

インターネットのダークウェブ上に出されたアスクルを攻撃したとされるグループ「RonsomeHouse（ランサムハウス）」の犯行声明（写真：筆者提供）

【写真】「もともと、Qilinはほぼ欧米狙いが多かったのですが…」とGMOサイバーセキュリティ byイエラエ 執行役員の阿部慎司氏は話す

アサヒグループホールディングス（以下、アサヒHD）やアスクルといった日本を代表する大企業が相次いでランサムウェア攻撃の被害に遭い、基幹業務や物流が長期間停止するという深刻な事態に見舞われています。

アサヒHDは「Qilin（キリン）」、アスクルは「RansomHouse（ランサムハウス）」というグループから攻撃を受けたとされ、ともにインターネットのダークウェブ上に犯行声明が出されています。

これはもはや対岸の火事ではなく、あらゆる企業にとって事業継続を脅かす現実的なリスクです。

儲かるターゲットを選別、日本企業は優良顧客？

多くの人が持つ「PCがウイルスに感染し、ファイルが開けなくなる」といったイメージは、もはや過去のものとなりつつあります。



現代の攻撃者はより巧妙に、より深く、そして被害が最も甚大になる企業の心臓部を狙っています。最新のランサムウェア攻撃の実態はどうなっているのか。そして、私たちはどこに目を向け、何をすべきなのか。

サイバーセキュリティの最前線で対策を指揮する、GMOサイバーセキュリティ byイエラエ株式会社 執行役員の阿部慎司氏に話を聞きました。

アサヒHDを攻撃したとされる「Qilin（キリン）」は、比較的活動期間が短いグループですが、その背景にはサイバー犯罪の構造的な変化があると阿部氏は指摘します。



GMOサイバーセキュリティ byイエラエ 執行役員の阿部慎司氏（写真：筆者提供）

かつて最大手だった「LockBit（ロックビット）」が法執行機関によって解体された後も、ランサムウェアに関わる活動は止まらず、新たなグループが台頭している流れの1つだというのです。

Qilinは「RaaS（ランサムウェア・アズ・ア・サービス）」と呼ばれるビジネスモデルを構築しています。ランサムウェアという攻撃ツールを開発するプラットフォーマーが、それを利用して実際に攻撃を仕掛ける実行者（アフィリエイター）を募集し、得た身代金を分配する仕組みです。Qilinはプラットフォーマーとして、効率的に儲けるための基盤を提供するのです。

アスクルを攻撃したのは「RansomHouse（ランサムハウス）」というグループです。2022年ごろから活動が確認されており、ランサムウェアで暗号化する前に機密データを盗み出し、二重脅迫する手口で知られています。今回も、1.1テラバイトの顧客情報を盗み出したと声明を出しました。

彼らが狙うのは、より被害規模が大きくなる大企業です。数で稼ぐよりも、1件あたりの期待値を上げる戦略です。そして今、その矛先が日本企業に向けられ始めています。

「もともと、Qilinはほぼ欧米狙いが多かったのですが、最近、アジアに進出してきました。支払いに応じる傾向があると見られる獲物がたくさんいそうだから来るので、もしかしたら日本の企業は身代金を簡単に払うようだぞ、という感じになったとすると、今後も多分ターゲットとして狙われることが増えていく可能性があります」（阿部氏）

攻撃者もコストをかけています。儲かる見込みがなければ、わざわざ手間のかかる日本企業を狙いません。サイバー犯罪者とはいえ、一般的なビジネスと同様にROI（投資対効果）を高めようと努力しています。誰かが身代金を支払ったという事実が、彼らのマルウェアビジネスを継続させているのです。

身代金は払うべきなのか…

では、もし被害に遭ったら身代金を払うべきなのでしょうか。阿部氏は「まずは弁護士に相談してください」と前置きしました。犯罪組織への支払いが、自社のコンプライアンス違反や株主代表訴訟のリスクに直結する可能性があるため、法的な問題をクリアする必要があるためです。もし、支払っても被害を復旧してくれないというリスクもあります。

