Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
2025年第3四半期には、85のランサムウェアグループが同時に活動しており、これは過去最多の記録である。一方、世界全体の被害額は570億ドルに達した(Check Point Research, 2025; Cybersecurity Ventures, 2025)。 2026年3月だけで、Qilin、Akira、DragonForceの3つのグループが、同月に記録された672件のインシデントの40%を占めた(Infosecurity Magazine, 2026)。
本ガイドは、セキュリティ専門家、SOCアナリスト、およびCISOを対象に、ランサムウェアの仕組み、最も大きなリスクをもたらす 脅威アクター、そして実際にリスクを低減させる防御策に関する最新情報を提供します。検知機能の構築、インシデント対応手順の精緻化、あるいは経営陣への組織的リスクに関する報告を行う際にも、ここに掲載されている情報は、FBI、CISA、MITRE ATT&CKによる脅威調査と防御のベストプラクティスを反映したものです。
ランサムウェアとは、被害者のデバイスやネットワーク上のファイルを暗号化し、アクセスを回復させるために、通常は仮想通貨での身代金の支払いを要求する悪意のあるソフトウェアの一種です。 FBIによると、ランサムウェアは、支払いが行われるまで、コンピュータ上のファイル、システム、またはネットワークへのアクセスを妨げます。
CISAはランサムウェアを次のように定義しているマルウェア デバイス上のファイルを暗号化し、そのファイルやそれに依存するシステムを使用不能にするものです。その影響は単にファイルがロックされるにとどまらず、ランサムウェアは当該データに依存する業務プロセスを混乱させます。
サイバーセキュリティ・ベンチャーズによると、2025年の世界的なランサムウェアによる被害額は570億ドルに達し、1日あたり約1億5600万ドルに上る。これらのコストは身代金支払いに留まらず、事業の中断、復旧費用、評判の失墜、規制当局による罰金なども含まれる。
現代のランサムウェア攻撃者は、暗号化を実行する前に、 偵察を行い、システムへの潜伏経路を確保し、機密データを盗み出します。これにより、ランサムウェアによる各インシデントは、被害を受けた組織に長期的な影響を及ぼす可能性のある データ漏洩へと発展することになります。
ランサムウェアは他の マルウェア とは、主に被害者にその存在を知らせるという点で異なります。スパイウェア、トロイの木馬、ウイルスは通常、データを盗んだり、 バックドアへのアクセス権を確立したり、ファイルを破壊したりする際に、何の予告もなく密かに動作しますが、ランサムウェアは明確な身代金要求書を通じて支払いを要求します。この可視性は意図的なものです。被害者に支払いを迫るためには、まずサイバー攻撃が認識されなければならないからです。
それぞれ マルウェア の種類ごとに、目的、検知されやすさ、そして攻撃者がそこから利益を得る方法が異なります。
金銭的インセンティブが絶え間ない適応を促し、 フィッシングが主流だった2023年の侵入経路から、2025年第3四半期には攻撃の48%を占めるようになったVPN認証情報の侵害への移行は、防御側が1つの侵入経路を封じ込めると、攻撃者がいかに迅速に手法を変えるかを示している。
現代のランサムウェア攻撃は5つの段階を経て進行しますが、防御側は各段階を阻止することが可能です。各段階に検知対策を適切に割り当てるかどうかが、暗号化が行われる前に攻撃者を検知できる組織と、被害が発覚してから初めて気づく組織との違いを決定づけるのです。
典型的なランサムウェア攻撃は、以下の5段階で進行する:
HIPAA Journalによると、2025年第3四半期のランサムウェア攻撃の48%は、VPNの認証情報の漏洩が原因であり、第2四半期の38%から増加した。これは、以前の年とは根本的に異なる傾向を示しており、 フィッシング が初期アクセスの大半を占めていた時期とは、根本的な変化を示している。
認証情報に基づくアクセスが フィッシング、エクスプロイト、およびその他のあらゆるランサムウェアの感染経路を凌駕した
この変化は、犯罪者向けの闇市場で 盗まれた認証情報が広く流通していること、およびシステムを侵害してランサムウェアの運営者にアクセス権を販売する「初期アクセスブローカー」の活動が効果的であることを反映している。これらのブローカーは、 インフォスティーラーを利用して認証情報を大規模に収集している。
