今週の情報はアスクルのランサム被害継続、電通グループ海外拠点のインシデント、IPAが警鐘するVPN機器のORB化、支払わない企業の増加に伴うランサム経済の利益率低下、CISAのKEV4件追加だ。サイバー攻撃者側の戦略は緻密化し、内部協力や社会的エンジニアリングの比率が上昇し続けている。境界機器は資産ではなく攻撃点という現実認識が必要だ。

連載のこれまでの回はこちらを参照

10月27日~11月2日の最新サイバーセキュリティ情報

本稿では10月27日~11月2日に発表されたサイバーインシデント、ランサムウェア経済の変調、基盤系製品の既知悪用脆弱性の追加などについて扱う。加えて境界機器の攻撃中継化、内部協力買収の台頭など、侵入経路の微細化と攻撃対価の変質などを取り上げる。

それでは、今週注目すべきサイバー攻撃動向を詳しく見ていこう。

アスクルのサイバー攻撃被害続く、限定出荷を開始も倉庫システム復旧見通せず

ランサムウェア攻撃を受けたアスクルは受注・出荷業務の停止が継続しており、随時情報が公開されている。執筆時点ではサイバー攻撃以前の状態には戻っていない。

10月27日、受注・出荷業務を停止している問題について「よくある質問(FAQ) - https://www.askul.co.jp/shopnews/news_251027_emergency_faq.html」が公開された。問い合わせ件数を減らす取り組みの一環とみられ、問い合わせ業務の負担が大きくなっている可能性が示唆された。しかし、このFAQのページは後にアクセスできなくなり、アクセスしても「大変申し訳ございませんが、こちらのページは現在ご利用できません。」という表示に差し替えられた。その後もFAQページは随時更新されたり、「大変申し訳ございませんが、こちらのページは現在ご利用できません。」という表示になったりといった状況を繰り返している。

10月29日、「一部商品の出荷トライアル運用の開始について(ランサムウェア感染によるシステム障害関連・第3報) 」が公開された。新木場物流センター(東京都江東区新木場)とASKUL大阪DC(大阪市此花区北港緑地)の2拠点について、手運用の出荷スキームによるトライアル運用を開始するというもので、最初は医療機関や介護施設を含む一部の顧客を対象に限定された商品の出荷を行うとしている。今後注文できる顧客および商品に関しては拡大すると説明している。注文はFAXで受付、対象商品はコピー用紙、ペーパータオル、トイレットペーパー、ゴミ袋などの37アイテムとされている。

  • 一部商品の出荷トライアル運用の開始について(ランサムウェア感染によるシステム障害関連・第3報)

    一部商品の出荷トライアル運用の開始について(ランサムウェア感染によるシステム障害関連・第3報)

10月29日の発表はシステムの復旧を示すものではなく、手運用による代替措置であることが説明されている。発表時点で本来の倉庫管理システム(WMS:Warehouse Management System)の復旧スケジュールは確定していないと説明している。また、被害の拡大を防止するためにランサムウェアに関する詳細情報の開示も控えるとしており、調査を継続している旨が引き続き示されている。

10月31日には本インシデントによって情報漏えいが確認されたことが発表された(参考「ランサムウェア攻撃による情報流出に関するお詫びとお知らせ(ランサムウェア攻撃によるシステム障害関連・第5報)」)。同社のサーバが不正アクセスを受けたことで顧客およびサプライヤーに関する情報が漏えいしたとされている。発表時点では漏えいした情報を悪用した被害の発生は確認されていないと説明している。

  • ランサムウェア攻撃による情報流出に関するお詫びとお知らせ(ランサムウェア攻撃によるシステム障害関連・第 5 報)

    ランサムウェア攻撃による情報流出に関するお詫びとお知らせ(ランサムウェア攻撃によるシステム障害関連・第5報)

さらに同社は、発表した以外にも情報漏えいがある可能性を確認したと説明しており、今後追加で情報漏えいについて発表が行われる可能性がある。関係者は今後の発表に注力するとともに、必要に応じてすぐに対応ができるようにしておくことが望まれる。