一方で、攻撃者側にもビジネスとしての論理が働きます。

「攻撃者側が長くビジネスを続けたいのであれば、身代金が支払われれば、復旧させるはずです。払ったら復旧できると思わせたほうが支払う可能性が高まるからです」（阿部氏）

とはいえ、それは確率論でしかありません。被害額と要求額を天秤にかける以前に、法的なリスク、そして何より犯罪を助長するという現実があります。

ただし、例えば病院のシステムがランサムウェア被害に遭い、急いで復旧させないと人命に関わる事態となれば、判断は難しくなります。ここに、ランサムウェア対応の根深い問題が横たわっています。

標的は「仮想基盤」へ、被害の最大化狙う攻撃者

ランサムウェア攻撃は、どのようにして企業システムの中枢に到達するのでしょうか。侵入の入り口として、VPNやRDP（リモートデスクトップ）といった外部からのリモートアクセス経路の脆弱性が狙われる点は、今も昔も変わりません。

それに加え、最近ではセキュリティ装置そのものや、公開されているサーバーの未知の脆弱性を悪用するケースも目立ちます。しかし、阿部氏が警鐘を鳴らすのは、侵入「後」のターゲットの変化です。

「以前は、端末が狙われていましたが、最近は仮想化基盤そのものや基幹システムを狙っています。サービスインフラそのものをすべていきなり暗号化できるので、効率がいいのです」（阿部氏）

攻撃者の目的は、被害規模を最大化させることです。社員個人のPCを1台ずつ暗号化するよりも、基幹システムが乗っている仮想基盤などを丸ごと暗号化するほうが、はるかに効率的で、事業に与えるダメージも壊滅的です。そうなれば、連携するすべてのシステムが停止し、身代金の要求額を吊り上げる交渉材料となります。

なぜ、今になってサーバー側が狙われるのでしょうか。そこには防御の非対称性が関係しています。多くの企業がPC端末にはEDR（Endpoint Detection and Response）などの高度なセキュリティソフトを導入し、防御が固くなってきました。

一方で、社内ネットワークの内側にあるサーバー群は、可用性重視を理由に、パッチ適用やセキュリティ対策が手薄になっているケースが多いのが現状です。攻撃者から見れば、一度侵入してしまえば防御が薄く、しかも最も価値のある情報資産が眠るサーバーセグメントは、格好の標的となっているのです。

ボイスフィッシングで情シス担当者を巧みにだます

攻撃対象がPCからサーバー基盤へ移行するに伴い、攻撃者が内部で探す情報や、標的とする「人」も変化しています。従来は、AD（アクティブディレクトリ）を掌握して全社員の端末を一斉に暗号化するのが主流でした。しかし今は、サーバーセグメントや仮想基盤の管理者権限を探します。

「端末を狙うのであれば、どの社員を狙ってもいいのですが、仮想基盤や基幹システムを狙うのであれば、システム管理者や開発エンジニアを狙う必要があります。最近は、標的に関しても少しずつ変化してきているのです」（阿部氏）

とくに開発エンジニアを狙う手口は巧妙化しています。例えば、開発者が利用する「GitHub Desktop」というツールの偽物を用意し、マルウェアに感染させて認証情報を抜き取る手口が9月上旬に発見されました。

さらに、「npm」のようなパッケージ管理システムに汚染されたライブラリを紛れ込ませ、正規のアップデート手順を踏んだサーバーにバックドアを仕込むといった、サプライチェーン攻撃も観測されています。

さらに古典的かつ強力なのが、「ボイスフィッシング」です。

「ボイスフィッシングでは、まず会社の代表電話に『○○サービスのサポートです』と連絡してきます。『御社が使っているクラウドでセキュリティインシデントに巻き込まれた可能性があるので、システム担当とつないでください』と言い、システム担当に代わったら『確認のためワンタイムパスワードをわれわれに共有いただければその場で調べます』とだますのです。すると、本当は人に教えてはいけないのに教えてくれることもあります。そうなれば、侵入成功です」（阿部氏）

