ランサムウェアの検知：手法、ツール、そして2026年のEDR回避へのシフト

ランサムウェアは、わずか12ヶ月前と比べても、より迅速に、より静かに、そしてより破壊的な脅威となっている。マンディアント（Mandiant）の「M-Trends 2026」レポートによると、最初のアクセスから攻撃者が実際に操作を開始するまでの時間は、2022年の8時間以上から、2025年にはわずか22秒へと大幅に短縮された。 同時に、ベライゾンの「2025年データ侵害調査レポート」によると、全侵害事例の44％がランサムウェアによるものであり、これは前年の32％から増加しています。 単なる予防ではなく、検知こそが、インシデントが22秒のわずらわしさで済むか、数週間にわたる事業停止につながるかを決定づける要素である。本ガイドでは、ランサムウェア検知とは何か、防御担当者が多層的に構築すべき4つの手法、MITRE ATT&CK とどのように関連するか、そして2026年に台頭したBYOVD EDRキラーが、エンドポイントのみの戦略の再考を余儀なくさせた理由について解説する。

ランサムウェアの検知とは何ですか？

ランサムウェアの検知とは、エンドポイント、ネットワーク、ID、クラウドのコントロールプレーン全体において、暗号化やデータ流出、およびそれらに先行する行動を含むランサムウェアの活動を特定する取り組みであり、これにより防御側は、攻撃者が目的を達成する前に侵入を封じ込めることができます。これは、侵入を完全に阻止しようとするランサムウェアの防止とは異なります。

実際には、検知には3つの課題が同時に含まれます。第一に、既知のランサムウェアのバイナリをシグネチャによって捕捉することです。第二に、ペイロードが実行される前に、暗号化前の攻撃手法（シャドウコピーの削除、認証情報のダンプ、横方向の移動、防御システムの改ざんなど）を検知することです。第三に、暗号化や大量のデータ窃取がすでに進行している場合の被害状況を確認することです。現代のプログラムでは、単一のテレメトリ情報源ではランサムウェア侵入の全段階を把握できないため、検知は多層的なアプローチとして扱われています。

2026年にランサムウェアの検知が重要な理由

攻撃者のペースが加速し、それに伴い経済状況も悪化している。

• 22秒。 マンディアントの「M-Trends 2026」レポートによると、初期アクセスから引き継ぎまでの時間は、2022年の8時間以上から、2025年にはわずか22秒にまで短縮された。攻撃者はもはや行動に移す前に静かに潜伏することはなく、初期アクセスブローカーから提携オペレーターへの引き継ぎは今やほぼ瞬時に行われる。これは、ランサムウェア・アズ・ア・サービス（RaaS）のサプライチェーンがもたらした直接的な副産物である。
• ベライゾンの「2025年データ侵害調査報告書」によると、全データ侵害の44％がランサムウェアによるものであり、これは前回の32％から増加している。中小企業ではその割合が88％に達するのに対し、大企業では39％にとどまっている。これは、ランサムウェアの被害が、その影響を最も吸収しにくい組織に不釣り合いなほど集中していることを示している。
• ソフォスの「2025年ランサムウェア動向レポート」によると、2025年には攻撃の47％が暗号化される前に阻止されており、これは2023年の22％から増加した。暗号化率は50％に低下し、2024年の70％から減少した。防御側はより多くの攻撃を早期に検知しているが、その成果は不均一であり、多層的な検知体制を整えている組織に集中している。
• ポネモン研究所の「2025年データ侵害のコスト」調査によると、ランサムウェアによる侵害の平均コストは508万ドルである。ジャガー・ランドローバーが2025年に5週間にわたって生産を停止した事例（約19億ポンドの損害をもたらしたと報じられている）は、その影響が予想以上に長期化しかねないことを示している。
• マンディアント社によると、2025年の検知から対応までの平均所要日数は14日となり、2024年の11日から増加した。外部からの通報ではなく社内で検知された場合、その平均所要日数は9日に短縮された。これは、検知ツールや運用体制への投資が確実に成果をもたらしていることを示している。

傾向は明らかです。攻撃者の動きはより迅速になっていますが、多層的な検知体制に投資する防御側は、より多くの攻撃を捕捉しています。Vectra AI 示すように、ランサムウェアの経済構造は現在、双方にとってスピードが重要視されるようになっています。そして、22秒で攻撃を仕掛ける攻撃者と、14日間かけて防御する防御側の間の差こそが、検知戦略の成否を分ける鍵となるのです。