漏えいした情報は他のサイバーセキュリティ攻撃に使われる可能性がある。身に覚えのないメールやメッセージが届いた場合には、安易に添付ファイルを開いたりリンクをクリックしたりせず、一度手を止めて内容を確認するなど、日々のサイバーセキュリティ対策を着実に実施していくことが望まれる。

電通グループがサイバーインシデント発表、外部専門機関と連携調査へ

電通グループは10月28日、海外事業におけるサイバーセキュリティ事案の発生を公表した。グループのCXM(顧客体験マネジメント)領域を担う米国子会社・Merkleのネットワークの一部で異常が検知された。インシデント対応手順はすでに開始済みとされる。特定のシステムを予防的に停止し、影響を最小限に抑える措置を講じた結果、現在はシステムが復旧済みであるという。また、各国の法制度に基づく当局への報告も完了しており、外部の専門サイバーセキュリティ企業と連携して引き続き調査を進めている(参考「海外事業におけるサイバーセキュリティ事案に関して – 株式会社電通グループ」)。

  • 海外事業におけるサイバーセキュリティ事案に関して – 株式会社電通グループ

    海外事業におけるサイバーセキュリティ事案に関して – 株式会社電通グループ

本件による日本国内ネットワークシステムへの影響は確認されていない。電通グループは今回の事案により財務的影響が生じる可能性を認めつつも、その規模や発生時期については今後精査を行う方針だ。同社は今後も再発防止と情報セキュリティ体制の強化に努め、事業継続性と顧客の信頼維持に向けた対応を進めていく構えとしている。

本件に関して電通の発表では、具体的にどのようなサイバー攻撃が行われたのか、犯行声明はあったのか、情報漏えいはあったのか、顧客に影響はあるのか、具体的にどのような対策に取り組んでいるのかといった詳細情報について明らかにされていない。

一方、報道メディアのいくつかは本件における情報漏えいについて伝えている。Decision Marketingは本件について、電通が顧客、取引先、現・元従業員に関する情報を含む「特定のファイル」が流出したことを認めたと伝えた。Merkleは世界30カ国以上で約1万6,000人の従業員を擁し、サムスン、ソニー、フォルクスワーゲンなどを顧客に持つが、どの地域が被害を受けたかは分からないという。従業員へのメールによれば、流出した情報には銀行口座や給与情報、社会保険番号、個人連絡先などが含まれているとされている(参考「Merkle data hit as Dentsu is rocked by 'security incident' - DecisionMarketing」)。

  • Merkle data hit as Dentsu is rocked by 'security incident' - DecisionMarketing

    Merkle data hit as Dentsu is rocked by 'security incident' - DecisionMarketing

IPAが警告、VPN経由のネットワーク貫通型攻撃と踏み台化の深刻性

情報処理推進機構(IPA:Information-technology Promotion Agency, Japan)は10月31日、ネットワーク境界に位置するVPN機器などで深刻な脆弱性が相次いで報告され、実際にネットワーク貫通型攻撃に悪用される事例が確認されていると発表した。これらの脆弱性が悪用されると、攻撃者は組織内ネットワークに侵入するだけでなく、機器を乗っ取ってOperational Relay Box(ORB:攻撃の中継拠点)として他組織への攻撃の踏み台にするおそれがある(参考「VPN機器等に対するORB (Operational Relay Box)化を伴うネットワーク貫通型攻撃のおそれについて | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構」)。

  • VPN機器等に対するORB(Operational Relay Box)化を伴うネットワーク貫通型攻撃のおそれについて|情報セキュリティ|IPA 独立行政法人 情報処理推進機構

    VPN機器等に対するORB(Operational Relay Box)化を伴うネットワーク貫通型攻撃のおそれについて | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

