有効なサイバーセキュリティ対策を講じるには、攻撃者の変化を追い、脅威の現状を知っておくことが重要だ。
3月12日~13日に開催された「TECH+フォーラム セキュリティ 2026 Mar. 能動的防御・新法施行で変わるセキュリティ 自社の“次の一手”を考える」にSBテクノロジー(登壇当時。現在はソフトバンク所属) プリンシパルセキュリティリサーチャーの辻伸弘氏が登壇。IAB、ClickFix、インフォスティーラーなど、注意が必要な脅威を紹介しながら、サイバー攻撃の現在地について話した。
ランサムウェアはなぜ止まらないのか――「誰でも狙われる」時代の実態
講演冒頭で辻氏は、ランサムウェア攻撃の昨今の状況について説明した。身代金交渉が決裂した場合に被害者から窃取した情報を暴露する、いわゆるリークサイトのうち主要な13サイトを同氏が調査したところ、2025年にはリーク件数だけで4711件あり、実際の被害数はさらに多いと考えられるという。被害組織の業種は製造とテクノロジーの割合が多い。件数は多いが、圧倒的というわけではなく、どの業種でも標的となる可能性があると考えるべきだと同氏は話す。
-
2025年のランサムリーク被害組織の集計
一方、ランサムギャングの数は2020年以降激増しているが、リーク数の多いギャングが全体に占めるリーク件数の割合は減少してきている。これはリーク数が比較的少ない新興のギャングの数が増えているということだ。単純に攻撃者の数が増えることになるため攻撃に見舞われる可能性は高まると言える。また、このようなギャングの小粒化により今後、薄利多売型となり規模が小さい組織も被害に遭いやすくなることも予想される。
なぜ攻撃は増え続けるのか――“侵入口の売人”IABの正体
攻撃者側の分業化も進んでいて、RaaS(Ransomware as a Service)オペレーター、マルウェア開発者、侵入テスターなど、専門分野に特化した攻撃者が多数存在する。その中でも辻氏が注目するのはIAB(Initial Access Broker)だ。ランサムウェアを感染させたり情報を窃取したりするスキルはないが、脆弱性の放置や弱い認証を設定しているなどの理由から侵入可能な経路を発見・確保し、それらを販売する、いわば“侵入口の売人”である。
IABは、脆弱性を放置していたり、弱い認証を設定していたりするコンピュータを探し回るだけではなく、マルウェア生成のプラットフォームを契約し、生成したマルウェアをメールやWebといった経路で感染させるといったさまざまな方法で侵入経路を販売するための「仕入れ」を常々行っている。そして、侵入経路を別の攻撃者に販売し、購入した攻撃者がアフィリエイトと呼ばれるランサム攻撃の実行犯であった場合は、この後、ランサムウェアや脅迫プラットフォームを提供しているRaaSからランサムウェアの提供を受けて、IABから購入した侵入口から組織内ネットワークに入り、情報窃取やランサムウェアの展開を行うといった流れが確立されている。
広いインターネット上のどこにあるか分からない脆弱な入口だけを探し回って売る、IABのような存在が出現したことは、攻撃者のすそ野が広がりプレイヤーの数が増えたことを示している。脆弱性を放置していると、いつかは見つけられて攻撃されると考えるべきだ。狙われるのは著名な企業や価値のある情報を持つ組織であり、自分は無関係だと考える人も多いが、辻氏は「それは無関係ではなく無関心だ」と警告する。IABは侵入口さえ見つければ金になるので、それがどんな組織であるかは関係がない。どんな会社なのか知らずに攻撃してくる場合もある。
ランサム被害を防げるのか――最後の砦「バックアップ」の現実
実際にランサムウェア攻撃に遭い身代金を要求されたらどうするべきなのか。それを被害に遭ってから考えても遅い。そもそも、どのような状況でも支払わないのか、いくらならどの程度の被害規模であれば払うのか、といったことを事前に議論しておくことが重要だ。結論は状況や企業によって異なるが、身代金の支払いを考えている場合においての辻氏の考え方は以下のようなものだ。
もし、運用の失敗や攻撃者による破壊などの理由からバックアップによる復旧が困難な場合であれば、その復旧のために身代金を支払う意味はある。支払わないことで甚大な損害を被り、社員を解雇せざるを得ない状況に追い込まれるのは本末転倒であることに加えて、手元で復旧できたかどうかの確認ができる。つまり、履行されたことが分かる。しかし盗まれた情報の公開を防ぐ目的であれば支払うべきではない。支払ったとしても、情報を相手が本当に削除したかどうか確かめる術がないからだ。実際、法執行機関に押収されたサーバを調べると、情報が消されずに残っていたという事例も少なくない。