ランサムウェアの初期兆候

ほとんどのランサムウェアは、暗号化を行う前に数日間にわたって振る舞い を示します。以下の兆候に注意を払うことは、SOCが行える最も効果的な検知作業です：

• シャドウコピーの削除は vssadmin delete shadows またはWMIの同等機能
• ワークステーション間で予期せぬRDPまたはSMBによる横方向のトラフィックが発生している
• ドメイン コントローラーにおける認証情報のダンプ行為
• セキュリティツールの改ざん：EDRドライバーのアンロード、サービスの強制終了、ETWの抑制
• 通常とは異なる送信データ量、または新たな希少な宛先へのビーコン（データ流出の前兆）
• 不審なPowerShell、 rundll32または msimg32.dll ローダーの動作
• ファイル共有における一括ファイル名変更、拡張子の変更、およびエントロピーの急上昇
• 不自然な時間帯における新規または異常なサービスアカウントのログオン

こうしたシグナルが単独で現れることはめったにありません。vssadmin コマンドが1つ実行されただけではノイズと見なされますが、同じコマンドの実行に加え、新しいサービスアカウントによるログオンやSMBトラフィックの急増が確認された場合、それは暗号化が行われることを示す確度の高い前兆となります。

ランサムウェア検知の4つのカテゴリー

多くのガイドでは、3つの検知手法が紹介されています。しかし、その考え方はもはや時代遅れです。2026年現在、効果的なランサムウェアの検知には、シグネチャ、振る舞い、ネットワークトラフィック、そしてデセプションという4つの要素を組み合わせる必要があります。なぜなら、単一の層だけではすべての攻撃者を捕捉することはできないからです。

1. シグネチャベースの検知

シグネチャベースの検知は、ファイルのハッシュ値、YARAルール、または既知のコードパターンを脅威インテリジェンスデータベースと照合することでランサムウェアを特定します。この手法は高速かつ低コストで、一般的な亜種に対しては有効ですが、新規の亜種、ポリモーフィックコード、ファイルレス型ペイロードには対応できません。2026年には、シグネチャは主要な層ではなく、補完的な層としてセキュリティスタックに位置づけられるべきです。 アンチウイルスや第一世代のエンドポイントツールは、既知のバイナリを迅速に検知する上で依然として有用ですが、それだけでは不十分です。

2.振る舞い

振る舞い 、プロセスが何であるかではなく、何をしているかを監視します。大量のファイル名変更、ディレクトリ全体でのエントロピーの急上昇、シャドウコピーの削除、グループポリシーの改ざん、そして異常な親子プロセスツリーなどは、すべて振る舞い 。振る舞い 、その亜種を以前に確認しているかどうかには依存しないため、シグネチャでは検出できない新たな亜種も捕捉することができます。

2026年3月にマイクロソフトが公表した予測的防御の事例は参考になる。ある単一のキャンペーンにおいて、振る舞い 約700台のデバイスで暗号化が阻止され、最初の兆候から3時間以内に試みられた暗号化の約97％がブロックされた。この検知は、ハッシュの一致ではなく、観察された手口に基づいて行われた。

3. ネットワークトラフィックの検知

ネットワーク検知は、ランサムウェアが生成するトラフィック（コマンド＆コントロールへのビーコン送信、SMBやRDPによる横方向のトラフィック急増、DNSトンネリング、異常な量の外部へのデータ流出など）によってランサムウェアを特定します。ネットワーク検知・対応（NDR）の真価が発揮されるのは、まさにこの点にあります。 ネットワークテレメトリは、エンドポイントの信頼境界の外側で機能するため、特に価値が高いと言えます。EDRエージェントを無効化した攻撃者であっても、侵害されたホストが依然として送信しているパケットを隠蔽することはできないからです。Vectra AIランサムウェア検知の分析は、エンドポイントのテレメトリが低下した場合でも、ネットワークシグナルが持続することを浮き彫りにしています。

4. 欺瞞に基づく検知（カナリアファイルとハニーポット）

「欺瞞」は、2026年の競合他社のガイドの多くが取り上げていないカテゴリーですが、多くの場合、最も迅速に検知できる手法です。カナリアファイル（監視対象の場所に配置されたおとりファイル）は、アクセスされたり、名前が変更されたり、暗号化されたりした瞬間に、信頼性の高いアラートを発します。Elastic Security Labsによるランサムウェア・ハニーポット調査では、カナリアファイルを用いたランサムウェアの暗号化検知に約12秒しかかからず、シグネチャや振る舞い よりも高速であることが実証されました。

欺瞞攻撃はコストが低く、誤検知率が低く、攻撃者が正体を明かさずに攻撃の全容を把握するのは困難です。暗号化されたおとりファイルが1つあるだけで、直ちに封じ込め措置を講じる十分な根拠となります。

キルチェーン全体にわたる検知とMITRE ATT&CK

検知は、ランサムウェアの侵入段階、サイバーキルチェーン、および具体的な MITRE ATT&CK の手法に照らし合わせて行うと最も効果的です。以下の表では、6つの一般的な段階を、手法ID、検知シグナル、および最適な手法に照らし合わせています。

このマッピングから得られる重要な教訓は、防御側が適切なレイヤーを監視していれば、通常、暗号化が実行されるまでに数日間の兆候を捉えることができるという点だ。PowerShellの実行から始まり、 T1486 暗号化のプロセスでは、通常、これらの手法のうち3つから4つが関与することになります。検知範囲の評価は、ツールのチェックリストではなく、ATT&CKマトリックスに基づいて行う必要があります。

ランサムウェア検知ツール：EDR vs NDR vs SIEM vs XDR

SOCの責任者が直面する最大の課題は、次にどの種類のツールに投資すべきかという点です。4つの主要なカテゴリーはそれぞれ異なる役割を果たしており、正解は「上記のいずれか」ではなく、ほとんどの場合「多層的なアプローチ」となります。以下の比較は、特定の製品ではなく、機能の分類について述べたものです。

エンドポイントの検知・対応は、プロセスレベルの可視化と封じ込めにおいて依然として不可欠です。しかし、2026年には攻撃者がエンドポイントエージェントを無効化することがますます増える中、ネットワーク検知・対応こそが、ホスト側から改ざんされることのない唯一のテレメトリを提供します。SIEMプラットフォームはログの相関分析を一元的に行えますが、アラート疲労の問題に悩まされることがよくあります。拡張型検知・対応（EDR）プラットフォームは、これらの情報源を相関ロジックで統合し、優先順位付けの負担を軽減します。

クラウドネイティブ型ランサムウェアの検知

クラウド型ランサムウェアは、エンドポイント型とは全く異なる性質を持っています。攻撃者はワークステーション上のファイルを暗号化するのではなく、オブジェクトストレージ上の鍵を変更します。例えば、AWS S3を標的とした2025年の「Codefinger」キャンペーンでは、顧客提供の鍵を用いたSSE-Cサーバーサイド暗号化が悪用されました。攻撃者は鍵を保持し、その返還と引き換えに身代金を要求したのです。 従来の意味での「暗号化」は行われておらず、被害者は単に自身のデータにアクセスできなくなっただけでした。Vectra AI 、クラウド環境に侵入するランサムウェアの検知に関する分析と、Codefinger S3ランサムウェアの手口に関する具体的な解説を公開Vectra AI 。

効果的なクラウドネイティブ型検出では、ファイルシステムではなくコントロールプレーンを監視します：

• S3およびオブジェクトストレージの暗号化設定の変更（SSE-Cキーの操作を含む）
• IAMの異常、および不審なロール割り当てや権限の昇格
• オブジェクトストレージに対するシグナルの一括削除（バージョン履歴の削除を含む）
• クラウドサービスにおけるスナップショット、バックアップ、およびレプリカの削除
• アカウント間のデータ移動および攻撃者が管理するアカウントへのデータ流出

Wiz Academyのクラウドランサムウェアに関する調査報告書が示すように、クラウドランサムウェアの検知には、CloudTrail、ストレージサービスの監査ログ、およびIDテレメトリを統合する必要があります。これは、エンドポイント検知とは根本的に異なるテレメトリの構成となります。

EDR回避の問題：BYOVDと多層防御の必要性

2026年4月、ランサムウェアの検知件数は、ここ2年間にわたり近づきつつあったある一線を越えた。QilinおよびWarlockのオペレーションに所属するグループが、実環境で悪意のある msimg32.dll 脆弱性のある署名付きドライバーをサイドロードするローダーチェーン — これには rwdrv.sys (ThrottleStop) および hlpdrv.sys — カーネルの権限を取得し、エンドポイントの防御体制を体系的に無力化するため。によると Qilin EDRキラーに関するCisco Talosの独自調査, ローダー：

