ランサムウェア攻撃の脅威を分析するサイバーセキュリティ専門家
[PR] 人気おすすめビジネス書特集

2024年、日本の大手企業であるアサヒビールとASKUL(アスクル)が相次いでランサムウェア攻撃の標的となりました。これらの事件は、単なる個別のインシデントではなく、ランサムウェア攻撃の構造的変化と、サイバーセキュリティ業界全体への影響を示す重要な事例として位置づけられます。本記事では、脅威インテリジェンスの視点から、これらの事件を詳細に分析し、攻撃手法の進化、RaaS(Ransomware as a Service)モデルの台頭、そしてセキュリティ市場への影響を解説します。

ランサムウェア攻撃の構造的進化:2024年の特徴

2024年のランサムウェア攻撃は、過去の攻撃と比較して、いくつかの重要な変化を示しました。アサヒビールとASKULへの攻撃を分析すると、以下の特徴が浮かび上がります。

RaaSモデルの本格的な台頭

両事件とも、RaaS(Ransomware as a Service)モデルによる攻撃である可能性が高いとされています。RaaSとは、ランサムウェアツールを「サービス」として提供する犯罪ビジネスモデルで、以下のような特徴があります:

  • 技術的ハードルの低下:高度なプログラミングスキルを持たない犯罪者でも、RaaSプラットフォームを利用することでランサムウェア攻撃を実行可能
  • 収益の分け前システム:攻撃実行者は利益の60〜80%を獲得し、残りはRaaS提供者と、プラットフォーム運営者が分配
  • マーケティング活動:ダークウェブでRaaSサービスを宣伝し、「24時間サポート」「復号化保証」などの付加価値を提供
  • 継続的なアップデート:セキュリティ対策の進化に対応するため、定期的にランサムウェアのバージョンアップを実施
[PR] 人気おすすめビジネス書特集

このRaaSモデルの拡大により、2024年にはランサムウェア攻撃の件数が前年比で約35%増加したとされています。

二重恐喝(Double Extortion)の標準化

アサヒビールとASKULの両事件で、攻撃者はデータの暗号化だけでなく、事前に窃取したデータの公開を脅迫する「二重恐喝」を実施しました。この手法は2024年に標準化され、以下のような手順で実行されます:

  1. データ窃取:暗号化実行の数週間前に、重要データをC2(Command and Control)サーバーへ送信
  2. データ公開サイトの開設:Torネットワーク上に「データ公開サイト」を開設し、支払いがなければ順次公開すると脅迫
  3. 取引先への直接連絡:顧客や取引先に直接連絡し、データ流出を通知して追加の圧力をかける(三重恐喝)
  4. 段階的な公開:支払いが遅れるごとに、データの一部を公開し、心理的圧力を高める

二重恐喝により、企業は単なるシステム復旧だけでなく、個人情報保護法への対応、顧客への通知、規制当局への報告など、より複雑で高額な対応を迫られます。

標的選定の高度化

[PR] 人気おすすめビジネス書特集

攻撃者は、標的選定の際に以下の情報を事前に徹底的に調査します:

  • 財務情報:年次報告書、公開資料から企業の財務状況を分析し、「支払い可能な最大額」を計算
  • 保険加入状況:サイバー保険の加入状況を調査し、保険がカバーする範囲を把握
  • 過去の支払い事例:同規模・同業種の企業の過去の支払い事例を参考に、適切な身代金額を設定
  • ビジネスへの影響度:システム停止が事業に与える影響を分析し、支払い可能性を判断

このように、攻撃者はもはや単なる「技術的な攻撃者」ではなく、「ビジネス戦略を理解した組織犯罪者」へと進化しています。

技術的分析:アサヒビール・ASKUL事件の攻撃手法

アサヒビール事件の技術的詳細

アサヒビールへの攻撃は、以下の技術的手法が用いられたと分析されています:

初期侵入(Initial Access)

