この記事で分かること
- ランサムウェアとは:感染したコンピューターのファイルを暗号化し、アクセス不能にした上で、その解除と引き換えに身代金を要求する不正プログラムです。
- 日本での被害例:KADOKAWAや名古屋港が大規模な被害を受けました。電子カルテの暗号化による医療停止や、サプライヤー経由の攻撃による工場操業停止など、広範囲な影響が出ています。
- 対策方法:最重要の予防策は、データをオフラインでバックアップすることです。感染時は、すぐに端末をネットワークから隔離し、警察や専門家へ相談する必要があります。
アサヒGHDへのQilinによるサイバー攻撃の疑い
アサヒグループホールディングス(アサヒGHD)へのサイバー攻撃について、ランサムウェア集団の「Qilin(キリン)」が犯行声明を出したと報じられています。
https://jp.reuters.com/markets/global-markets/2HPRGIHPTZIANFKRKPUJBZYDBI-2025-10-07/
ンサムウェア集団は自らの犯行を誇張することもあるため、Qilinの主張する内容の真偽については、アサヒGHDの正式な調査結果を待つ必要がありまが、Qilinは2022年頃から活動しているとされ、近年、活発に活動しているランサムウェアグループの一つです。
ランサムウェアとは何か
ランサムウェア(Ransomware)は、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、「身代金要求型マルウェア(悪意のあるソフトウェア)」の一種です。
感染すると、コンピューターやネットワークに保存されているデータやシステムへのアクセスを制限し、その制限を解除する対価として金銭や暗号資産(仮想通貨)を要求します。
ランサムウェアの主な仕組みと手口
ランサムウェア攻撃は、主に以下のプロセスで進行します。
- 初期侵入・感染:
- フィッシングメールの添付ファイルや悪意のあるリンクをクリックさせる。
- VPN機器などのシステムやソフトウェアの脆弱性を突く。
- 不正広告などを経由する(ドライブ・バイ・ダウンロード)。
- 内部活動(標的型攻撃の傾向):
- 侵入後、攻撃者はネットワーク内を探索し、できる限り高い権限(管理者権限など)を獲得しようとします。
- この段階で、正規のツールなどを悪用して検知を逃れる「環境寄生型」の手口が使われることがあります。
- データ窃取(二重脅迫):
- 近年主流になっている手口で、データを暗号化する前に、企業にとって重要な機密情報(顧客情報、財務情報、知的財産など)を盗み出し、攻撃者側のサーバーに持ち出します。
- 暗号化・システムロック:
- 盗んだ後、ランサムウェアを起動させ、被害者のPCやサーバー内のデータを不正に暗号化し、使用不能な状態にします。あるいは、OSへのアクセスをブロックし、画面をロックします。
- 身代金要求(脅迫):
- 画面上に、データの復号(暗号解除)に必要な「鍵」と引き換えに、身代金(通常はビットコインなどの暗号資産)を支払うよう要求するメッセージが表示されます。
- さらに、持ち出したデータを支払いに応じない場合にインターネット上に公開すると脅迫することで、より強い圧力をかけます(二重脅迫)。
被害の深刻さ
ランサムウェアに感染した場合の被害は多岐にわたります。
- 業務・サービスの一時停止: データやシステムが使えなくなることで、企業活動が停止し、多額の収益損失やブランド価値の低下を招きます。
- 機密情報の漏えい: 盗まれた情報が公開された場合、顧客の個人情報漏洩や企業の知的財産の流出といった深刻な被害が発生します。
- 金銭的な損失: 身代金の要求額が高額になることがあります。また、身代金を支払ったとしても、データが元通りに戻る保証はありません。
ランサムウェアは、感染したコンピューターのファイルを暗号化し、アクセス不能にした上で、その解除と引き換えに身代金を要求する不正プログラムです。近年は、データを盗み出し暴露すると脅す「二重脅迫」が主流です。
なぜ侵入しても、誰が侵入したか特定できないのか
サイバー攻撃で侵入者が誰であるかを特定するのが難しいのは、攻撃者が自分の身元を隠すために様々な高度な手法を意図的に用いるためです。主な理由は以下の通りです。
- 匿名性の高い通信手段の利用(多重中継)
- 攻撃者は、自身のIPアドレス(インターネット上の住所)を隠すため、世界中の無関係な第三者のコンピューター(踏み台)を経由したり、匿名性の高いネットワーク(例:Tor)を利用したりします。
- これにより、攻撃元を辿っても直前の経由地しか分からず、真の攻撃者を突き止めることが極めて困難になります。
- 痕跡の消去と偽装(ギミック)
- 攻撃者は、侵入後に自身の活動ログや不正なファイルを削除するなど、痕跡を意図的に消去します。
- また、捜査機関やセキュリティ担当者を誤った方向へ誘導するための偽の情報を残すなど、身元特定のギミック(仕掛け)を駆使しているケースもあります。
- 情報収集の非対称性
- 攻撃者は、防御側(被害を受けた企業)の公開情報(システムの脆弱性など)を自由に収集できる一方で、防御側からは攻撃者の姿や意図が全く見えません。
- 被害組織に残るログ(記録)も、攻撃者が検知回避や痕跡消去を行うため、量や質にばらつきが出ることが多く、全容解明が難しい状況を生みます。
- マルウェアの特性(使い捨てや特化)
- ランサムウェアなどのマルウェアは、特定のターゲット企業でのみ動作するように特化して作成され、被害を与える範囲を限定することで、第三者への表面化やセキュリティ機器による検知を避けようとすることがあります。
- また、攻撃者集団は、ランサムウェア・アズ・ア・サービス(RaaS)としてマルウェアを貸し出すビジネスモデルを採用している場合もあり、実際に攻撃を実行した者とマルウェアの開発者が異なるため、実行犯の特定が難しくなります。
このように、サイバー攻撃はデータの応酬が主体であり、攻撃者は常に身元を隠すための技術を進化させているため、「誰が侵入したか」の特定は専門家による高度な調査を必要とする非常に難しい課題となっています。
攻撃者は、多重中継や匿名化ネットワーク(Torなど)を使ってIPアドレスを隠し、さらに痕跡を消去するためです。真の攻撃元を辿ることが非常に困難になります。
他のランサムウェアの被害にはどのようなものがあるのか
ランサムウェアによる被害は、以下のように業種や企業規模を問わず世界中で発生しており、その影響は広範囲に及びます。
日本国内の主なランサムウェア被害事例
| 業界 | 企業・組織名 | 被害の概要と影響 | 攻撃グループ(判明分) |
| エンターテインメント・出版 | 株式会社KADOKAWA / ニコニコ動画 | 大規模なサイバー攻撃により、ニコニコ動画などのサービスが長期停止。約1.5TBのデータ窃取を主張され、ユーザーや従業員、N高生の個人情報漏洩の可能性が指摘されました。 | BlackSuit(ロシア系) |
| 医療 | 岡山県精神科医療センター | 院内システムが感染し、電子カルテが確認できない状況に陥りました。その後、患者の個人情報漏洩も発覚し、医療提供体制に大きな影響が出ました。 | 不明 |
| 物流・インフラ | 名古屋港運協会 | 名古屋港のコンテナターミナルを運営するシステムの障害により、コンテナの搬出入作業が停止。日本の重要インフラである港湾業務が一時的に麻痺しました。 | LockBit |
| 製造 | コクヨ株式会社 | 海外現地法人側のネットワークに不正侵入され、ランサムウェア感染が発生。個人情報流出の可能性は低いとされましたが、全社的な調査と対応で業務に影響が出ました。 | 不明 |
| 製造(サプライチェーン) | トヨタ自動車のサプライヤー各社 | トヨタ自動車のサプライヤーがランサムウェア攻撃を受けた結果、部品供給管理システムが影響を受け、トヨタ自動車の国内全工場(全14工場)の稼働が一時停止に追い込まれました。 | 不明(小島プレス工業、デンソーなど) |
| サービス | 株式会社サンリオエンターテイメント | 不正アクセスにより、ピューロランドファンクラブ会員の個人情報(氏名、住所、電話番号、メールアドレスなど)や取引先情報が漏洩した可能性があります。 | 不明 |
被害の傾向
近年のランサムウェア攻撃は、以下のような特徴が見られます。
- 標的型へのシフトと二重脅迫の常態化:不特定多数を狙う「ばらまき型」から、特定の企業や組織を狙い撃ちする「標的型」に移行しています。データを暗号化するだけでなく、機密情報を盗み出し、公開を盾に身代金を要求する「二重脅迫」が主流です。
- サプライチェーン攻撃:大企業を直接狙うのではなく、セキュリティが手薄な取引先や子会社などのサプライチェーン(供給網)を経由して侵入する手口が増加しています。(例:トヨタ工場の停止)
- 重要インフラへの影響:医療機関、港湾、交通、電力などの重要インフラが狙われ、社会生活に不可欠なサービスが停止する深刻な被害が発生しています。(例:名古屋港、医療センター)
日本国内では、KADOKAWAや名古屋港が大規模な被害を受けました。電子カルテの暗号化による医療停止や、サプライヤー経由の攻撃による工場操業停止など、広範囲な影響が出ています。
対処方法はあるのか
ランサムウェアには、予防と感染後の初動対応の二つの側面から対処法があります。特に企業においては、攻撃を受けることを前提とした「サイバーレジリエンス」の考え方が重要視されています。
1. 予防策(感染を防ぐための日常的な対策)
最も重要で効果的なのは、感染を未然に防ぐための日常的な対策です。
- ① データバックアップの徹底(最重要):
- 重要なデータは必ず定期的にバックアップを取り、特にネットワークから切り離されたオフラインの環境(エアギャップ)に保管しておきます。
- 理想は「3-2-1ルール」(3つのコピーを、2種類のメディアに、1つはオフサイトに保存)に基づいた対策です。
- ② ソフトウェアの最新状態維持:
- OS、アプリケーション、セキュリティソフト、特にVPN機器などのネットワーク機器の脆弱性を解消するため、常に最新のセキュリティパッチを適用します。
- ③ 多要素認証(MFA)の導入:
- VPN接続や重要なシステムへのログインには、パスワードだけでなく、スマートフォンなど別の要素を組み合わせた多要素認証を必須とします。
- ④ セキュリティ意識向上と教育:
- 従業員に対し、不審なメールの添付ファイルやリンクを開かない、業務に関係ないウェブサイトを閲覧しないなどのセキュリティ教育を定期的に実施します。
- ⑤ アクセス権限の最小化:
- 業務上必要最低限のデータにしかアクセスできないように、ユーザーやシステムのアクセス権限を厳格に管理します。
2. 感染後の初動対応(被害拡大を防ぐ手順)
万が一感染が確認された場合は、以下の手順で冷静に対応し、被害の拡大を防ぐことが最優先です。
| 手順 | 内容 | 理由 |
| 1. ネットワークからの隔離 | 感染した(疑いのある)端末やサーバーのLANケーブルを抜き、Wi-Fiを切断し、ネットワークから物理的に切り離します。 | 感染が他の端末へ拡大するのを防ぐため。 |
| 2. 電源は切らない | 隔離した端末の電源は切らず、そのままの状態を維持します。 | 感染経路の特定や証拠となるログ(記録)を保全するため。 |
| 3. 専門家・関係機関への相談 | 警察のサイバー犯罪相談窓口や、IPA(情報処理推進機構)、インシデント対応の**専門業者(フォレンジック)**に速やかに相談し、指示を仰ぎます。 | 適切な調査と復旧方法を判断するため。 |
| 4. 身代金は支払わない | 攻撃者の要求に応じて金銭を支払うべきではありません。 | 支払ってもデータが復元される保証はなく、犯罪組織を助長することになるため。 |
| 5. 復旧と再発防止 | 感染原因の特定とランサムウェアの駆除を行った後、安全性が確認されたバックアップデータからシステムを復元します。 | 感染が駆除される前にデータを戻すと、再び感染する可能性があるため。 |
ランサムウェア対策は、予防と感染後の対応が重要です。最重要の予防策は、データをオフラインでバックアップすること。感染時は、すぐに端末をネットワークから隔離し、警察や専門家へ相談しましょう。
コメント