• ほぼすべての主要なエンドポイントベンダーにまたがる300以上のEDRドライバーに関連付けられたプロセスを終了します
• セキュリティ製品が可視化のために依存しているユーザーモードAPI呼び出しを解除する
• エンドポイントテレメトリで使用されるEvent Tracing for Windows (ETW) プロバイダーを無効にする
• ランサムウェアのペイロードが実行される前に、EDRカーネルコールバックを解除する

これは、大規模な「Bring Your Own Vulnerable Driver（BYOVD）」攻撃です。もはや概念実証（PoC）や標的型APTの手法ではなく、ランサムウェアのアフィリエイトキットに組み込まれた汎用的な攻撃手法となっています。 このビジネスへの影響は、2026年初頭にQilinによるものとされるCovenant Healthへの侵入事件によって具体化した。この事件では、478,188人の患者データが流出、135万ファイルに及ぶ約852GBのデータが持ち出され、数週間にわたる紙ベースの診療業務を余儀なくされた。

この検知に関する教訓は明白です。ランサムウェアが300以上のEDRドライバーを無効化できる場合、エンドポイントのみの検知はもはや多層防御とは言えず、単一障害点となってしまいます。Vectra AIランサムウェア検知に関する分析Vectra AI、同様のメカニズムを説明している。エージェントを無力化させた攻撃者であっても、エージェントが通信するネットワーク、エージェントが認証に利用するID、あるいはエージェントが暗号化するカナリアファイルまでは無力化できない。エンドポイントの信頼境界の外側で動作する検知レイヤー――ネットワーク検知・対応（NDR）、ID脅威検知・対応（IDTR）、およびデセプション――は、EDRエージェントが沈黙していても、依然として可視性を維持する。

重要な検知指標：MTTD、滞在時間、および検知までの時間

検出率を測定できなければ、改善することはできません。最も重要な指標は次の4つです：

• 検知までの平均時間（MTTD）：悪意のあるイベントが発生してから、SOCがそれを認識するまでの平均経過時間。
• 潜伏期間：最初の侵害から検知までの期間。「Mandiant M-Trends 2026」によると、2025年の潜伏期間の中央値は14日間であり、外部からの通報ではなく社内で検知された場合の潜伏 期間の中央値は9日間であった。
• ブレイクアウト時間：ホストが最初に侵害されてから、最初の横方向の移動が行われるまでの時間。業界の脅威インテリジェンス調査では、現在、この時間を時間単位ではなく分単位で測定している。
• 初期アクセスから引き継ぎまでの時間：2025年のマンディアントによる中央値22秒は、初期アクセスブローカーから提携先への引き継ぎにおける新たなペースを示している。

2024年のチェンジ・ヘルスケア（Change Healthcare）のインシデントは、その重大性を如実に示す事例として今なお注目されています。「JAMA Health Forum」に掲載された学術分析によると、多要素認証（MFA）が導入されていなかったCitrixポータル上で、攻撃者が検知されるまでの潜伏期間は9日間に及んだことが明らかになりました。また、CSO Onlineの事後分析では、総コストは10億ドルを超えると推計されています。週次レポートで成果を測る防御側は、秒単位で動く攻撃者に後れを取っているのです。 検知のペースは攻撃のペースに合わせなければならず、インシデント対応計画は時間単位ではなく、分単位のタイムラインを前提とする必要があります。

コンプライアンス：NIS2、GDPR、HIPAA、および検知後のSEC報告期限

検知されると、規制上のタイムリミットが開始されます。インシデントが確認された瞬間から、管轄当局への報告義務が発生し始めます。そして、ほとんどの規制枠組みにおいて、その期限は数週間ではなく、数時間から数日単位で設定されています。以下の表は、ランサムウェアに関連する主な義務をまとめたものです。

NIS2では、対象組織が最初の警告を発するまでの猶予期間がわずか24時間と定められているため、検知から法務部門、コンプライアンス部門、および経営陣への通知に至るまでの連携プロセスを事前にリハーサルしておく必要があります。CISAの「#StopRansomware」 ガイドおよびNISTサイバーセキュリティ・フレームワークは、いずれも検知から通知に至るワークフローをプログラムの中核要件として位置付けています。本表は参考情報であり、法的助言ではありません。具体的な義務は、管轄区域、業種、および関与するデータの性質によって異なります。

