2025/09/12

変化するランサムウェアの手口 ― MSP がとるべき備え

2025 年 9 月 12 日 Ryan Estes 著

ランサムウェアは衰退ではなく、進化しています。WatchGuard Firebox のテレメトリに基づく「攻撃検知件数」は減少傾向にありますが、恐喝サイトや報道機関のデータが示しているのは異なる現実です。ランサムウェアが関わるアクティビティは四半期ごと、年ごとに増加しており、活動中のランサムウェアグループの数も増えています。また、平均的な身代金要求額も上昇しており、実際、一般的な支払い額は 2023 年に 40 万ドルであったのが、 2024 年には 200 万ドル、つまり 500% という驚異的な増加率を記録しています。

攻撃者は「範囲」を広げるのではなく、より選択的に、かつ戦略的に攻撃を行う手法にシフトしています。現在では多くのグループが RaaS(サービスとしてのランサムウェア)モデルを採用し、標的とするユーザの数は減らした上で、与える影響を大きくすることで利益を最大化する手口を洗練させています。暗号化を伴わないデータ窃取も、圧力をかける手段として一般化しています。Clop グループによる MOVEit サプライチェーン攻撃のような事例は、現代においてランサムウェア攻撃が巧妙化し、標的を絞り込んで、複雑化した攻撃を行っている現状を如実に示しています。

ランサムウェアの新しいアプローチ

ランサムウェアを使った攻撃は現在、標的の基準や実行方法が一新され、手法に変化が生じています。マネージドサービスプロバイダ(MSP)にとって、この変化を理解することは、防御戦略を調整してユーザを保護する上でも非常に重要です。主な変化には以下のようなものがあります。

  • RaaS モデルの拡大:この手法は今も広がっており、高度な技術知識を持たない悪意ある攻撃者でも、ランサムウェア攻撃を展開するためのツールやサービスを利用できるようになっています。これにより、攻撃の多様化が進んでいます。
  • Ransomhub や Clop といったグループの台頭:LockBit の消滅後、これらのグループが活発な存在として頭角を現し、大規模組織を主要な標的としています。
  • サプライチェーン攻撃:広く利用されているソリューションの脆弱性を悪用することで、サイバー犯罪者は単一の侵入経路から多数の企業を侵害できます。MOVEit を利用した攻撃はその代表例です。
  • データ窃取を主体とする恐喝手法:攻撃グループは、機密情報や個人情報の窃取を優先し、それを公開すると脅すことで被害者に圧力をかける傾向を強めています。これにより、従来のシステム暗号化は二次的な位置づけとなっています。
  • 暗号化されたネットワーク通信の悪用:最新の Internet Security Report によると、現在のマルウェアの 71% は暗号化通信(TLS)経由で配布されています。これにより、ディープパケットインスペクション(DPI)やふるまい分析といった技術が、従来なら見逃されていた脅威を検出する上で不可欠になっています。

少数の標的に対し最大の影響を与えることを目的とするランサムウェアが増加し、高度化が進んでいます。MSP はインシデントを迅速に隔離し、拡散を防ぐアプローチを採用する必要があります。強固なネットワークとエンドポイントセキュリティソリューションに併せて、ネットワークのマイクロセグメンテーション、内部トラフィックの厳格な制御、各エンドポイントの個別防御といった対策を実装することが、対応力を高め、攻撃の影響を軽減するための鍵となります。

効率性と柔軟性のバランスを取りつつ、実際のセキュリティニーズとビジネスロジックに合致したツールを導入することが MSP にとっての分岐点となります。こうした戦略を取ることで、常に一定レベルの防御を維持し、最新の脅威手法にも対応することが可能です。そして、顧客企業の事業継続性を確保できます。

ランサムウェアやユーザの保護の方法についてさらに詳しく知りたい場合は、以下の記事もご覧ください。

ランサムウェア攻撃:古い手法への回帰と最小限の投資への流れ
Ransomware attacks cost companies millions in 2023(英語)

ウォッチガードは FirewareOSの脆弱性 CVE-2025-9242 に対応済みです。早急にアップデートをお願いいたします。(2025/9/17)