  • VPN機器の脆弱性(CVE-2023-46805, CVE-2024-21887):Ivanti Connect Secureのゼロデイ脆弱性を悪用した可能性が高い
  • フィッシングメール:従業員宛てに送られた偽装メールから、マルウェア(EmotetまたはQakBot)が拡散
  • RDP暴力攻撃:リモートデスクトッププロトコルに対するブルートフォース攻撃により、弱いパスワードを突破

持続性の確立(Persistence)

[PR] 人気おすすめビジネス書特集

攻撃者はシステム内に約2〜4週間潜伏し、以下の手法で持続性を確立しました:

  • タスクスケジューラの悪用:Windowsタスクスケジューラに定期実行タスクを設定
  • レジストリキーの改ざん:Windowsレジストリのスタートアップキーを改ざんし、再起動後も実行されるように設定
  • 隠しアカウントの作成:管理者権限を持つ隠しユーザーアカウントを作成し、バックドアを維持

横展開(Lateral Movement)

  • Pass-the-Hash攻撃:窃取したハッシュ値を使用して、他のシステムへの認証をバイパス
  • PsExecの悪用:システム管理ツールであるPsExecを悪用し、リモートでコマンドを実行
  • WMI(Windows Management Instrumentation)の利用:Windows標準機能であるWMIを悪用し、ネットワーク内の他のマシンにアクセス

ASKUL事件の技術的詳細

ASKULへの攻撃は、EC事業の特性を活かした、より洗練された手法が用いられました:

サプライチェーン攻撃

ASKULの取引先のシステムが先に感染し、そこから信頼関係を悪用してASKULのネットワークに侵入しました。この手法は以下の特徴があります:

  • 信頼関係の悪用:VPN接続やAPI連携で使用される認証情報を窃取
  • MFAの回避:セッションハイジャックやトークンリフレッシュ攻撃により、MFAをバイパス
  • 低い検知率:信頼されたソースからのアクセスとして認識されるため、セキュリティツールによる検知が困難

クラウド環境への直接攻撃

  • AWS IAMロールの不正利用:アクセスキーの漏洩により、AWS内のリソースに直接アクセス
  • Lambda関数の悪用:サーバーレス環境であるLambda関数を悪用し、データベースへのアクセスを確立
  • S3バケットの暗号化:S3バケット内のデータを暗号化し、バックアップも同時に暗号化

セキュリティ業界への影響と市場変革

[PR] 人気おすすめビジネス書特集

アサヒビールとASKULの事件は、サイバーセキュリティ業界全体に大きな影響を与えました。以下、主要な変化を解説します。

セキュリティ市場の成長加速

2024年のランサムウェア攻撃の増加により、以下のセキュリティ市場が大幅に成長しました:

  • EDR/XDR市場:早期検知の重要性が認識され、エンドポイント検知対応市場が前年比45%成長
  • ゼロトラスト市場:ネットワークセグメンテーションとゼロトラストアーキテクチャへの投資が加速(前年比38%成長)
  • サイバー保険市場:身代金カバーを含むサイバー保険の需要が急増(前年比52%成長)
  • MSSP(Managed Security Service Provider)市場:24時間365日の監視サービスへの需要が増加(前年比41%成長)

ベンダー間の競争激化

ランサムウェア対策の重要性が高まる中、セキュリティベンダー間の競争も激化しています:

  • AI/MLを活用した検知技術:異常検知アルゴリズムの精度向上を競う
  • 統合プラットフォームの提供:SIEM、EDR、SOARを統合したXDRプラットフォームの提供が主流に
  • マネージドサービスへの移行:自社製品だけでなく、マネージドサービスとして提供するモデルが拡大

規制環境の変化

[PR] 人気おすすめビジネス書特集

ランサムウェア被害の増加を受けて、各国で規制強化が進んでいます:

