アサヒも餌食になったランサムウェア攻撃「闇バイト化」するサイバー攻撃の現状(2/2)

RaaS の攻撃方法は各グループによって異なるがキルチェーン（Kill Chain）と呼ばれる一連のプロセスに沿って実行されることが多い。

まず「偵察（Reconnaissance）」フェーズから始まる。攻撃者またはそのアフィリエイトは、標的となる企業や組織について、公開情報、脆弱性情報、VPNやRDPの設定状況などを調査し、「武器化可能な脆弱性」が使えないかを探る。この段階では、未更新システムや設定ミス、過去の情報漏えい情報などが重要な手がかりになる。

次に「初期侵入（Initial Compromise）」として、主にフィッシングメールでマルウェアを送りつけたり、あるいはインターネット公開している古いVPN・RDP・Webアプリケーションの脆弱性を悪用して侵入を図る。RaaS では、このような初期アクセス手段がアフィリエイトに提供され、専門知識が浅くても侵入できるように敷居を下げている。

侵入が成功すると「持続的足場確立（Foothold / Persistence）」および「横展開と権限昇格（Privilege Escalation & Lateral Movement）」の段階に移る。侵入直後に、OS やソフトウェアを悪用・変更し、あるいは正規ツールを乗っ取ることで持続的なアクセスを確保し、さらにネットワーク内で横方向に拡散。認証情報の窃取を行い、管理権限を奪取して重要サーバやデータ保管領域に到達する。よく使われるツール例として、Cobalt Strike や Mimikatz などが報告されている。

続いて「データ収集と持ち出し（Data Collection & Exfiltration）」に加え、「暗号化実行（Ransomware Deployment／Encryption）」を行うフェーズだ。攻撃者はまず重要なファイルや機密データを外部に持ち出し、その後システム内のファイルを暗号化する。この二段構えの「二重恐喝（Double Extortion）」の手法が、近年の RaaS の特徴となっている。

最後に「金銭要求／恐喝（Extortion & Ransom Demand）」が行われる。暗号化後、被害者に対して復号キーを渡す代わりに仮想通貨（例えばビットコイン）で身代金を要求する。また、データを持ち出し・窃取している場合、支払いがなければ情報を公開すると脅すことで、企業や組織にとって事業継続だけでなく信用毀損・法的リスクも同時に突きつける。

この一連の流れ ― 偵察 → 初期侵入 → 持続的足場確立 → 横展開／権限昇格 → データ窃取／暗号化 → 金銭要求 ― が、RaaS 攻撃の典型的なキルチェーンである。

特に RaaS の場合、このキルチェーンの各フェーズが「分業・組織化」されており、脆弱性の発見、マルウェア開発、侵入実行、暗号化、交渉までそれぞれ別の“役割”が存在することが多い。結果として、攻撃の敷居はさらに低くなり、短時間で大規模に拡散する構造となっている。

一方で、対策も進んでおり、平常時からのリスク管理と、有事の際の迅速な対応体制の整備が重要だ。具体的には、組織が保有するIT資産や攻撃の可能性を可視化し、リスクを管理する枠組みであるCyber Risk Exposure Management（CREM）の導入や、侵入検知と多層防御を行うXDR技術の活用が有効とされる。特に、ランサムウェアは侵入から短時間（場合によっては24時間以内）で暗号化に至るケースもあるため、検知のスピードが被害の大小を左右する。

RaaSへの対策の最も基本かつ重要な対策は、まず「脆弱性管理の徹底」である。これは、OSやミドルウェア、VPN機器、リモートアクセス環境（RDPなど）などを常に最新の状態に保ち、既知の脆弱性を悪用されるリスクをなくすことを意味する。古い機器や不要なサービスをそのまま稼働させておくのは、RaaS攻撃に対して露出を増やすことになる。実際、こうした脆弱性の放置がランサムウェア侵入の入口になってきた。

加えて、リモートアクセスの強化も重要である。テレワークやリモート保守でVPNやRDPを使う場合、多要素認証（MFA）の導入、強力なパスワードポリシー、アクセス権限の最小化といった基本対策を徹底することで、不正アクセスの可能性を大きく減らせる。特に管理者権限付きアカウントやクラウド、VPNログインなど、攻撃者にとって価値の高い入口には必ずMFAを適用すべきである。

万が一ランサムウェアに侵入された際に致命的な被害を防ぐためには、定期的なバックアップとその管理が欠かせない。可能なら「オフライン」または「ネットワークから切り離されたストレージ」を使ったバックアップを取り、さらに定期的に復元テストを実施することで、暗号化被害後も業務の継続性を維持できる。これは「身代金を支払わずに復旧する」ための最後の砦となる。 また、エンドポイントに対する「侵入検知と監視」も重要だ。具体的には、EDR（エンドポイント検知・対応）やSIEM（ログ収集と相関分析）といったツールを導入し、異常なアクセスや不審な動きをリアルタイムで監視することで、ランサムウェアの暗号化や横展開が進む前に検知・封じ込める体制を構築する。

最後に、「人的対策」として従業員教育・訓練を重視すべきである。多くの RaaS 攻撃はフィッシングメールやソーシャルエンジニアリングを入り口としており、巧妙な手口であれば、たとえ従業員が注意深くても誤ってクリックしてしまう可能性がある。定期的な模擬フィッシング演習と報告の仕組み整備、社内でのセキュリティ意識向上が「標的にされない環境づくり」に直結する。

総じて、RaaS への対策は単一の施策では不十分であり、「脆弱性管理」「リモートアクセス強化」「バックアップ体制」「侵入検知・監視」「人的対策」のような複数レイヤでの対策を組み合わせた多層防御が必須である。特に中小企業や組織では、完璧なSOC体制を構築するのは難しくとも、まずはパッチ管理とバックアップ、MFAの適用、EDR／SIEMの導入、従業員教育といった「費用対効果の高い基本対策」から取り組むことが現実的であり、効果も大きい。

さらに、将来を見据えると、RaaSの拡大はさらに加速する可能性がある。攻撃者はより多くの「標的母数」を確保するために、中堅・中小企業や医療、地方自治体など今まで攻撃対象になりにくかった層にも手を広げるとみられている。すでに複数のRaaSグループが存在し、技術・運営体制の強化を続けている。特に、複数のOS／クラウド／仮想化環境に対応するクロスプラットフォーム型ランサムウェアの登場は、企業のIT環境の多様化・複雑化に伴い、今後さらに深刻な脅威となる。

こうした状況を受けて、日本国内の企業・団体は、今まで以上に組織的かつ継続的にセキュリティ対策に取り組む必要がある。単なるウイルス対策ソフトに加え、ネットワークの可視化、リスク管理、アクセス管理、異常検知、バックアップ、インシデント対応体制の整備など、多層防御と早期検知・復旧能力の強化が求められる。これを怠ると、RaaSを起点としたランサムウェア攻撃の被害拡大に対抗するのは難しい。

半年?数年先を見据えると、RaaSはよりプロフェッショナル化・サービス化し、「ランサムウェア攻撃」を高度な産業化サイバー犯罪として定着させる可能性がある。加えて、もし将来的にAI技術を使った自動化や、攻撃手法のさらなる高度化が進めば、検知や防御は一層困難になる。企業や団体は、サイバーセキュリティを一過性のコストではなく、継続的かつ戦略的な投資と位置付ける必要がある。