はじめに
最近、日本の大企業を狙ったランサムウェア被害が目立っています。
セキュリティ専門家でなくとも、開発者・エンジニアとして「仕組み」や「初動対応の考え方」を理解することが重要です。
本資料では、ランサムウェアの仕組み・流れ・国内事例を整理します。
ランサムウェアとは
ランサムウェア(Ransomware)は、感染したPCやサーバ内のファイルを暗号化し、復号の代わりに身代金を要求するマルウェアの一種です。
近年では単なる暗号化にとどまらず、**データ窃取+公開脅迫(二重恐喝)**が主流になっています。
引用元:ESET セキュリティ情報
参考: マルウェアとは
「malicious software(悪意のあるソフトウェア)」の略。
意図的に不具合や被害を起こす目的で作成されたプログラム。
ウイルス・トロイの木馬・スパイウェア・ランサムウェアなどを含む。
引用元:ESET セキュリティ情報
なぜランサムウェアが注目されているのか
-
被害件数・被害額ともに世界的に急増。
→ 2025年Q1は前年同期比213%増 (https://www.optiv.com/insights/discover/blog/first-quarter-2025-ransomware-trends?utm_source=chatgpt.com) -
攻撃の質が変化:
- データ窃取+公開脅迫(二重恐喝)
- Ransomware-as-a-Service(RaaS)モデルの普及
-
対象の拡大:
- クラウド、仮想化環境、Linux・macOSも標的に
最近の国内事例
KADOKAWA/niconico(2024年)
- 2024年6月に大規模システム障害。原因はランサムウェア攻撃。
- 攻撃者はロシア系グループ「BlackSuit」とされる。
- 書籍出荷遅延、動画サービス停止、株価下落など甚大な影響。
- 被害額について
- 一部報道では、身代金として 約 300 万ドル(= 約 4億円弱/2024年当時レート) を支払った可能性があると報じられています。
- ただし、KADOKAWA自身の公式発表においては、被害額・身代金金額・売上影響額などが詳細には開示されておらず、「損失額」は不明です。
アサヒグループホールディングス(2025年9月)
- 9月29日:サイバー攻撃により受注・出荷システムが停止。
- 「ランサムウェアによる攻撃」を公式発表し、当初「個人情報・顧客データの漏えいは確認されていない」との見解を示していた。
- その後、調査の結果「データの不正転送の痕跡が確認された可能性あり」と発表。
- 攻撃者は「Qilin(キリン)」
- ランサムウェアを「サービス」として提供する RaaS 型の犯罪組織
- 参考:Qilin ランサムウェア:第三世代RaaSの脅威と防御の最前線 - Qilin とは何者か?
- 出荷停止による全国的な物流・販売への影響。
- 被害額
- 公式には「財務業績への影響を現在調査中」「システム停止により国内業務が影響を受けた」旨を表明していますが、具体的な被害金額・損失額・支払金額は開示されていません。
アスクル
- 2025年10月19日: ランサムウェア被害を公式発表
- 法人向け「ASKUL」、大企業向け「ソロエルアリーナ」、個人向け「LOHACO」全てで受注・出荷が停止。
- ランサムウェア感染による物流システム(WMS)の障害が発生。
- 対応状況:
- 不正アクセスを検知しネットワークを遮断。
- 顧客データの流出有無は調査中。
- 社内外合わせて約100名の調査・復旧チームを設置。
- 被害額
- 報道では「影響が“重大”となる可能性がある」「今後決算発表の遅延も検討中」とされています。
- ただし、こちらも被害金額・身代金金額・損失額など具体的な数字は公表されていません。
ランサムウェアの仕組み
1:侵入
- 目的:組織の内部ネットワークに足場を築く。
- 手口例:
- フィッシングメール経由でマルウェアを実行させる
- 脆弱なVPN/リモートデスクトップ(RDP)への侵入
- 攻撃者が闇市場で購入した「侵入済み認証情報」を利用
2:感染拡大
- 目的:管理者権限を奪い、ネットワーク全体に感染を広げる。
- 手口例:
- パスワードダンプ
- Active Directoryを経由
- 共有フォルダを経由
3:データ窃取
- 目的:暗号化前に重要データを盗み出し、脅迫材料とする。
- 手口例:
- ファイルサーバから顧客・設計・契約情報を転送
- クラウドストレージ(Dropbox, Mega, etc.)
4:暗号化
- 目的:業務を停止させ、身代金支払いを迫る。
- 手口例:
- AES/RSA暗号化キーで業務データを暗号化
- バックアップを削除して復旧を妨害
5:恐喝・身代金要求
- 目的:データ復号キーの提供や公開停止を条件に金銭を要求。
- 手口例:
- TOR上(ダークウェブ)のサイトに「支払い期限」を提示
- 「払わなければデータ公開/転売」と脅迫
攻撃の全体像
防御策・対策
水際対策は重要だが、完璧に防御することは困難なので侵入されることは前提で対策を考える必要がある
| 区分 | 対応策 |
|---|---|
| 予防 | フィッシング対策、VPN強化、脆弱性パッチ、自動更新 |
| 検知 | EDR、ログ監視、異常通信検知 |
| 封じ込め | セグメンテーション、権限最小化、端末隔離 |
| 復旧 | バックアップ、DR訓練、リストア検証 |
| 対応 | CSIRT体制、初動手順書、通報ルート確保(警察庁・IPA) |
株式会社Inner Resource のエンジニアブログです。 忙しい研究者・研究施設の業務効率化のためのクラウド購買管理ソフト「リプルア」を開発しています。
Discussion