ランサムウェア攻撃の「静かな前兆」、数ヶ月に及ぶ事前偵察活動を見逃すな

背景

現代のランサムウェア攻撃は、無差別に感染を広げる従来型から、特定の企業を狙った「標的型ランサムウェア」へと進化しています。攻撃者は実際にランサムウェアを展開する数週間から数ヶ月前から、標的企業のネットワーク内部に静かに潜伏し、綿密な偵察活動を行います。この期間中に、ネットワーク構成の把握、重要サーバーの特定、バックアップシステムの所在確認、セキュリティ製品の種類と設定の調査、さらには財務状況の分析まで実施し、「最大の被害を与えられるタイミング」と「支払い能力に見合った身代金額」を計算します。この事前偵察段階で攻撃を検知できれば、ランサムウェア展開前に侵入者を排除できますが、多くの企業ではこの静かな活動を見逃してしまい、ある日突然全システムが暗号化されるという事態に直面しています。

実態

標的型ランサムウェアの事前偵察活動には、いくつかの典型的なパターンがあります。まず、初期侵入後、攻撃者は「Living off the Land（環境寄生型）」手法を用いて、PowerShell、WMI、PsExecなどのWindows標準ツールで活動します。これにより、従来のアンチウイルスソフトでは検知されにくい状態を維持します。次に、Active Directoryの情報収集を行い、BloodHoundなどのツールでドメイン管理者への昇格経路を探索します。さらに、ネットワークスキャンツール（Advanced IP Scanner、Angry IP Scannerなど）で内部ネットワークの構成を把握し、ファイルサーバー、データベースサーバー、バックアップサーバーの位置を特定します。特に重要なのが「バックアップの無力化」で、攻撃者はVeeam、Acronis、Windows Server Backupなどのバックアップソフトの設定を確認し、暗号化直前にバックアップデータを削除したり、バックアップサーバー自体を侵害したりします。また、財務システムやメールサーバーにアクセスし、決算書や取引先情報を窃取して、企業の支払い能力を見積もります。これらの活動は、深夜・早朝の業務時間外に少しずつ実行されることが多く、通常の業務トラフィックに紛れて見逃されがちです。

影響と対策

事前偵察を見逃すと、攻撃者は「最も効果的なタイミング」（決算期、大型連休前、重要プロジェクトの納期直前など）でランサムウェアを展開し、企業に最大の圧力をかけます。また、バックアップまで破壊されているため、復旧の選択肢が限られ、身代金支払いを余儀なくされるケースが増えています。対策としては、まず「異常な内部活動」を検知する体制の構築が不可欠です。FortiGateやCheck PointのNDR（Network Detection and Response）機能、またはEDRソリューションにより、通常と異なるプロセス実行、深夜の大量ファイルアクセス、管理ツールの不審な使用、バックアップサーバーへの異常なアクセスなどを検知します。また、SIEM（Security Information and Event Management）を導入し、複数のセキュリティログを統合分析することで、単独では気づきにくい攻撃の「点」を「線」として可視化できます。さらに、重要なのが「ハニートークン（おとりデータ）」の配置です。実在しないが魅力的に見える共有フォルダやファイルを設置し、それにアクセスがあった時点で侵入者の存在を確実に検知できます。バックアップ戦略では、オフラインバックアップやイミュータブル（改変不可能）バックアップを必ず確保し、攻撃者の手が届かない場所にデータを保管します。

まとめ

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp