2月25日~27日の3日間、「TECH+フォーラム セキュリティ 2025 Feb. 今セキュリティ担当者は何をすべきか」がオンラインで開催された。

このフォーラムは、サイバーセキュリティに対して、企業のセキュリティ担当者はどのような対策をすべきかのヒントを提供するもので、セキュリティ対策の「防御」「検知、対応、回復」「セキュリティ総合、セキュリティプランニング、統治」の3テーマにおいて、注目するべきセキュリティの最新情報や事例、ソリューションが紹介された。

初日の2月25日の基調講演では、神戸大学 名誉教授で、近畿大学情報学研究所 サイバーセキュリティ部門長 客員教授や情報セキュリティ大学院大学 客員教授を務める森井昌克氏が、「ランサムウェアへの対策、その本質とは~バックアップは対策ではない? VPNだけが原因ではない?~」と題し、講演を行った。

最近のサイバー攻撃のトピック

最初に森井氏は、最近のサイバー攻撃のトピックとして、RaaS(Ransomware as a Service) 化してランサムウェアが進化しており、誰でもがランサムウェアを使った攻撃者になれる環境になっている点を指摘した。また、サイバー攻撃の本質は気付かないことであり、最近は自社だけでなく、委託先のセキュリティも問題になっている点も注意点として挙げた。

「データを扱っている会社が被害を受けて、それによって、委託した会社が被害を受けるということになっているので、委託先も評価しないといけないのです。自分のところがしっかりしていても、サイバー攻撃を受ける可能性があるということを認識しましょう」(森井氏)

また、今年は大阪・関西万博が開催されるため、万博に絡んで関西地方の企業などへのサイバー攻撃が増えていくことが懸念されているという。

そのほかに、2024年の年末から2025年の年始にかけて、DDoS攻撃が大きな話題になった。2006年頃にもDDoS攻撃が大流行したが、当時はパソコンをコンピュータウイルスに感染させて遠隔操作し、そこから攻撃して何万台、何十万台いう世界中のPCを感染させる攻撃が行われたが、最近はPCだけでなく、IoT機器も攻撃できるようになっている点が異なると同氏は説明した。

  • DDoS攻撃とは

ランサムウェアの現状

警察庁の発表では、2024年は上半期で114件ランサムウェアの被害であったという報告があった。300万社近く会社があるなかの114であるため、ほとんどの企業はランサムウェアに感染しない、自分のところは大丈夫だと思うかもしれないが、114は警察庁が把握した数字であって、実際に感染した数はこの何十倍、あるいは何百倍かもしれないと森井氏は指摘する。

2024年に感染したランサムウェアとしては、lockbit3が一番多く、次にransomhubとなっている。ransomhubはサイゼリアが感染し、8baseはイセトー、blacksuitはKADOKAWAが被害を受けている。

  • 2024年のランサムウェア トップ20

しかし、2025年は、akiraが一番で、その次がbabuk2,以降clop、ransomhubが続き、大きく変化している。

  • 2025年のランサムウェア トップ20

同氏によると、現在、約230のランサムウェアグループがあり、それぞれの活動期間は2~3カ月程度だという。

「ランサムウェアはRaaS化して、一つのサービスになっています。ランサムウェアを扱っている犯罪グループが230ぐらいあると言いましたが、そのうち30ぐらいのグループが活発に動いています。ランサムウェアのグループが直接どこかの会社を狙いに行くことはしません。アフィリエイターといわれる直接犯罪をしようとしている人がランサムウェアのグループに頼み、システムを使わせてもらってどこかの企業に感染させるということを行います」(森井氏)

サイバー攻撃は、VPNやRDPといった閉域網が入り口だといわれるが、「VPNだけを守っていてもだめ」だと森井氏は指摘。「とくに中小企業は適切な対策が必要」だと続けた。

「全体で守らないといけないということです。とくに中小企業、零細企業というところが、被害に遭う可能性が高くなっています。お金がいっぱいあるというわけではありませんし、人がいるというわけでもありません。体制が最初から整っている状態ではない中小企業では、(サイバー攻撃への)対策が行き届いていません」(森井氏)

中小企業がとるべき対策

では、中小企業はどういった対策をすればいいのか。森井氏は、できる対策、有効性のある対策をしっかり行えば、攻撃を受けても防御できると語った。そのためには、ランサムウェアの本質を理解する必要がある。

ランサムウェアは感染していきなりPCなどが動かなくなり、すぐに情報漏えいすることは稀であり、最初はコンピュータウイルス、マルウェアとして感染する。

攻撃者はまずはポートスキャンなどを行い、入りやすいところを狙い定める。そして、自分自身を隠して見つからないようにしたうえで、情報スキャン・分析、情報搾取などをしていく。マルウェアアップデートをし、情報も取ってやることがなくなると、今度はそこを踏み台にして、他を攻撃しに行くというわけだ。

  • ランサムウェア攻撃の手順

同氏によれば、防御において重要なのは、可視化とゼロトラストセキュリティだという。

可視化というのは、自社の現状はどうなっているのか問題点の洗い出しをすることを指す。ゼロトラストセキュリティとは、全てに対して安全なのかどうかをチェックすることだという。

具体的な対策として、昔から言われているのが、「ウイルス対策ソフト導入の徹底」「複雑なパスワード設定」「最新のOSやソフトに」「怪しいメールは開かない」「セキュリティ情報への敏感さ」「万が一のバックアップ」であり、これらを完璧に実行することが基本だ。

ただ、なかなかそれができないのが実情だと森井氏は話す。

「現状を把握することができるのかというと、現実には難しいでしょう。セキュリティに長けた人が会社にいない場合、一つ一つの現状を把握するといっても、何を把握すればいいのかが分からないということになります。自社では無理という話になったときは、システムを導入しているベンダーがあると思いますので、そこに相談しましょう。一番頼るべきはやはりITベンダーです。ただ、お付き合いのあるITベンダーがセキュリティの専門ではない場合もありますから、自社では何ができて、何ができないか、ではどうすればよいかを相談するためにしっかりと対話できるように、ほんの少しの知識でも身に付けるようにしましょう。単に頼るだけの丸投げは何の対策も生み出しません」(森井氏)