感染について解説します。

ランサムウェアには様々な攻撃手法、ランサムウェア攻撃グループが次々に登場しています。攻撃の手口が「バラマキ型」から「標的型攻撃」になるなど、進化し続けています。しかし、セキュリティ対策を講じることで、攻撃を未然に防ぐことも可能です。脆弱性対策や認証管理、従業員教育などセキュリティ対策の基本が効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

このシリーズを通じて、ランサムウェアの知識を深めることで、企業・組織がサイバー攻撃に備えるための対策を講じることができるようになることを目指します。

マルウェアの一種である「ランサムウェア」

ランサムウェアとはマルウェアの一種で、感染したコンピュータやシステムにあるファイルやデータを暗号化し、アクセスできないようにした上で、元に戻すことと引き換えに金銭（身代金）を要求するものの総称です。

マルウェアとは、ユーザのコンピュータやネットワークに侵入し、損害を与えるか、被害者から情報を盗む目的で設計されたソフトウェアです。ランサムウェア以外の代表的なマルウェアとしては、以下のようなものが挙げられます。

ウイルス…ユーザによりファイルをクリックされ実行されることで自己増殖を行い、データの破壊などの有害な動作を行う
ワーム…ワームだけで自己増殖が可能で、感染したコンピュータだけに影響を及ぼすものではなく、コンピュータネットワークを経由して他のコンピュータに拡散する
トロイの木馬…無害なあるいは有益なプログラムに偽装してユーザを油断させ、インストールを行わせるマルウェア。ウイルスやワームと異なり自己増殖することはなく、主にバックドアと呼ばれる不正な裏口を作ったり、オンラインバンキングなどのパスワードを盗んだり、別のプログラムをダウンロードするなどの動きをする
スパイウェア…個人や組織の情報を同意なしに収集したり、その情報を攻撃者に向けて送信したりすることを目的としたマルウェア
アドウェア…多くはユーザが知らないうちにインストールされ、インターネット閲覧の際にユーザが望まない広告を表示する。すべてが違法とは言えない場合もある

ランサムウェアは他のマルウェアと比較すると、主な目的が金銭の獲得であることに特徴があります。

ランサムウェアの語源

「ランサムウェア」とは、英語の「Ransom（ランサム）」と「Software（ソフトウェア）」を組み合わせた造語です。この名前は、この種のマルウェアが行う主な行為、すなわち被害者のコンピュータシステムやデータにアクセスを制限し、それらの解放や復元を身代金と交換するという性質に由来しています。

「Ransom」…身代金のこと。誰かまたは何かを人質に取り金銭や他の条件を要求する行為
「Software」…コンピュータに動作を指示するプログラムやアプリケーションの総称

ランサムウェア攻撃の主な特徴は、以下のとおりです。

データの暗号化…ランサムウェアは感染したコンピュータやファイルのデータを暗号化し、ユーザのデータにアクセスできないようにします。データが暗号化されてしまうと元の内容を読み取れなくなるため、業務に大きな支障をきたすことになります。

身代金の要求…データが暗号化された後、攻撃者は被害者に通知を送り、データの復号（元の読み取り可能な状態に戻すこと）のために身代金を要求します。身代金の支払い方法には、仮想通貨などの匿名性の高い方法が用いられることもあります。身代金を支払ったとしても、データが完全に復旧する保証はありません。

ランサムウェアの種類

様々な攻撃手法（ランサムウェア攻撃グループ）が次々に登場しています。以下はその一部です。


Avaddon	2020年初頭に登場。2020年6月に日本をターゲットにした攻撃を実施し、複数の企業や団体が被害を受けた
DearCry	2021年に存在が確認され、Microsoft Exchange Serverの脆弱性を悪用することで多くの企業や組織が影響を受けた
EKANS	産業制御システム（ICS）関連の機能を停止させる能力がある。2019年12月に発見され、2020年6月には国内の大手自動車メーカーで工場が停止してしまう被害をもたらした。被害に遭った自動車メーカーを狙った標的型攻撃の可能性があるといわれる
Revil	2019年に登場。攻撃者はRaaS（Ransomware as a Service）を利用して攻撃を実行する。2021年に米ITシステム管理サービスを標的としたランサムウェアサプライチェーン攻撃により大規模な被害をもたらした後、活動を停止していたが、同年9月に活動を再開している
Conti	2020年5月に確認され、データの暗号化に加え、データを公開することを脅迫する「二重脅迫」の手口を使用することが特徴で、特に医療機関などを含む多くの組織に影響を与えている
LockBit	2019年に初めて確認され、現在も攻撃手法を進化し続けている。2021年にはLockBitの進化版である「LockBit 2.0」、2022年には「LockBit 3.0」が登場し、2023年7月には国内物流組織への攻撃、11月には米国の病院施設への攻撃に使用され、サービス停止に追い込まれる事態が発生した
BlackMatter	2021年7月に確認され、エネルギーインフラ企業など狙ったランサムウェア「DarkSide」の攻撃手法を引き継ぎ、発展させたものといわれている。米国の主要食品供給会社がBlackMatterによるランサムウェア攻撃の被害に遭った
Night Sky	2021年末から2022年初頭にかけて登場。Apache Log4jの脆弱性を悪用し、国内の企業を対象に大きな被害の影響を与えた。