外部サービスの悪用による攻撃は、全体の23%を占めており、最近の攻撃キャンペーンでは、VPNアプライアンス(SonicWallのCVE-2024-40766)、Citrix NetScalerデバイス(CVE-2025-5777)、およびOracle E-Business Suite(CVE-2025-61882)などのエンタープライズ ソフトウェアの脆弱性が標的となっています。
ネットワークに侵入すると、ランサムウェアの攻撃者は平均48分 以内に横方向への移動を開始します。観測された最速の事例では、わずか18分でネットワーク全体への拡散が完了しています(Vectra AI )。防御側は、攻撃者が環境を掌握する前に拡散を検知し、封じ込めるために、1時間未満、場合によっては20分未満の時間しかありません。
攻撃者は、正当な管理ツールや認証情報を利用して横方向への移動を行うため、振る舞い を行わなければ、その活動を通常のネットワーク運用と見分けることが困難になる。
Deepstrikeの調査によると、2025年のランサムウェア攻撃の76%において、暗号化の前にデータの 持ち出しが行われており、暗号化が開始される時点で、ほぼすべてのランサムウェア事件がデータ漏洩事件となっている。これにより「二重恐喝」が可能となる。つまり、被害者がバックアップから復元したとしても、攻撃者は盗んだデータを公開すると脅迫するのだ。
情報漏洩フェーズで観察される一般的なツールには以下が含まれる:
MITRE ATT&CK は、資格情報の悪用(T1078)から影響を与えるための暗号化(T1486)に至るまで、ランサムウェアの攻撃者が使用する具体的な手法を網羅しています。ランサムウェアの主要な手法は、影響(Impact)戦術に分類されるT1486「影響を与えるためのデータ暗号化」です。
ランサムウェア攻撃の大部分において、初期の認証情報の悪用から防御回避、そして最終的な暗号化に至るまで、6つの手法が見受けられる。
70以上のランサムウェアファミリーが、特定のATT&CK手法と関連付けられています。この関連付けを実際に導入されている検知ルールに照らし合わせることで、どの領域がカバーされており、どの領域がカバーされていないかを正確に把握できます。このプロセスにより、既知の脆弱性に対して的を絞った 脅威ハンティングが可能になります。
ランサムウェアは現在、いくつかの明確なカテゴリーに分類されており、それぞれ異なる暗号化手法、恐喝の手口、ビジネスモデルを採用しています。
ランサムウェアは、主に「暗号化型ランサムウェア(クリプト・ランサムウェア)」と「ロック型ランサムウェア」の2つのカテゴリーに分類されます。
暗号化型ランサムウェアは、感染したデバイス上の個々のファイルやデータを暗号化します。 Keeper Securityによると、被害者はデバイスを引き続き使用することはできますが、復号鍵がなければ暗号化されたファイルにアクセスすることはできません。最新の暗号化型ランサムウェアは、AES-256、ChaCha20、RSA-2048などの強力な暗号化アルゴリズムを採用しており、これらを解読することは計算上不可能です。
ロッカー型ランサムウェア(スクリーンロッカー)は、個々のファイルを暗号化するのではなく、システム全体へのアクセスを遮断するという異なる手法を採用しています。 チェック・ポイント社によると、ロッカー型の亜種は、身代金が支払われるまでデバイスへのあらゆるアクセスを遮断します。ランサムウェアの初期にはロッカー型が主流でしたが、現在では、その影響力がより大きく、復旧が困難であることから、暗号化型ランサムウェアが主流となっています。
復旧、対応、およびバックアップの戦略は、両者で大きく異なります。
現在、ほとんどのランサムウェア攻撃は、データの暗号化と窃取を組み合わせており、中にはDDoS攻撃やサードパーティによる脅威も加えているものもある。
二重恐喝型ランサムウェア データ暗号化とデータ窃取を組み合わせた手口です。攻撃者はまず機密情報を持ち出し、その後システムを暗号化します。被害者が身代金を支払わずにバックアップから復旧した場合、攻撃者は盗んだデータを公開または販売すると脅迫します。 Arctic Wolfによると、2025年のランサムウェアインシデント対応事例の96%でデータ窃取が確認されており、二重恐喝は例外ではなく、もはや常態化しています。
「トリプル・エクストーション」型ランサムウェアは、データの暗号化や窃取に加え、さらなる威圧的な手口を用いています:
その結果、複数の悪影響が同時に生じることになります。具体的には、暗号化による業務の混乱、データ流出に伴う通知義務、そして情報漏洩の脅威による評判の失墜などが挙げられます。
IBMによると、 ランサムウェア・アズ・ア・サービス(RaaS)とは、ランサムウェアの開発者が自社の マルウェア を、実際の攻撃を行うアフィリエイトに販売または貸与するビジネスモデルである。このモデルにより、ランサムウェアは産業化され、単なる技術的な犯罪からフランチャイズ事業へと変貌を遂げた。
RaaS事業者は提携先に以下を提供します:
その見返りとして、アフィリエイトは身代金収入をRaaS事業者と分け合う。 Flashpointによると、アフィリエイトの収益分配率は通常、身代金支払額の70~85%の範囲にあるが、Qilinはアフィリエイトを引き付けるため、業界トップクラスの85%の分配率を提供している。
技術的な専門知識を持たない犯罪者でも、今ではプロ並みのランサムウェアを展開できるようになったため、2025年第3四半期には活動中のグループ数が85に達した。
2025年第3四半期には、過去最多となる85のランサムウェアグループが同時に活動していた。1月から9月にかけて、世界中で4,701件の被害が記録され、2024年の同時期と比べて46%増加した。こうしたグループの細分化は、法執行機関による主要グループへの取り締まりを受けた結果であり、RaaS(ランサムウェア・アズ・ア・サービス)のインフラを活用すれば、新たなグループが容易に活動を開始できる現状を反映している。
2026年3月だけで672件のランサムウェア攻撃が報告され、そのうち40%はわずか3つのグループ(Qilin、Akira、DragonForce)によるものでした。
Qilinはランサムウェアグループの筆頭格として台頭し、2025年第3四半期には月間75件以上の被害件数を処理するに至った。同グループは競合他社を上回る85%というアフィリエイト報酬率を提示しており、解散した組織から熟練したアフィリエイトを引き寄せている。特に注目すべきは、2025年3月に北朝鮮の脅威アクターがQilinのペイロードを展開したことであり、これは国家と犯罪組織によるランサムウェア活動との連携を示唆している。
CISAの勧告によると、2025年9月下旬時点で、Akiraは2億4,417万ドルの収益を蓄積していた。同グループは、製造業、教育、IT、医療、金融サービス分野における中小企業や重要インフラを標的としている。
LockBitは、オペレーション・クロノスをはじめとする法執行機関からの強力な圧力にもかかわらず、2025年9月にバージョン5.0で再登場した。全盛期に比べ勢いは衰えているものの、同グループが活動を継続していることは、確立されたRaaS(Ransomware-as-a-Service)事業の強靭さを示している。
チェンジ・ヘルスケア(2024年~2025年): チェンジ・ヘルスケアに対するALPHV/BlackCatによる攻撃は、米国史上最大規模の医療データ漏洩事件となった。 全米病院協会(AHA)によると、約1億9,270万人が影響を受け、総被害額は30億ドルと推定されている。根本的な原因は 、多要素認証が導入されていなかったCitrixサーバーの認証情報が侵害されたことにあり 、これは基本的なセキュリティ 対策の不備が招いた壊滅的な結果をもたらした。
Qilinによる「Korean Leaks」キャンペーン(2025年9月):「The Hacker News」によると、Qilinは1社のマネージドサービスプロバイダー(GJTec)を侵害し、そのアクセス権を利用して、韓国の金融セクターの24社を含む28の下流組織を攻撃した。100万件以上のファイルと2TBのデータが流出している。このサプライチェーン攻撃は、たった1社のMSPが侵害されるだけで、ランサムウェアの影響が飛躍的に拡大しうることを示している。
ClopによるOracle EBS攻撃キャンペーン(2025年11月): Z2Dataによると、ランサムウェアグループ「Clop」は、Oracle E-Business SuiteのCVE-2025-61882(CVSS 9.8)を悪用し、Broadcom、Estee Lauder、マツダ、キヤノン、Allianz UK、ワシントン・ポストなど100社以上を攻撃した。 このキャンペーンは、2023年にClopがMOVEitに対して行ったものと同じ大規模悪用の手法を踏襲しており、グループも戦術も同じだが、悪用された脆弱性は異なる。
