AIが悪用され始めたランサムウェアの攻撃の脅威とは

ランサムウェアの攻撃：侵入までの手口

ランサムウェア攻撃の基本は以前から変わっていませんが、新たな手法や技術が常に追加されている状況です。以下、攻撃の流れに沿って見ていきましょう。

閉じる

侵入のきっかけ

攻撃者が企業にランサムウェアを仕掛けるには、まず何らかの方法で企業内に侵入する必要があります。その方法はメールとネットワーク機器が中心ですが、そこに「入手した認証情報の悪用」が増加しています。

メールは、いわゆるウイルスメールとフィッシングメールがあり、ウイルスメールはマルウェア「Emotet」のようなソーシャルネットワーキング手法を使用します。社内や取引先からのメールを装い、業務用のものとして添付ファイルを開かせたり、メール文面にあるリンクからファイルをダウンロードさせたりするのです。メールの文面の作成には生成AIが用いられており、不自然さのない日本語を実現しています。

Emotetでは主にマイクロソフトOfficeのファイルのマクロ機能を悪用してマルウェアに感染させるのですが、同じ手法でランサムウェアに感染させたり、別のマルウェアに感染させ侵入した上で攻撃者がランサムウェアを追加でダウンロードさせたりするケースもあります。

フィッシングメールは、企業が使用するシステムやアプリケーションなどからのメールを装い、ログイン画面を表示してログインを促します。クリックして表示されるのは偽のサイトであり、入力したログイン情報（IDとパスワード）が盗まれます。Microsoft 365やGmailアカウントなどは格好の標的となります。こうしたフィッシングや漏えいしたログイン情報を悪用するケースが「入手した認証情報の悪用」となるのです。

脆弱性を悪用した侵入

脆弱性を悪用する侵入方法は以前から存在しましたが、コロナ禍によりリモートワークの導入のために企業のVPN利用が急増したことで、状況が変わりました。それまでは出張や一部リモートワークで一部の従業員しか利用されていなかったため、企業もVPNのソフトウェアアップデートをあまり意識していませんでしたが、コロナ禍に多くの従業員が利用を開始したことで攻撃者の標的になったのです。

ここでいう脆弱性とは、ソフトウェアにおける不具合のことで、さまざまなタイプが存在します。影響の小さいものから、システムの管理者権限を奪われる深刻なものまでさまざまです。確認された脆弱性に対し、その重要性に応じてベンダーは修正パッチやアップデートを提供し、それらを適切に適用すれば脆弱性は解消しますが、VPNなどのネットワーク機器は忘れられがちです。

そうした脆弱性を抱えながら放置されているVPN機器などが世界中にあることを、攻撃者が見逃すはずはありません。これが、企業への侵入方法として脆弱性の悪用が増加した理由です。脆弱性は、開発者はもちろん世界中のセキュリティ研究者などが探索しています。しかし攻撃者も新たな脆弱性を探しており、攻撃者は彼らより早く脆弱性を見つけることで、ゼロデイ攻撃を仕掛けているのです。

攻撃者が脆弱性を悪用するためには、エクスプロイトコード（攻撃コード）を作成し、それをマルウェアなどに実装する必要があります。脆弱性の探索から悪用までにおいて、攻撃者は生成AIを悪用するようになったといわれています。これにより、脆弱性の発見からそれを悪用した攻撃の発生までの時間が短縮傾向にあります。

ランサムウェアの攻撃：侵入後の行動、被害

以前の攻撃者は、主にユーザーのエンドポイントPC上でマルウェアを発動させていました。この場合、被害範囲は比較的限定的で、共有フォルダ上のファイルが暗号化される程度にとどまるケースが一般的でした。しかし、近年の攻撃者は企業のより深いところに侵入した上で発動させています。重要なデータのあるディレクトリまで侵入すれば、被害は大幅に拡大し、企業に深刻な業務停止や情報漏えいをもたらします。その結果、企業により深刻なダメージを与えて身代金の入手が容易になります。