当該攻撃による影響は多岐にわたる。第一に攻撃者による情報窃取のリスクがあり、組織内の機密情報や業務データが漏えいするおそれがある。第二に機器のORB化により自組織が第三者への攻撃に加担するかたちになり、ボットネット化の一端となる危険がある。第三に長期潜伏により内部偵察や継続的攻撃の拠点とされる可能性があり、さらに信用失墜や訴訟、取引停止などの社会的・法的リスクを招く点についても注意が促されている。

対策としては迅速なパッチ適用と古い機器の更新・廃棄、管理インターフェイスの外部公開禁止や不要サービスの停止といった公開設定の最小化、ASMを用いた可視化と不審な中継通信の監視、ファイアウォールやIDS/IPSによる多層防御とネットワーク分離、ならびにBCP/BCMを含む体制整備と定期的訓練の実施が挙げられている。なお、影響を受ける脆弱性の例としてNetScaler(CVE-2025-7775など)、Ivanti Connect Secure(CVE-2025-22457)やFortinet製品(CVE-2024-55591)などが示されている。

「支払わない」企業が増加で過去最低の23%、ランサム経済の収益性が低下 - サイバー犯罪者の次なる一手とは

Bleeping Computerは10月27日(米国時間)、ランサムウェア攻撃の被害者が身代金を支払う割合が過去最低の23%にまで低下したと報じた。セキュリティ企業・Covewareによると、この傾向は過去6年間にわたり続いており、2025年第3四半期には支払い率が過去最低を記録した。背景には、企業がより強固なランサムウェア対策を導入したことや、法執行機関が被害者に支払いを行わないよう促していることがある。Covewareは、こうした動向をサイバー防御体制の進展を示す肯定的な兆候と評価しており、攻撃阻止や被害軽減、交渉対応の改善がサイバー犯罪者の利益を圧迫していると述べている(参考「Ransomware profits drop as victims stop paying hackers」)。

  • Ransomware profits drop as victims stop paying hackers

    Ransomware profits drop as victims stop paying hackers

また、報告によれば、攻撃手法は暗号化に加えデータ窃取と公開脅迫を組み合わせた「二重恐喝」型が主流となり、2025年第3四半期には76%以上の攻撃がデータ流出を伴っていた。暗号化を行わずデータのみを盗むケースでは支払い率が19%にまで落ち込み、平均支払い額も37万7千ドル、中央値14万ドルに減少した。大企業が支払い拒否方針を強化する一方で、AkiraやQilinなどのグループは中堅企業を標的に移行しており、侵入経路としてリモートアクセスやソフトウェア脆弱性の悪用が増加している。Covewareは、利益減少が攻撃者の精密化を促し、今後は社会工学や内部関係者の買収を通じた侵入が増えると警告している。

Covewareの報告によると、2025年第3四半期のサイバー恐喝の情勢は、量を追求するRansomware-as-a-Service(RaaS)型攻撃と、大企業を狙う高コストの標的型侵入の二極化が進んでいる。とくにAkiraグループが脆弱性を突いて中堅企業を大量攻撃した結果、件数は記録的水準となったが、平均身代金支払額は前期比で約66%減少し、支払い率も過去最低の23%にまで低下した。大企業はデータ流出の脅しに屈せず支払いを拒む傾向を強めており、中小企業は被害頻度こそ高いものの支払い額は限定的だ。このように、全体としてランサム経済は収益性が縮小し、攻撃者の成功率が下がり続けていることが明らかになった(参考「Insider Threats Loom while Ransom Payment Rates Plummet」)。

  • Insider Threats Loom while Ransom Payment Rates Plummet

    Insider Threats Loom while Ransom Payment Rates Plummet

一方で、攻撃手法には新たな展開が見られる。MedusaランサムウェアがBBC職員に賄賂を持ちかけ、内部協力を通じてシステム侵入を試みた事例は象徴的だ。従来の内部脅威は知的財産の持ち出しなどデータ窃取型が主だったが、RaaS組織が英語話者を雇って企業内部者を買収し暗号化攻撃を支援させる試みは異例だ。これは、初期侵入コストの高騰や利益率低下により、攻撃者がより創造的かつ標的型の手法へと移行していることを示している。とくに社会的エンジニアリングや内部犯行誘発など、人間の信頼を技術的足掛かりに変える傾向が顕著だ。