ランサムウェアの感染経路

ランサムウェアを含むマルウェアの感染経路は様々ありますが、以下に主な感染経路の分類と説明をします。

マルウェア（ランサムウェア）の主な感染経路

昨今ではこれ以外の感染経路として、VPN機器・リモートデスクトップ接続からの侵入が知られている。

・VPN機器からの侵入
VPN機器の脆弱性を悪用して、ネットワークに侵入。主な原因は、未修正の脆弱性や脆弱性な認証情報の使用など
・リモートデスクトップ接続からの侵入
外部に公開されているリモートデスクトップに対し、攻撃を仕掛け、ユーザの認証情報を使用し、不正にアクセス。これにより、接続先のコンピュータの管理者アカウントが乗っ取られ、マルウェアをダウンロードされる恐れがある。主に接続する端末に脆弱性がある場合などが原因

警察庁が発表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、令和５年上半期に都道府県警察から警察庁に報告のあった企業・団体等のランサムウェアの被害件数は103件でした。被害に遭った企業へ行ったアンケート調査で感染経路への質問を行ったところ、49件の回答があり、約8割以上がVPN機器・リモートデスクトップ接続からの侵入であることが報告されています。

VPN機器・リモートデスクトップ接続からの侵入

昨今VPN機器とリモートデスクトップ接続からのランサムウェア感染が知られてきたのは、2020年の新型コロナウイルス感染拡大の影響を受け、多くの企業がテレワークを導入したことが主な背景にあると考えられます。テレワークを導入したことで、従業員が自宅等からオフィスネットワークにアクセスする必要が生じ、VPN機器とリモートデスクトップがより頻繁に使用されるようになりました。攻撃者は、VPN機器やリモートデスクトッププロトコルに存在する脆弱性を悪用し、システムに侵入します。未修正の脆弱性が攻撃の入口となり、感染が広がります。さらにテレワーク環境下では、自宅のルータがデフォルトの設定のままであったり、外部からの業務システム利用のために導入したクラウドサービスのアクセス制限に不備があったりするなど、セキュリティ上の弱点があるため、リスクを増大させます。

ランサムウェアの攻撃手口は、時間とともに大きく進化し、より複雑かつ高度になっています。初期のランサムウェア攻撃は主に「バラマキ型」と呼ばれる手法を用いていました。この手法では、攻撃者はランダムに多くのコンピュータにマルウェアを配布し、その中の一部が感染するのを期待していました。このアプローチは、フィッシングメールや悪意のあるウェブサイトを通じて、広範囲にわたる無差別的な攻撃を行うことが特徴です。

しかし、最近では攻撃手法が特定の組織や個人をターゲットにした「標的型攻撃」へとシフトしています。これは、特定の企業や政府機関など高い価値のあるデータを持つターゲットに焦点を当てたもので、攻撃はより精密かつ計画的に行われます。攻撃者はしばしば、その組織のセキュリティ体制やネットワーク構造を事前に調査し、特定の脆弱性やセキュリティの盲点を狙います。

ランサムウェア攻撃の対象がクライアント（従来のランサムウェア攻撃の対象）から、サーバや業務システムを標的にした攻撃へ変化したのは、サーバが停止した場合の企業・組織への影響が大きく、攻撃者にとってより多くの身代金が手に入る可能性が高いためです。サーバでは組織内の重要情報が保存されており、データ暗号化解除の脅迫をかけやすいため、企業・組織のサーバが攻撃対象に狙われやすくなります。

ランサムウェアの脅威は日々進化しており、その対策もまた常に更新される必要があります。この記事が、ランサムウェアの理解を深め、適切なセキュリティ対策を促進する一助となれば幸いです。

Security NEWS TOPに戻る
バックナンバー TOPに戻る