メディア
Microsoft 365
生成AI
クラウドERP
ゼロトラスト
HRTech
PC管理
RPA BANK
課題から探す
カテゴリから探す
記事一覧
ITキャパチャージ

ランサム攻撃手口が急に変化 その裏にあるサイバー攻撃者の策略とは

ランサムウェア攻撃は拡大の一途をたどっている。だが問題は規模だけではない。攻撃の質も変化しているという。これまでの対策に加えて、何をすればよいのだろうか。

» 2025年03月14日 07時00分 公開
[Rob WrightCybersecurity Dive]
Cybersecurity Dive

 ランサムウェア攻撃は2024年に拡大を続けた。だが今起こっていることは規模の拡大だけではない。攻撃グループが戦術を変えてきており、これまでの対策がうまく機能しなくなる可能性がある。

ランサム攻撃手口が急に変化 サイバー攻撃者の策略とは

 それではどのように戦術が変わったのだろうか。サイバーセキュリティサービスを提供する企業の調査結果を紹介しよう。

 マネージドセキュリティサービスを提供するHuntressが2025年3月に公開した「2025 Cyber Threat Report」によると(注1)、企業側が防御を強化したり、法執行機関が圧力を高めたりしていることに対応して、ランサムウェアグループがより巧妙な戦術を使うようになったという。

 Huntressはランサムウェア攻撃を継続的に観測してきた。2024年に観測したランサムウェア攻撃の75%では攻撃者が遠隔操作ウイルス(RAT)を使用した。攻撃の17.3%では、「ConnectWise ScreenConnect」や「TeamViewer」「LogMeIn」などのリモート型の監視ツールや管理ツール(RMM)が悪用されていた。

 企業が導入を進めてきたEDRによる防御を回避するため、攻撃者は戦術を変化させている。ランサムウェアを展開するとEDRに補足されるため、データ窃盗や恐喝に重心をおいた攻撃に移行している。また、正規のシステム管理ツールを活用する「Living off the Land」の手法をますます多用するようになってきた。

 エンドポイントにおける脅威を監視した300万件以上のデータに基づき、Huntressは2024年にあった攻撃の約24%で情報窃取型のマルウェアが確認されたと報告した。

中堅・中小企業を本気で狙う

 Huntressの調査によると、ランサムウェアグループは、かつては大規模組織のみを対象にしていた高度な戦術や技術を広く活用しているという。サイバーセキュリティ製品の改ざんや無効化などだ。同社は「大企業と中堅・中小企業に対する攻撃の差は縮小しており、巧妙さにおいて違いがほとんど見られなくなっている」と指摘した。

 攻撃の自動化や検知回避を目的とした悪質なスクリプトが、22%のインシデントで使用されていた。Huntressのグレッグ・リナレス氏(主席脅威インテリジェンスアナリスト)は「Cybersecurity Dive」に対し、「このような巧妙な回避技術の利用が増加していることには理由がある。ランサムウェアのエコシステムで競争が激化しているからだ」と述べた。

 リナレス氏は次のようにも述べた。

 「現在はかつてないほどサイバーセキュリティ技術が発達している。そのため、既存のマルウェアと類似した特性を持つマルウェアは、新規の検出回避技術を利用していなければすぐに捕捉されてしまう。このような背景があるため、攻撃者は他の有効なマルウェアに直ちに乗り換えている。現在では検出済みのマルウェアは(再利用できず)瞬く間に無意味なものになる」

攻撃スピード重視、非暗号化という戦術

 Huntressのデータ「time-to-ransom」(TTR:時間と身代金の関係)によると、2024年には多くのランサムウェアグループが攻撃のスピードを重視していた。TTRとは、攻撃者が最初に侵入してから、身代金要求のメッセージを送るまでの時間を指す。平均値は約17時間だった。「Play」や「Akira」、「Dharma/Crysis」などのランサムウェアグループはさらに迅速に行動しており、平均して6時間ほどで攻撃を完了していた。

 Huntressが確認したことはもう一つある。多くのランサムウェアグループが暗号化をせず、被害者の組織から機密データを単純に流出させる戦略へと移行していることだ。同社によると、このような戦術の変更は、企業によるセキュリティ対策の強化や、「LockBit」のような悪名高いグループが法執行機関により摘発された事実に起因するものだという(注2)。

これからはデータ損失防止が重要になる

 攻撃側の戦術が変わると、EDRやランサムウェア対策サービスに投資している企業に新たな課題が生まれる。

 レポートでは「このように防御策が進化する一方で、データ損失防止(DLP)サービスの進展はほとんどなく、多くの場合、成熟した企業の環境にのみ導入されている。攻撃者はこうした状況をより正確に認識するようになり、データを盗んで身代金を要求する手法を選択するようになっている」とある。

 「多くの企業では、DLPサービスの導入は優先度が低い。近年増加しているテレワークやBYOD(個人デバイスの業務利用)を導入している企業の環境では、DLPサービスの導入率が特に低い。さらに、一般的なDLP対策はクラウドにある機密データへアクセスするエンドポイントの監視に重点を置いており、ネットワーク全体を完全に監視したり、管理したりする仕組みにはなっていない」(リナレス氏)

 また、リナレス氏は「直近の数年間にわたって公開してきたデータ侵害レポートの確認や、インシデント対応チームとの連携を通じて言えることがある。DLPが脅威活動を実際に検出したケースは少なく、データの流出を実際に防止したケースはさらに少ないということだ」とも述べている。

出典:Ransomware gangs shifting tactics to evade enterprise defenses(Cybersecurity Dive)
注1:Huntress 2025 Cyber Threat Report: Proliferating RATs, Evolving Ransomware, and Other Findings(Huntress)
注2:LockBit operations dismantled following international takedown(Cybersecurity Dive)

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。