このようなソーシャルエンジニアリングは、GMOサイバーセキュリティ byイエラエが実施する侵入テスト（ペネトレーションテスト）でも実際に成功事例があるそうです。システムの脆弱性だけでなく、人間の「信頼」や「焦り」といった心理的な脆弱性を突く攻撃は、防御がとても難しいのが課題です。

防御の5ステップと、「ハンティング」という視点

進化を続けるサイバー犯罪の脅威に対し、企業はどのように防御網を構築すべきでしょうか。阿部氏は、5つの重要なポイントを挙げてくれました。

第1に「侵入の可能性を減らす」こと。VPNやリモートデスクトップなど、外部に公開された「入り口」を正確に把握し、セキュリティパッチを適用し続けることが重要です。これらの資産管理と脆弱性管理は基本ですが、徹底する必要があります。

第2に「侵入に早く気付く」こと。ここでEDRが活躍しますが、阿部氏は「今まではパソコンに入れていましたが、今はサーバーが狙われています。やはり、サーバーセグメントにEDRを入れておく必要があります」と、監視対象をサーバー側に広げる重要性を強調しました。

第3に「ダメージの最小化」。万が一侵入されても被害を局所化するため、ネットワークを細かく分離するマイクロセグメンテーションといったアーキテクチャ上の工夫です。

第4に「復旧スピード」。単なるバックアップだけでなく、システムを迅速に再構築するリストア戦略がカギを握ります。「IaC（Infrastructure as Code）」のように、インフラの設定をコード化しておけば、短時間で同じ環境を立て直すことも可能になります。

そして最後に「計画と訓練」です。とくに、実際にシステムが停止したことを想定した「リストア訓練」を平時から行っておかなければ、有事には動けません。

しかし、攻撃者もEDRの検知ロジックを回避する技術を日々研究しています。そこでEDRの自動検知を補完する「ハンティング」と呼ばれる領域が注目されています。

「アラートが出ていなかったとしても、攻撃者の観点を持った専門のアナリストがEDRにたまっている生データを見ることで、潜在的な変な動きに気が付くこともあります。最後は、サイバー犯罪者とわれわれの知恵比べになります」（阿部氏）

「開発者が狙われている」意識改革と予算確保が急務

巧妙化するランサムウェア攻撃。その対策において、今最も意識が薄く、危険な穴となっているのが「人」、とくに開発者のセキュリティ意識だと阿部氏はアドバイスしてくれました。

「今、最も気になるのが、開発者が狙われているというところです。開発者のあなたが狙われていますというメッセージがまだ広まっていないので、危機意識がちょっと薄いのかな、と感じます。開発者はサイバー犯罪の対象になっていることを自分ごと化して、対策を強化したほうがよいと思います」（阿部氏）

ボイスフィッシングは教育で対応できます。しかし、npmのパッケージ汚染などは、開発者自身が気づくのは困難です。対策としては、パッケージのアップデートに数日間の猶予期間を設ける、あるいはCI/CD（継続的インテグレーション/継続的デプロイメント）のパイプラインにコードの自動チェックを組み込む、検証環境で挙動をテストするなど、地道なプロセスを組み込むほかありません。

サーバーセグメントへのEDR導入や、開発環境のセキュリティ強化は、システムの可用性とのトレードオフや、リソース不足といった問題に直面します。

「リスクはわかった、じゃあ明日から対策しましょう、とはいかないことが多いです。だからこそ、今このタイミングで、来年度の予算計画に組み込むなど、計画的に防御力を高めていく必要があります」（阿部氏）

自社の「心臓部」であるサーバーと、それを支える「開発者」。この2つの領域が今、狙われているという事実を直視することが、事業停止という最悪の事態を避けるための第一歩となります。

（柳谷 智宣 ： ITライター）