最近数か月の大規模ランサムウェア攻撃から得られた主要な教訓
最近数か月のランサムウェア攻撃から学び、高度な脅威から自社を守る方法を確認しましょう。
2026 年 2 月 23 日、Ryan Estes 著
2025 年に発生した最大級のランサムウェア攻撃は、この脅威があらゆる業界の組織にとって依然として重大であることを示しています。例えば、Change Healthcare の攻撃では約 1 億 9,000 万人の個人データが侵害され、ジャガーランドローバーの攻撃では生産ラインが停止し、数億ドル規模の損失が発生しました。これらの事例は、単一のインシデントでも、事業の継続と機密情報の両方に深刻な影響を与えることを示しています。
これらの特定の事例を超えて、これらのランサムウェア攻撃では憂慮すべき傾向が見られます。初期アクセスは依然として重大な侵入ポイントであり、常駐化やラテラルムーブメントにより、攻撃者は影響範囲を拡大しています。ランサムウェアは単にシステムを暗号化するだけではありません。近年では、業務妨害、データ窃取、情報を公開すると脅迫する圧力を組み合わせたキャンペーンの一部として使用されるケースが増えています。2026 年のサイバーセキュリティ予測によれば、従来型の暗号化ランサムウェアはもはや攻撃の最終目的ではなく、あくまでツールの一つに過ぎなくなっています。現代の攻撃は、情報の窃取や恐喝に重点を置いており、ランサムウェアはその圧力を増幅する手段として使用されます。このような変化から、インシデントを検出して封じ込め、対応する方法を、組織は再考せざるを得なくなっています。
脆弱な初期アクセスと常駐化が被害を左右する
2025 年の重要な教訓の一つは、アクセス管理を適切に行っていれば、多くの攻撃は防げたということです。侵害された認証情報や多要素認証(MFA)の未導入は、攻撃者がネットワークに侵入し、気づかれずに活動することを可能にしますが、この手法は繰り返し悪用されています。
多要素認証(MFA)の導入、権限の監査、フィッシングやなりすましに関するユーザー教育は、初期アクセスの成功率を低下させるための重要なステップです。さらに、エンドポイントの監視やイベントの相関分析により、ラテラルムーブメントのパターンを検出し、重大なインシデントに発展する前に攻撃が疑われる活動を警告できます。攻撃者は数日から数週間に息をひそめ、標的を絞った攻撃を計画することも多くあります。したがって、こうした動きを早期に特定して封じ込めることは、高度な脅威に対応する上で極めて重要です。暗号化ランサムウェアは、特定の状況ではその影響は重大にならない場合もありますが、依然としてサイバー犯罪者が多く利用している手段であり、今後の脅威の進化を正確に予測することは依然として困難です。
暗号化から情報窃取と恐喝へ進化するランサムウェア
2 つ目の教訓は、ランサムウェアが 二重恐喝へ進化していることです。これは、業務妨害に加えてデータ窃取や情報を公表すると恐喝する脅威を組み合わせた攻撃手法です。従来型の暗号化ランサムウェアは、組織のバックアップや復旧能力が大幅に向上したことにより、次第に影響力を失うとウォッチガードは考えています。現在、攻撃によって実際に受ける影響は、情報を窃取して公表すると恐喝されることにあります。場合によっては、保険会社を巻き込んで圧力をさらに強めるケースも見られます。
この新しい脅威環境に対抗するために推奨されるのが多層防御戦略です。この戦略には、以下の要素が含まれます。
- 振る舞いベースのエンドポイント保護:異常な活動を検知し、侵害されたシステムを隔離し、横方向移動を制限することで、被害の拡大を防ぎます。
- ネットワーク境界セキュリティ:マルウェアを侵入時点で阻止し、内部システムへの拡散や機密情報の漏洩を防ぐために必要です。
- アイデンティティおよびアクセス管理:多要素認証(MFA)による認証強化やゼロトラストアクセス(ZTNA)の適用により、認証情報が侵害されても、攻撃者は自動的にアカウント、機密情報、重要サービスにアクセスできなくなります。
この統合型のアプローチにより、攻撃の拡大と機密データの漏洩の両方を抑制し、運用、法規制、評判への影響を軽減できます。重要なのは、単にシステムを復旧するだけでなく、恐喝が行われる前にデータの流出を検知して防止することです。
ランサムウェアがデータ窃取や情報公開による恐喝へと進化していることを踏まえ、サイバーセキュリティは 予防と準備を重視した視点で再考する必要があります。予防の観点では、アイデンティティを強化し、不正な初期アクセスのリスクを軽減することが重要です。また、ネットワークセキュリティの活用によってトラフィックを可視化し、攻撃が拡大する前に不審な活動を検知し、エンドポイント保護機能によって異常な挙動を早期に識別し、脅威を初期段階で封じ込めます。
さらに、データ窃取の傾向を踏まえ、組織は単なる暗号化攻撃にとどまらず、情報漏洩のリスクにも備える必要があります。この対策には、サプライチェーンの保護も含まれます。データを扱うサプライヤーも同様に堅牢な保護を講じていることを確認してください。情報がやり取りされるすべてのノードで一貫したセキュリティ制御を適用します。このようなシナリオを想定し、予防策と情報漏洩への対応計画を組み合わせることで、運用、法規制上、評判への影響を最小限に抑え、高度化する脅威下でも事業継続性を確保できます。
ウォッチガードの 2026 年のサイバーセキュリティ動向を参照して、ランサムウェアから組織を守る方法の詳細をご覧ください。
https://www.watchguard.com/wgrd-solutions/security-trends/ransomware