今後の動向と新たな考察

今後12～24カ月のランサムウェア検知においては、3つの変化が主流となるでしょう。

BYOVDが標準となり、エンドポイントのみのスタックは性能が低下する。 麒麟／ウォーロック msimg32.dll ローダーチェーンは単発の事例ではなく、能力曲線の始まりに過ぎません。2026年にかけて、さらに多くの提携企業がこの手法のライセンスを取得したり模倣したりすることが予想されます。また、脆弱なドライバーのブロックリストは、単なるオプションの対策ではなく、セキュリティ強化の標準要件となるでしょう。NDR、ITDR、あるいはデセプションといったバックアップ手段を持たず、単一のエンドポイントエージェントに依存する検知プログラムは、不完全なものとして扱うべきです。

クラウドランサムウェアが、クラウドデータ窃盗を抜き、最大のクラウド脅威となった。SSE-Cの悪用、スナップショットの破壊、およびコントロールプレーンの暗号化キーの悪用に対処するには、ほとんどの組織がまだほぼリアルタイムで収集していないテレメトリデータが必要となる。2026年から2027年にかけての投資優先事項には、クラウドネイティブな行動分析、CloudTrailおよび同等の監査ログの取り込み、ならびにアカウント横断的な異常検知を含めるべきである。

規制対応の猶予期間が短縮されている。EU加盟国ではNIS2の施行が加速しており、SECの「4営業日以内の重大性判断ルール」に基づく執行措置も相次いでいるほか、米国の複数の州では、医療分野の対応期限をモデルにしたランサムウェアに特化した情報漏洩通知法の制定を積極的に進めている。組織は、技術的な封じ込め手順だけでなく、NIS2の24時間およびGDPRの72時間という猶予期間をエンドツーエンドで想定した机上訓練に投資すべきである。

準備の優先事項：上記のATT&CKキルチェーン表に基づいて検知範囲を検証し、エンドポイントの信頼境界の外側で動作するレイヤーを少なくとも1つ追加し、ファイル共有の主要な5か所以上にカナリアファイルを配置し、法務部門と四半期ごとに検知から通知への引き継ぎ手順の演習を行うこと。

ランサムウェア検知における最新のアプローチと、Vectra AI

2026年のBYOVDへの移行により、単一のエンドポイントテレメトリソースに依存する戦略はすべて無効化されます。ネットワーク、アイデンティティ、デセプションのシグナルをエンドポイントと組み合わせた多層的な検知こそが、攻撃者がEDRエージェントを無効化した場合でも可視性を維持できる唯一の構成です。Vectra AI Attack Signal Intelligence 、ネットワーク検知・対応およびID脅威検知・対応における侵害後の行動シグナルを優先的に分析し、BYOVDローダーでは隠蔽できない横方向の移動、権限昇格、およびデータ流出といった行動を可視化します。2026年にランサムウェアを効果的に検知するには、エンドポイントエージェントが機能しなくなった場合でも機能し続ける多層防御が必要です。

結論

2026年のランサムウェア検知は、わずか1年前とは全く異なる分野となっている。 攻撃者は22秒単位のテンポで活動し、アフィリエイトは産業用レベルのツールキットをレンタルし、BYOVDローダーはたった1回のキーストロークで数百ものエンドポイントドライバーを強制終了させる。こうした変化に追随できている防御側は、検知を単一のツールで解決できる問題とは考えず、シグネチャ、振る舞い、ネットワーク、デセプションという4つの手法を組み合わせ、さらにエンドポイントエージェントが機能しなくなった場合でも稼働し続ける可能性のあるあらゆるテレメトリソースを活用するようになっている。

今後進むべき道は明確です。検知範囲MITRE ATT&CK チェーンに照らし合わせ、エンドポイントの信頼境界の外側に少なくとも1つの層を追加し、導入コストがかからない場所にデセプションを展開し、規制の期限が迫る前に、検知から通知への引き継ぎを事前に練習しておくことです。 現在、暗号化される前に阻止されている攻撃が47%に達しているのは偶然ではありません。これは、早期に投資を行った組織が得た成果なのです。さらに詳しく知りたい方は、Vectra AI AIの脅威ハンティングおよび マネージド・ディテクション・アンド・レスポンス（MDR）に関する取り組みをご覧ください。