Anti-Ransomware Day(ランサムウェア対策デー)を迎えるにあたり、変化し続けるサイバー脅威の状況と、組織が防御を強化する方法を改めて認識することが重要です。ここ数年で、従来型のランサムウェアはサイバー恐喝へと進化し、専門化と分散化が進んだエコシステムが形成されています。この脅威から組織を守るには、現在の状況を理解し、強固な防御戦略を実装することが不可欠です。
ランサムウェアは、主に大企業を狙う単発的な攻撃から、Ransomware-as-a-Service(RaaS)モデルを活用する攻撃者による大規模なエコシステムへと変化しました。ランサムウェアの産業化により、中小企業が被害を受けるケースも増えています。これは、組織の規模にかかわらず、サイバーセキュリティを単なるIT部門の支出ではなく、組織全体として優先すべき課題として捉える重要性を示しています。
この新たなフランチャイズ型のビジネスモデルによって、攻撃者はデータを外部に持ち出す能力も高めています。その結果、単にランサムウェアを展開して身代金を要求するのではなく、窃取したデータを収益化の手段として利用するケースが増えています。つまり、身代金が支払われるとしても、その目的は暗号化されたファイルを復元するためではなく、機密データの公表を阻止するためであるケースがほとんどです。このような場合は、組織は単なる復旧にとどまらず、データ侵害の範囲を把握し、ステークホルダーと適切にコミュニケーションを取ることに重点を移す必要があります。
さらに、AIの活用により、攻撃者はより多様な攻撃を、はるかに速いスピードかつ大規模に仕掛けられるようになっています。これにより、RaaSモデルの危険性はさらに高まっています。
「侵害される前提とする」考え方を取り入れる
組織は、あらゆるセキュリティ製品を潜在的な脆弱性として捉え、技術的負債に積極的に対処しながら、ゼロトラストアーキテクチャへの移行を進める必要があります。Salt Typhoonのような高度な攻撃グループが証明しているように、どれほど洗練されたサイバー攻撃であっても、実際には「古典的な」手口に頼っているケースが少なくありません。彼らが突いてくるのは、ファイアウォールやVPNといった境界防御デバイスのすでに修正パッチが公開されている既知の脆弱性です。
強固なインシデント対応計画を策定する
万が一、侵害が発生した場合、最終的なゴールは、組織が迅速に復旧し、被害を最小限にとどめることです。強力なオフサイトバックアップとネットワークセグメンテーションを実装することで、攻撃中のラテラルムーブメント(横展開)を防ぐ有効な手段となります。
ここで鍵となるのが、実効性のあるインシデント対応計画です。この計画には、関係各所への通知フロー、それぞれの責任、そして決定権限を明確にしたディシジョンツリー(意思決定フロー)を盛り込む必要があります。また、その計画書は物理的にアクセスできる形で保管する必要があります。デジタルコピーだけに依存すると、サイバー攻撃者の手に渡った場合にリスクとなります。そして何よりも重要なのは、この計画が想定通りに機能するかどうか、事前にテストを重ねて確認しておくことです。
防御にAIを活用する
組織は、自動化には自動化で対抗し、AIを活用した防御によってAIを活用した脅威を無力化し、より迅速な復旧を実現する必要があります。AIがランサムウェア攻撃で大きな役割を果たすようになっている中、組織はパッチ管理と防御にAIを活用したソリューションを取り入れる必要があります。また、セキュリティ教育にAIを組み込むことも重要です。特に、AIによるディープフェイクを従業員が見抜けるようにするトレーニングに重点を置く必要があります。
セキュリティプレイブックを見直す
AIによるもう1つの影響は、攻撃のスピードが加速していることです。攻撃者はAIを活用して攻撃を組み立てることで、初期アクセスから全ステップを完了するまで、最短72分で実行できるようになっています。組織は、より速く進行するAIを活用した脅威に対応するため、SIEMやEDRのルール、SOCプレイブックを更新し、シャドーAIやプロンプトインジェクションなどの脅威がもたらす課題にも対処する必要があります。
ランサムウェアが進化し続ける中、防御も同じように進化しなければなりません。現在の脅威環境の複雑さを認識し、AIとソーシャルエンジニアリングへの深い理解に基づいた戦略的な対策を実装することで、組織は一歩先を行くことができます。
原典:Javvad Malik著 2026年5月14日発信 https://blog.knowbe4.com/fighting-ai-assisted-ransomware-threats-strategies