そのため、何らかの方法により企業への侵入を果たした攻撃者は、外部から指示を送り企業内を移動します。これはラテラルムーブメント（横移動）と呼ばれるもので、重要なファイルの場所を目指して侵攻します。なお、ここでも最近は正規のツールやコマンドを悪用して、セキュリティ製品からの検知をかいくぐっています。「Living Off The Land（環境寄生型）」と呼ばれる手法です。

攻撃者は、Windows PowerShellなどのOS標準機能や、企業やそのセキュリティチームが一般的に使用するペネトレーションツール、リモートデスクトップ用ツール、システム管理用ツール、クラウドストレージおよび同期用ツールなどを悪用して監視や調査を回避するようになっています。マルウェアを使わずに正規のツールを悪用することで、これまで以上に気づかれることなく企業内を探索し、潜伏できます。

最初に攻撃者が狙うのは、Active Directoryなどのドメインコントローラーです。ここにアクセスすることで自身の権限を昇格させたり、ドメイン内の全ユーザーの認証情報を得たり、ポリシーを変更したりすることなどが可能になります。自身の権限を昇格すれば重要なファイルにもアクセスでき、さらなる悪事を働くことができます。こうして攻撃者は企業内に潜伏し、さらなる情報の収集などを行います。

準備を整えたら攻撃者は重要なファイルを盗み出し、ランサムウェアを発動させてファイルの暗号化を進めていきます。企業ユーザーのPC画面には身代金の請求画面を表示し、同時に盗み出したファイルを暴露サイトに用意して二重脅迫などを行っていきます。なお、ファイルを盗み出す際にも正規のツールなどを悪用します。企業のネットワークは熟知しているので、ネットワーク内はもちろんクラウド上のバックアップファイルもすでに暗号化しています。

サイバーセキュリティは取締役会レベルの課題に

ランサムウェア攻撃による被害は、企業を事業停止に追い込む大きなリスクを秘めています。ランサムウェア活動が2025年に増加に反転したことは、防御策の更新が急務であることを浮き彫りにしています。しかも、ランサムウェア攻撃そのものも進化しています。特にAI悪用の影響は大きく、ボイスフィッシングを含むより高度なフィッシングの作成や、侵入後の攻撃の自動化などが現実となっています。

プルーフポイントによるレポート「CISOの声」（2025年版）によると、66％の企業が最近機密データの損失を経験しています。この数値は前年を大幅に上回り、レジリエンス強化の必要性を浮き彫りにしています。さらに、対障害復旧（DR）計画が広く導入されているにもかかわらず、58％のCISOがサイバー脅威への準備が不十分と感じています。

サイバー攻撃の検知は今後さらに難しくなることが予想されるため、侵入はもはや避けられません。だからこそ、被害を最小化したり素早く復旧するレジリエンス能力を高めたりする取り組みに注力する必要があるのです。

近年、サイバーセキュリティが取締役会レベルの課題となりつつある理由には、まずは規制への対応が挙げられます。特に注目されているのはEUのNIS2（Network and Information Systems Directive 2）とDORA（Digital Operational Resilience Act）です。NIS2はエネルギー、交通、金融など広範な重要インフラ・サービス事業者を対象とするサイバーセキュリティ規制であり、中でも金融業界に特化した規制がDORAであり、これらは近い将来に日本の企業にも関係してくると考えられます。

また、ランサムウェア攻撃に限らずサイバー攻撃による被害を受けた場合は、企業は速やかに関連省庁に報告することが求められており、上場企業は株主の投資判断に影響を与える場合は適時開示義務が発生します。サイバー攻撃を受けて被害の発生を公表した際、ブランドやステークホルダーの信用を維持することも重要な要素となります。その点では、前回に被害事例として紹介したアスクルとアサヒグループホールディングスの対応はそれにならったものと言うことができます。

そして、事業継続性も重要な要素です。サイバー攻撃を受けた際にはシステムを停める必要があるため、事業の多くが停止してしまいます。また、調査・復旧費用、損害賠償費用、営業損失、危機管理・広報費用などの費用が発生します。こうした損害も考慮しながら、取締役会はサイバーセキュリティを考えていく必要があります。

サイバーセキュリティ対策は、変化する攻撃手法に対応できるシステム面および人的な面での対策が重要となります。次回は、中小企業を含めたサイバーセキュリティ対策のポイントを紹介します。