ランサムウェア攻撃の最後の砦となるのはやはりバックアップだ。しかし単にバックアップを取るだけでは意味がない。実効性のあるバックアップにするために同氏が重要なポイントとして挙げるのは、保護と訓練、それに速度の3つである。攻撃者はバックアップも潰そうとするため、バックアップそのものも攻撃から保護されていなければ、いざというときに使えない。また復旧に手間取れば被害が拡大してしまうため、訓練をしておくことも必要だ。さらに、復旧までの間は業務が停止している可能性が高い。どれだけ短時間で復旧できるかが重要であり、どこから着手すれば業務を早く復旧できるのか、またどれくらいの規模の復旧であればどれくらいの時間がかかるのかなどをできる限り把握しておく必要がある。
見えない脅威はどう広がるのか――ClickFixとインフォスティーラーの危険性
ランサム攻撃以外にも、注意しておくべき脅威はある。その1つがソーシャルエンジニアリングと呼ばれる、人間を騙し目的を達成する攻撃だ。例えば正規サイトに似たドメインを取得し、入力ミスをしたユーザーを誘い込んだり、知人や取引先になりすましたメールやチャットにより機密情報を聞き出したり、マルウェアに感染させたりするといった手口で、いわば人の脆弱性を狙って攻撃につなげるものを指す。
ソーシャルエンジニアリングの中で、昨年急増したのがClickFixだ。アクセスするとエラー画面やメッセージ画面が表示される。よくあるのが、ロボットではないことを確認するためにキー操作をさせるというもので、指示に従って操作するとマルウェアに感染してしまう。
その感染させられてしまうマルウェアの中でも注意、注目してもらいたいのがインフォスティーラーだ。感染したPCやモバイル機器から機密情報を抜き出すもので、例えばIDやパスワード、Cookie、キーログ(キーボードからの入力)、クレジットカードや暗号資産の情報などを盗み出す。とくに辻氏が「危険性を認識してほしい」と訴えるのがCookieだ。Cookieは入館証のようなもので、これがあれば多要素認証も突破でき、容易に侵入を許してしまうことになる。
インフォスティーラーも生成する仕組みを提供する側とそれを購入し感染させる側といったように分業化されている。この仕組みはMaaS(Malware as a Service)と呼ばれ、特定の利用権利を購入するサブスクリプションタイプの提供がされている。こうした分業化がされることで攻撃への参入障壁が下がり、すそ野が広がる要因となっている。
実は、インフォスティーラーの被害として明言し公表されている事例はほとんどない。辻氏の調査によるとインフォスティーラーに感染し、窃取されたと考えられる認証情報などは、専用のマーケットに出品されていることが確認できている。ということは、被害はあるはずだ。それなのに事例が出てこないと注意しようという気持ちにならない。「それがまずい」と同氏は警鐘を鳴らす。なぜ事例が出てこないのかというと、それは因果関係が証明できないためだ。例えば企業内のインシデントなら調査可能だが、リモートワークをしている社員や委託先の社員が感染して認証情報を窃取された場合には、そこまで調査することが現実的にできない場合もあり、仮にできたとしても調査の段階では痕跡が消えてしまっている場合もある。
リモートワークで認証情報が窃取されるケースで注意が必要なものとしては、ブラウザの同期機能がある。組織内のリソースへのアクセスのための認証情報が自宅のPCでも利用できるようになるため、これが窃取の経路となりうるのだ。重要な情報がセキュリティレベルの異なる場所に分散して保存されているため、セキュリティの弱いところがあればそこから情報を窃取されてしまう。こうした便利な機能が穴となり、組織外に重要な情報がアクセス可能な状態になっているかもしれない。だからこそ、今、在るべき姿になっているのかと、まずは自組織のシステムを疑うことも重要だ。
最後に辻氏は、「大事なのは準備」だと強調し、組織的に準備することが重要だと話した。
「侵入されるのが当たり前と考えることも大事ですが、簡単にあきらめないでほしいのです。完璧に準備しそれを維持するのは難しいですが、『最善は尽くした』と言える準備をしていただきたい。無料でできる対策もありますし、できることの余地はたくさんあると思います。自分たちに何ができるかを考えていただきたいのです」(辻氏)
クラウドセキュリティ「HENNGE One」、ゼロトラスト戦略を実現する脱VPNなど3つの新機能を拡充