加えて、RaaS経済そのものも構造的に変化している。かつてのContiやLockbitのような巨大RaaS組織は、運営コストの増大とアフィリエイト間の不信によって崩壊し、単なるデータ窃取集団に転じる例も増えた。現代の攻撃者はアクセスブローカーやフィッシング、ソーシャルエンジニアリングを組み合わせ、より限定的かつ収益性の高い標的を狙う方向へ進化している。収益の圧縮は彼らを「ホワイトホエール」すなわち超大規模企業への集中攻撃に駆り立てており、企業はもはや単なるバックアップ体制のみならず、内部脅威管理を含む全方位的防御の再構築を迫られている。

長期にわたってランサムウェア攻撃は攻撃者にとって確実に収益が得られる手段と認識されており、サイバーセキュリティベンダーや各国当局は身代金の支払いに応じないように求めてきた。一方で、実際には支払いを行う組織が多かったと言われている。しかし、今回のCovewareの報告はこうした傾向が縮小しつつあることを示している。サイバー攻撃者は常に収益が得られる攻撃方法の模索を続けており、今後ランサムウェア攻撃以外の攻撃にシフトする可能性も考えられる。また、支払いが減少傾向とは言え、サイバー攻撃者がランサムウェア攻撃を停止するという理由にはならない。今後もランサムウェア攻撃は長期にわたって継続することを前提として、サイバーセキュリティ対策および運用を続けることが大切だ。

CISA、KEVに4件追加、DELMIA Apriso / XWiki / VCF Opsに影響

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、10月27日~11月2日にカタログに4つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • Dassault Systèmes DELMIA Apriso Release 2020 Goldenから Release 2020 SP4までのバージョン
  • Dassault Systèmes DELMIA Apriso Release 2021 Goldenから Release 2021 SP3までのバージョン
  • Dassault Systèmes DELMIA Apriso Release 2022 Goldenから Release 2022 SP3までのバージョン
  • Dassault Systèmes DELMIA Apriso Release 2023 Goldenから Release 2023 SP3までのバージョン
  • Dassault Systèmes DELMIA Apriso Release 2024 Goldenから Release 2024 SP1までのバージョン
  • Dassault Systèmes DELMIA Apriso Release 2025 Goldenから Release 2025 SP1までのバージョン
  • xwiki-platform 5.3-milestone-2およびこれより後のバージョンで、15.10.11よりも前のバージョン
  • xwiki-platform 16.0.0-rc-1およびより後のバージョンで、16.4.1よりも前のバージョン
  • VMware VCF operations 9.0.xから9.0.1.0よりも前のバージョン

本件では、CISAが既知悪用脆弱性カタログに4件を追加した。対象範囲にはDELMIA Aprisoの複数リリース、xwiki-platform、VCF operationsが含まれる。対象製品がいずれも業務系/基盤系に寄っていることから、可用性影響と連鎖的横展開リスクを同時に想定すべきだ。

該当ベンダーの修正版リリースの適用方針だけではなく、攻撃経路に連なる周辺制御の強化(資格情報の再発行、攻撃面縮小、公開面の再棚卸しなど)をまとめて実施するのが望ましい。CISA KEV掲載は「悪用済」を示すため、優先度は高く、当該製品の運用当事者は短期的な例外承認を前提とした即時パッチ適用計画の策定が求められる。

* * *

KEV掲載は「悪用済」であり、優先度は高い。境界機器の公開面棚卸しと資格情報再発行を定型化し、例外承認を先に作ってパッチ適用速度を上げる設計に転写する必要がある。

サイバー攻撃者は「人の意思決定」に寄せてきている点にも注意がいる。身に覚えのない連絡に即反応しない、業務分離アカウントを運用する、こうした毎日の微細な対策こそが長期的防御において大切だ。

参考