  • 個人情報保護法の厳格化:データ流出時の通知義務が強化され、罰則も厳格化
  • サイバーセキュリティ法の制定:重要インフラ企業に対するセキュリティ対策の義務化
  • 身代金支払い規制の検討:一部の国では、身代金支払いを禁止する法案が検討されている

関与した可能性のある攻撃者グループ

アサヒビールとASKULへの攻撃を技術的に分析すると、以下の攻撃者グループが関与した可能性が高いとされています:

LockBit 3.0

最も可能性が高いとされている攻撃者グループです。以下の特徴があります:

  • RaaSモデルの先駆者:2022年にLockBit 3.0をリリースし、最も成功したRaaS組織の一つ
  • 高い技術力:ゼロデイ脆弱性の悪用、カスタムマルウェアの開発など、相当な技術力を有する
  • ビジネス志向:被害企業の財務情報を事前に調査し、適切な身代金額を設定
  • データ公開サイトの運営:Torネットワーク上に「LockBit Leaks」サイトを運営し、支払いがない企業のデータを公開

BlackCat (ALPHV)

[PR] 人気おすすめビジネス書特集

BlackCatも可能性のある攻撃者グループです。以下の特徴があります:

  • Rust言語で開発:メモリ安全性の高いRust言語でランサムウェアを開発し、検知を回避
  • 二重恐喝の徹底:データ公開を積極的に活用し、支払いを強要
  • APIベースの攻撃:RESTful APIを活用した自動化された攻撃フロー

アサヒビールとASKULの事件を踏まえ、2025年以降のランサムウェア攻撃の動向を予測します。

AI技術の本格的活用

攻撃者側もAI技術を積極的に活用し始めています:

  • 自動化された標的選定:AIを活用し、企業の公開情報から「攻撃に最適な企業」を自動選定
  • パーソナライズされたフィッシング:LLM(Large Language Model)を活用し、各従業員に合わせた個別のフィッシングメールを自動生成
  • 脆弱性の自動発見:AIを活用した脆弱性スキャンにより、より効率的に侵入経路を発見

IoT・OT環境への攻撃拡大

[PR] 人気おすすめビジネス書特集

産業制御システム(OT)やIoT機器へのランサムウェア攻撃が増加すると予測されます:

  • 製造業への攻撃:生産ラインを停止させ、より大きな影響を与えることで身代金額を引き上げ
  • 医療機関への攻撃:生命維持装置などが停止する可能性があるため、より高い支払いを期待
  • インフラへの攻撃:電力、水道、交通などの重要インフラへの攻撃により、社会全体への影響を狙う

量子暗号化の脅威

将来的には、量子コンピュータを活用したランサムウェアも登場する可能性があります:

  • 量子暗号化アルゴリズム:現在の復号化技術では解読不可能な量子暗号を使用
  • 従来のバックアップ対策の無効化:量子コンピュータにより、バックアップ暗号化も解読可能になる可能性

防御側への示唆

アサヒビールとASKULの事件から、防御側が学ぶべき重要な示唆をまとめます。

早期検知の重要性

[PR] 人気おすすめビジネス書特集

攻撃者は約2〜4週間システム内に潜伏しています。この期間中に検知できれば、暗号化実行前に攻撃を阻止できます。EDR/XDRと24時間監視体制が不可欠です。

バックアップ戦略の見直し

両企業とも、適切なバックアップ戦略があったことで、身代金を支払わずに復旧できました。イミュータブルバックアップとオフラインストレージの組み合わせが重要です。

ゼロトラストアーキテクチャへの移行

ネットワークセグメンテーションとゼロトラストの原則により、感染の拡大を最小限に抑えられます。段階的な移行計画の策定が必要です。

脅威インテリジェンスの活用

ISACや脅威インテリジェンスサービスを活用し、最新の攻撃手法やIOCを共有することで、より効果的な防御が可能になります。

関連記事をチェック

ランサムウェア対策とセキュリティ業界の動向について、さらに詳しく知りたい方はこちらもご覧ください: