2024年、ランサムウェアによる被害は過去最大規模となった。 KADOKAWA・ニコニコ動画への攻撃は記憶に新しいが、 その手口は多くの組織が想定するより遥かに精密だ。
現代のランサムウェア攻撃フロー
かつての「メール添付ウイルス」とは異なり、現代の攻撃は段階的だ。
- 初期侵入:フィッシングメール・VPN脆弱性・RDP総当たり
- 潜伏・偵察:数週間〜数ヶ月、ネットワークを静かに調査
- 横展開:管理者権限を奪取し、重要サーバーへ到達
- データ窃取:暗号化前に機密データを外部サーバーへ送信
- 暗号化実行:全ファイルを暗号化し、身代金を要求
- 二重恐喝:支払わなければ窃取データを公開すると脅迫
Ransomware-as-a-Service(RaaS)
現在の攻撃グループの多くはサービスモデルで動いている。 攻撃ツールを提供する「開発者」と、実際に侵入する「アフィリエイター」が分業し、 身代金を分配する仕組みだ。LockBit・BlackCat・Akiraなどが代表的なグループだ。
KADOKAWAへの攻撃から学ぶこと
2024年6月のKADOKAWAへの攻撃では、子会社のVPN機器が初期侵入口となった。 グループ全体のネットワークが繋がっていたため、侵害が急速に拡大した。 サプライチェーンリスクと「ネットワーク分離」の重要性を改めて示した事例だ。
組織の対策:最低限すべきこと
- 多要素認証(MFA)の全システム適用
- 定期的なオフラインバックアップと復元テスト
- VPNや境界機器の迅速なパッチ適用
- エンドポイント検知・対応(EDR)の導入
- インシデント対応計画の事前策定と訓練