産業化するランサムウェア：あなたのビジネスを守るために今できること

2025年の春、イギリスのとある小売企業で異変が起きました。非接触型決済が使えず、注文の店頭受け取りができなくなり、店頭からは商品がなくなりました。

この企業は最終的に市場価値で3億ポンドの損失を報告し、在庫管理を紙とペンで行い、オンライン事業を6週間以上停止せざるを得ませんでした。

犯人は国家や高度なハッカーではなく、市販のランサムウェア・アズ・ア・サービス（RaaS）ツールを使うサイバー犯罪者のグループでした。

この事件は、現在のセキュリティ対策が十分かどうかを問い直すきっかけとなります。

不都合な真実があります。ランサムウェアは進化しているだけでなく、産業化しています。今のセキュリティ戦略では、十分な対策ができていないかもしれません。

Verizonの2025年データ侵害調査レポートによると、2024年のランサムウェアは37%増加し、世界のデータ侵害の44%を占めました。ヨーロッパ、中東、アフリカでは27%の企業がランサムウェア攻撃を受け、ラテンアメリカでは29%に達し、中小企業が標的となっています。

しかし、このような数字だけでは伝わらない現場の混乱もあります。

冒頭に記した企業は、数10億ポンドの在庫を手作業で管理することになりました。また、別の小売業者はITシステムの一部を停止し、2,000店舗以上で棚が空になりました。さらにはインターネットアクセスを制限した企業もあります。これらは単なるITの問題ではなく、ビジネスの危機です。

これらの攻撃の犯人は誰だったのでしょうか？報道によれば、Scattered SpiderやDragonForceといったグループがソーシャルエンジニアリングを駆使していました。

彼らはシステムをハッキングするのではなく、人をハッキングします。ヘルプデスクに電話し、従業員になりすまし、ITスタッフから認証情報を引き出します。その後、ランサムウェアを展開し、暗号化だけでなく、恐喝、情報流出、破壊を行います。

従来のランサムウェアはファイルをロックし、身代金を要求するものでしたが、その手法はすでに時代遅れです。

現在の攻撃者は、複数段階の恐喝キャンペーンを展開し、あらゆる方向から圧力をかけます。システムを暗号化し、データを盗み、公開を脅します。顧客向けインフラにDDoS攻撃を仕掛け、場合によっては顧客やパートナー、規制当局に直接連絡します。

ALPHV/BlackCat、CL0P、LockBitなどの主要なランサムウェアグループは、四重の恐喝キャンペーンを実施しています。2025年2月、CL0Pはわずか数週間で385件の攻撃を行ったと主張し、1か月で単一グループによる最多攻撃記録を更新しました（参照：TechRadar）。

これは理論ではなく、今まさに大規模に起きている現実です。

あなたがAIを生産性向上に活用している一方で、攻撃者はAIを武器化しています。

FunkSecやBlack Bastaなどのグループは、生成AIや大規模言語モデル（LLM）を使ってランサムウェアコードを作成し、ソーシャルエンジニアリング攻撃を強化しています（参照：Akamaiの2025年ランサムウェアレポート）。Forest Blizzard（Fancy Bear）やEmerald Sleetは、LLMを使って公式文書を模倣したフィッシングや脆弱性調査を行っています。WormGPT、DarkGPT、FraudGPTなどのツールが高度な攻撃技術を広めています。

その結果、攻撃者はこれまでにない規模と効率で活動できるようになり、セキュリティチームはアラートに埋もれています。

脅威が高まる中、組織の行動も変化しています。Chainalysisによると、2023年のランサムウェア支払い総額は11億ドルとほぼ倍増しました。しかし、身代金を支払った被害者の割合は、2019年初頭の85%から2023年第4四半期には29%まで減少しました（参照：Coveware）。

身代金を支払っても復旧が保証されず、再感染を防げず、次の攻撃の資金源になるため、推奨されていないからと考えられます。

ここでより重要な問いは、推奨されていないにもかかわらず、なぜ支払いを選択せざるを得ない状況に陥る組織があるのか、ということです。

現在のセキュリティ設計は、もはや存在しない境界を前提にしています。検知システムはノイズばかりで有効な情報を提供しません。ランサムウェアをエンドポイントの問題と捉えていますが、実際は侵入後の横移動（ラテラルムーブメント）の危機です。

Akamaiの2025年セグメンテーションの影響調査によると、調査対象の1,200人のグローバルセキュリティリーダーのうち、79%が過去24か月に少なくとも1回のランサムウェア攻撃を経験または検知しています。これはランサムウェアの問題ではなく、封じ込めの問題です。

この戦いに勝っている組織は、高価なツールを持つ企業ではありません。レジリエンスの設計を根本から見直した企業です。

データによると、マイクロセグメンテーションを導入した企業は、ランサムウェア攻撃を平均21.4%速く封じ込めています。売上10億ドル以上の大企業では、33%速く封じ込めています。

なぜ封じ込めの速さが重要なのでしょうか？大手小売業者の場合、ランサムウェアによるダウンタイムの1分ごとに数百万ドルの損失が発生します。決済システムが停止し、サプライチェーンが止まり、顧客データが流出しているとき、迅速な対応が不可欠です。

マイクロセグメンテーションは、従来のセキュリティとは根本的に異なる原則で機能します。すべての侵入を防ぐのではなく、侵入を前提にして封じ込めに注力します。細分化されたセキュリティゾーンを作り、横移動（ラテラルムーブメント）を制限し、初期侵害後も攻撃者が環境内を移動できないようにします。

冒頭の英国企業で起きた侵害は、業務委託先のITヘルプデスクから始まりました。ソーシャルエンジニアリングで攻撃者が初期アクセスを得ましたが、被害が拡大したのは、攻撃者が横移動（ラテラルムーブメント）して権限を昇格し、重要インフラを暗号化できたからです。

マイクロセグメンテーションがあれば、被害範囲を抑えられたでしょう。

冒頭の英国企業への侵害は、業務委託先の業者から始まりました。自社のセキュリティ強度は最も脆弱なベンダーの強度に依存します。セキュリティ監査を義務付け、アクセス制御を徹底し、サードパーティからのアクセスを厳しく分離しましょう。

多くのインシデント対応計画は、検知と通知に重点を置いていますが、それだけでは不十分です。数分で実行できる封じ込め手順を文書化し、どのシステムを隔離し、どのデータを保護し、どのコミュニケーションを発動するかを事前に把握しておきましょう。

テーブルトップ演習や侵害シミュレーションを実施し、バックアップの整合性と復旧速度をテストしましょう。冒頭の英国の小売業者にはサイバーインシデントへの事業継続計画がありませんでした。危機に陥ってからギャップを知るのではなく、事前に対策を講じましょう。

すべてのCISOは次の質問を自問する必要があります：

1. 次に攻撃が来たとき、数日ではなく数分で封じ込められるか？
2. 環境内で横移動を防げるか？
3. 境界防御が破られても最も重要な資産を守れるか？
4. アクティブな侵害を調査・修復しながら、ビジネス運営を維持できるか？

全てに自信を持って「はい」と答えられなければ、準備ができていません。リスクにさらされています。

ランサムウェア時代を生き抜く組織は、最大のセキュリティ予算を持つ企業ではありません。インフラのあらゆる層にレジリエンスを設計した企業です。侵害を前提にし、封じ込めを計画し、予防が失敗しても被害範囲を抑える仕組みを構築しています。