2025年、医療業界はランサムウェアの最大の標的となり、FBIには460件の攻撃と182件のデータ漏洩が報告され、合計642件のサイバーインシデントが発生した(IC3 2025年年次報告書、2026年4月発行)。金融サービス業界は447件のインシデントが発生し、2番目に多いセクターとなった。
特定の業界への攻撃が集中していることは、それらの業界が保有するデータの価値と、被害者が身代金を支払う可能性を高めるような業務上のプレッシャーの両方を反映している。
ベライゾンのDBIR分析によると、中小企業におけるデータ侵害の88%がランサムウェアによるものであるのに対し、大企業では39%にとどまっています。専任のセキュリティ担当や インシデント対応体制が整っていない場合、攻撃を受けた中小企業の60%は6ヶ月以内に廃業に追い込まれています。
「予防」「検知」「対応」という3つの異なる防御層こそが、ランサムウェアから回復できる組織とそうでない組織を分ける要因です。予防は最もコストのかからない層です。検知と対応は、攻撃者がすでに内部に侵入してしまった後の結果を左右します。
CISAの「#StopRansomware」ガイドでは、すべての組織が導入すべき基本的な対策が定義されています。これら12の対策は、最も一般的な攻撃経路に対処し、ランサムウェアのキルチェーン全体におけるリスクを軽減します。
優先度の高い対策(直ちに実施):
追加の技術的制御:
侵害されたVPN認証情報を利用した攻撃が全体の48%を占めていることから、以下の3つの措置を早急に行う必要があります。VPNの設定を監査すること、すべてのリモートアクセスに多要素認証(MFA)を適用すること、そしてVPNの代替手段としてゼロトラスト・ネットワーク・アクセスを検討することです。
Veeamが詳細に説明している「3-2-1-1-0」バックアップルールは、ランサムウェアに対する耐性のあるデータ保護を実現します:
不変ストレージは、バックアップを「一度書き込み、複数回読み取り(WORM)」形式に変換します。この形式では、完全な権限を持つ管理者であっても、上書き、変更、削除を行うことはできません。これにより、バックアップシステムを標的とするランサムウェアからの保護が図られます。
検証されていないバックアップは、バックアップとは言えません。少なくとも四半期に一度は復元手順を検証し、目標時間に対する実際の復旧時間を記録しておくこと。これこそが、機能するバックアップと、単に存在しているだけのバックアップとの違いです。
ランサムウェア攻撃の各段階では、シグネチャベースのツールでは検知できないネットワーク上の痕跡が生じます。 ネットワーク検知・対応(NDR)により、エンドポイントエージェントでは決して把握できない横方向の移動、データの流出、および コマンド&コントロール(C&C)トラフィックを明らかにすることができます。
前駆体 マルウェア 監視対象:
ランサムウェア活動のネットワーク指標:
午前3時にサービスアカウントが認証されたり、管理者セッションが40GBのデータを外部ホストに転送したり、ユーザーがこれまで一度も触れたことのないファイル共有にアクセスしたりした場合、そうした異常な動きこそが警告の兆候となります。
Vectra AI ランサムウェア攻撃をどのようにVectra AI ・封じ込めるかをご覧ください
組織がランサムウェアの被害に遭った場合、CISAは直ちに対応するための指針を提供しています:
最初の1時間以内に対応するかどうかで、攻撃が1つのセグメントに封じ込められるか、ネットワーク全体に広がるかが決まります。
ソフォスによると、2025年には組織の56%が1週間以内に復旧した。これは2024年の33%から増加している。数日で復旧する組織と数ヶ月を要する組織との間の差は縮まりつつある。
FBIとCISAは身代金の支払いを推奨していません。データはこの立場を支持しています:
被害者の行動はこの指針を裏付けています。 ソフォスによると、2025年にはランサムウェア被害者の63%が身代金の支払いを拒否しており、2024年の59%から増加しています。一方、97%の組織がバックアップやその他の手段を通じてデータの復旧に成功しており、復旧のために支払いが必ずしも必要ではないことが示されています。
支払いを行うことを検討している場合は、いかなる決定を下す前に、法律顧問への相談および法執行機関への連絡を行うべきです。支払いによっては制裁規制に違反する可能性があり、当局が当該の脅威アクターに関する情報を把握しており、それが判断の基準を変える可能性があるからです。
NIS2、NIST IR 8374、および英国で提案されている法案では、ランサムウェアに特化した対策とインシデント報告の期限が義務付けられています。既存の対策をこれらの枠組みの要件に照らし合わせ、監査対応可能な証拠を作成することは、単なるガバナンス上の取り組みではなく、業務上の必須要件です。
NIST IR 8374 — ランサムウェア・リスク管理プロファイル: このNISTの刊行物は、サイバーセキュリティ・フレームワークの5つの中核機能(特定、保護、検知、対応、復旧)を、特にランサムウェアのリスクに適用したものです。 2025年1月にCSF 2.0に合わせて更新され、ISO/IEC 27001:2013およびNIST SP 800-53 Rev. 5に準拠した実践的なガイダンスを提供しています。
MITRE ATT&CK : ATT&CKバージョン18(2025年10月)では、70以上のランサムウェアファミリーとその手口が記載されています。組織はATT&CKを活用して、既知のランサムウェアの挙動に対する検知範囲を検証し、対応能力の不足を特定することができます。
NIS2指令(EU): NIS2指令は、18の重要セクターに属する必須および重要な事業体に対し、ランサムウェア対策の具体的な措置を講じることを義務付けています。主な要件としては、重大なインシデント発生時の24時間以内の早期通報、および違反に対する最大1,000万ユーロまたは全世界売上高の2%の罰金が挙げられます。
各フレームワークは、それぞれ 異なるコンプライアンス要件や運用上のニーズに対応しています
2025年のランサムウェア関連の保険金請求額の平均は118万ドルに達し、前年比17%増となった(Resilience、2025年)。ランサムウェアは保険金請求件数の56%を占める一方で、被保険者の被った損失の76%を占めている。
2024年、保険会社はサイバー保険の請求の約40%を拒否し、その際、「セキュリティ対策の不備」を理由とする免責条項をしばしば根拠として挙げた(HIPAA Journal)。保険会社は、請求を審査する際に、 脆弱性管理、運用体制、多要素認証(MFA)の導入状況、およびバックアップ手順を厳格に精査している。
新たな懸念として浮上しているのは、ランサムウェアグループ「Interlock」が、被害者からサイバー保険の契約書を盗み出し、保険の補償限度額を基準に身代金要求額を決定していることが確認されている点だ。攻撃者に補償限度額が知られてしまうと、セキュリティ対策を強化せずに適切な保険に加入しているだけでは、かえってリスク要因となりかねない。
Vectra AI 、「Attack Signal Intelligence」Vectra AI ランサムウェア防御Vectra AI 、シグネチャや既知のインジケーターに依存するのではなく、攻撃チェーン全体にわたる攻撃者の行動を検知します。ネットワークトラフィック、クラウド上の活動、およびID関連のシグナルを分析することで、同プラットフォームは、ランサムウェアの展開に先立つ横方向の移動、 権限昇格、およびデータ流出のパターンを特定します。
「侵害を前提とする」モデルは、予防的対策が機能しなくなることを前提としており、初期アクセス後の動向に検知の焦点を当てています。初期アクセスから暗号化までの間(多くの場合、わずか18分程度)こそが、シグネチャでは検知できない脅威を、振る舞い 分析型脅威検知が捕捉できる時間帯なのです。
AIを活用した検知技術により、特定の亜種に関する事前の知識がなくても、ランサムウェアの新たな挙動を特定できます。攻撃者が新たな回避手法を開発しても、振る舞い 、キャンペーンを問わず一貫して見られる根本的なパターン、認証情報の悪用、異常なデータアクセス、横方向の接続試行などを引き続き検知し続けます。
ID、クラウド、ネットワークの各レイヤーにわたる可視性がなければ、攻撃者は検知されることなく暗号化段階にまで到達してしまう。
ランサムウェア集団は、法執行機関による摘発から数週間以内に組織を再編し、四半期以内に攻撃手法を変更し、数ヶ月以内に新たな恐喝戦術を採用します。多要素認証(MFA)を導入し、検証済みの不変バックアップを維持し、ネットワークをセグメント化し、振る舞い を導入している組織は、より迅速に復旧でき、身代金の支払いを回避できます。
今後の道筋は、率直な評価から始まります:
2025年のランサムウェアは、成熟し洗練され、かつ高度に分断された脅威であり、いかなる組織も無視できない。活動中のグループは85、世界的な被害額は570億ドル、暗号化とデータ窃取を常套手段とする攻撃が横行する中、その危険性はかつてないほど高まっている。
データは、予防策と準備が効果的であることを示している。多要素認証(MFA)を導入し、テスト済みの不変バックアップを維持し、ネットワークをセグメント化する組織は、復旧が早く身代金の支払いを回避できる。検知能力、特にネットワークベースの振る舞い 投資する組織は、暗号化が始まる前に攻撃者を捕捉する。
今後の道筋には継続的な進化が不可欠である。ランサムウェア攻撃者が新たな手法を開発し新たな脆弱性を悪用するにつれ、防御側も適応せねばならない。MITRE ATT&CK に基づく検知範囲の定期的な検証、継続的なセキュリティ意識向上トレーニング、四半期ごとのバックアップ復元テストが、強靭な運用基盤を構築する。
ランサムウェア防御の強化を目指す組織にとって、Vectra AI の Attack Signal Intelligence アプローチは、攻撃チェーン全体にわたる検出を提供し、特定のマルウェアの亜種や回避手法に関係なく、ランサムウェアの展開に先立つ動作を識別します。
本ガイドで引用されている統計データおよび脅威インテリジェンスは、以下の情報源に基づいています:
記載されたインシデント(Change Healthcare、Qilin Korean Leaks、Clop Oracle EBS)の情報源は、それぞれAHA、The Hacker News、Z2Dataです。
ランサムウェアとは、ファイルを暗号化してロックし、そのロックを解除するために(通常は仮想通貨での)支払いを要求する悪意のあるソフトウェアです。 FBIによると、これは経済的被害が最も甚大なサイバー攻撃の一つであり、1件あたりの被害額は平均550万~600万ドルに上ります。攻撃者は、支払い方法と期限を記載した身代金要求書を送ってきます。支払えば復号鍵を提供すると主張しますが、データの復旧は保証されません。 最近のランサムウェアは、データを暗号化する前に盗み出し、バックアップから復元した後であっても支払わない場合は機密情報を公開すると脅迫します。
2025年第3四半期、ランサムウェア攻撃の48%は、VPNの認証情報が不正アクセスされたことが原因であった(HIPAA Journal)。 フィッシング 悪意のある添付ファイルやリンクを含むフィッシングメールは、依然として主要な攻撃経路である。インターネットに接続されたシステム(特にVPNアプライアンス、Citrixデバイス、およびエンタープライズソフトウェア)の未修正の脆弱性を悪用することも、別の侵入経路となる。マネージドサービスプロバイダーやソフトウェアベンダーを経由したサプライチェーン攻撃は、複数の組織を同時に侵害する可能性がある。攻撃者が初期アクセスを獲得すると、通常は数日または数週間かけてネットワーク内を移動し、データを盗み出した後に暗号化を実行する。
FBIおよびCISAは、身代金の支払いを控えるよう推奨しています。この指針は統計データによって裏付けられています。身代金を支払った組織のうち、データを無事に復旧できたのはわずか46%であるのに対し、支払った組織の80%がその後も攻撃を受けています。 2025年には、ランサムウェア被害者の63%が支払いを拒否し、97%の組織がバックアップやその他の手段でデータを復旧させました。身代金を支払うことは、犯罪組織への資金提供となり、将来の攻撃を助長することになります。支払いを検討している場合は、まず弁護士に相談し、法執行機関に連絡してください。一部の支払いは制裁規制に違反する可能性があり、当局はあなたの判断に影響を与える情報を保有している場合があります。
さらなる拡散を防ぐため、直ちにネットワークから切り離して、影響を受けたシステムを隔離してください。システムの再起動やリブートは行わないでください。これにより、さらなる損害が生じたり、フォレンジック証拠が失われたりする恐れがあります。バックアップシステムも暗号化から保護するため、安全に隔離し、ネットワークから切り離してください。身代金要求メッセージのスクリーンショットを撮影し、システムの状態を保存するなどして、すべてを記録してください。攻撃の範囲を評価し、どのシステムが影響を受けているかを確認してください。 FBI、 CISA、または地元の法執行機関に連絡してください。身代金の支払いを検討する前に、「 No More Ransom Project」で無料の復号ツールを確認してください。同プロジェクトでは、100種類以上のランサムウェアファミリーに対応した復号ツールが提供されています。
フィッシング- すべての対外向けサービスおよびリモートアクセスポイントにおいて、フィッシング耐性のある多要素認証(MFA)を導入することが、最も影響力の大きい対策です。 Veeamが詳述する「3-2-1-1-0ルール」に従い、オフラインかつ変更不可能なバックアップを維持してください。既知の悪用済み脆弱性については速やかにパッチを適用し、CISAの「既知の悪用済み脆弱性カタログ」に掲載されている項目を優先してください。横方向の移動を制限するためにネットワークのセグメンテーションを実施してください。リアルタイム検知機能を備えたEDR、NDR、またはXDRソリューションを導入してください。 管理者アカウントと日常使用のアカウントを分離し、15文字以上のパスワードを義務付けます。VPNの認証情報が侵害された攻撃が全体の48%を占めることを踏まえ、VPNの代替としてzero trust 検討してください。
二重恐喝型ランサムウェアは、従来のファイル暗号化とデータ窃取を組み合わせたものです。攻撃者はまずネットワークから機密データを盗み出し、その後システムを暗号化して身代金を要求します。被害者が支払わずにバックアップから復旧しようとすると、攻撃者は盗んだデータをリークサイトに公開したり販売したりすると脅迫します。 Arctic Wolfによると、2025年のランサムウェアインシデント対応事例の96%でデータ流出が確認されており、ダブルエクソーションは標準的な手口となっている。優れたバックアップ体制を整えている組織であっても、データの流出は規制上の罰則、評判の失墜、競争上の不利益を招くため、支払いを迫られる大きな圧力に直面することになる。
今日、ランサムウェア・アズ・ア・サービス(RaaS)プラットフォームを運営する組織化されたサイバー犯罪グループが、ランサムウェア攻撃の大部分を実行しています。 Check Point Researchによると、2025年第3四半期には85の異なるランサムウェアグループが活動していました。 最も活発なグループには、Qilin(月間75件以上の被害、アフィリエイト収益分配率85%)、Akira(収益2億4400万ドル)、Medusa 重要インフラで300件以上の被害)、DragonForce(低い利益分配要件により台頭中)などが挙げられる。 一部のグループは国家と結びつきを持っている。2025年3月には北朝鮮のハッカーがQilinランサムウェアを展開しており、国家主体と犯罪組織との連携を示唆している。初期アクセスブローカーは、システムへの侵入を専門とし、そのアクセス権をランサムウェア運営者に販売しており、エコシステムのさらなる産業化を促進している。
最も明らかな兆候は、画面に表示される身代金要求メッセージです。これは、支払い方法や期限が記載されたテキストファイル、HTMLページ、あるいはデスクトップの壁紙などです。 その他の兆候としては、突然開けなくなったファイルや、ファイル名に不慣れな拡張子が追加されたファイル、システムのパフォーマンスが異常に低下していること、理由もなく無効化されたウイルス対策ソフトなどが挙げられます。企業環境では、セキュリティチームが、大量のファイル変更イベント、CPUやディスクリソースを消費する予期せぬ暗号化プロセス、あるいは未知の外部アドレスへのC2トラフィックを検知する場合があります。ランサムウェアの感染が疑われる場合は、直ちに感染したシステムを隔離し、再起動しないでください。再起動すると、さらなる暗号化が引き起こされたり、調査に必要なフォレンジック証拠が破壊されたりする恐れがあります。
ランサムウェアの駆除には、感染したデバイスの隔離、特定のランサムウェアの亜種の特定、および悪意のあるファイルの削除が含まれます。ウイルス対策ツールや専門のインシデント対応チームが駆除を支援することはできますが、 マルウェア を削除するだけでは、ロックされたデータの復号化は行われません。復旧の可否は、ランサムウェアの種類、バックアップや復号鍵の有無、および暗号化が解除可能かどうかによって異なります。「 No More Ransom Project」では、100種類以上のランサムウェアファミリーに対応した無料の復号ツールを提供しています。身代金の支払いを検討する前に、必ずこのリソースを確認してください。企業環境においては、完全な削除を確保し、再感染を防止し、法執行機関や保険対応のためのフォレンジック証拠を保全するため、専門のインシデント対応チームへの依頼が推奨されます。