2025年にアスクルを襲ったランサムウェアは甚大な損失をもたらした。その初期侵入を許したのは、高度なハッキング技術ではなくMFAが設定されていないアカウントだ。EDRだけでは防ぎ切れない脅威にどう対抗すべきか。
サイバー攻撃のスピードが劇的に変化している。セキュリティベンダーSophosが、2024年に扱ったインシデント事例413件のデータを分析してまとめた「2025年版ソフォスアクティブアドバーサリーレポート」によると、攻撃者が企業ネットワークに侵入してから滞留する時間の中央値はわずか2日だ。ID・アクセス管理システム「Active Directory」の権限を奪取するまでに11時間、データ窃取まで約3日という短期間で被害が拡大する。この背景には、AIツールを活用した攻撃プロセスの自動化がある。
企業のセキュリティ対策の主流であるEDR(Endpoint Detection and Response)ツールも万能ではなく、攻撃者は無効化ツールを用いて容易に監視をすり抜けてしまう。サイバーセキュリティ教育や侵入テストを手掛けるトライコーダで代表取締役を務める上野 宣氏は、「100%の防御は不可能だ」と指摘した上で、「『割に合わないターゲット』になることが最良の防御」だと説く。
ランサムウェア(身代金要求型マルウェア)の被害に遭えば、事業の全面停止や数十億円規模の特別損失を計上する事態に発展しかねない。多層的な防御を構築して攻撃者の時間と労力を増大させ、「この企業は狙う価値がない」と攻撃者に判断させることが重要だ。既存業務への影響を最小限に抑止しながら、どのような手順で防衛網を再構築すべきか。
上野氏はゼロトラストセキュリティへの移行について、現場の混乱を避けるために以下の3つのフェーズに分けて進めることを推奨する。
防衛網構築の第一歩は、攻撃の入り口となる初期アクセスを封じることだ。実際のインシデントを見ると、初期アクセスは高度なハッキング技術によるものばかりではなく、窃取された正規のIDとパスワードを用いたログインが常とう手段になっている。
この脅威に対抗するには、MFA(多要素認証)の全社導入が欠かせない。ただし、単にMFAを導入するだけでは不十分だ。近年は、スマートフォン用の認証アプリケーションに大量の通知を送り付け、それらを煩わしいと感じたエンドユーザーに誤って承認させる「疲労攻撃」が台頭している。この対策として、パスワードレス認証規格「FIDO2」に準拠した、フィッシング耐性のある認証方式を採用し、連続する通知回数に上限を設けるといった技術的な工夫が求められる。
テレワークを支えるVPN(仮想プライベートネットワーク)のアカウントの管理も急務だ。退職者や委託業者のアカウントを放置すると深刻な脆弱(ぜいじゃく)性を生むため、明確な使用期限を設定し、不要なアカウントの放置を防ぐ運用ルールを構築しなければならない。
2025年10月に発生したアスクルのランサムウェア被害事例が、この教訓を如実に物語っている。この事例では同月19日にランサムウェアが発動し、受注/出荷業務の全面停止や特別損失52億円に上る甚大な被害が生じたが、実際の初期アクセスはその約4カ月前の同年6月5日に実行されていた。攻撃者はMFAが未設定だった業務委託先のアカウントから侵入し、正規ユーザーを装いながらEDRなどのセキュリティソフトウェアを無効化した後、内部での偵察と権限昇格をひそかに繰り返していたのだ。
セキュリティ対策の基礎となるID・端末管理が定着した後は、万が一侵入を許した場合に備え、被害範囲を局所化するネットワークのセグメント化に着手する。
ここで直面する最大の壁は、現場業務への影響だ。厳格な通信制限は、社内システムへのアクセス障害を引き起こすリスクがある。これを回避するために、いきなり通信を遮断するのではなく、まずは「観察モード」として通信ログだけを記録する期間を設ける。業務上必須の通信パターンを把握し、安全が確認できた経路から段階的に制御を適用する慎重なアプローチが成功の鍵を握る。
監視が強化されるとセキュリティアラートが激増し、運用担当者の疲弊を招く。AI技術を利用したアラートの自動分類機能を導入し、対処の優先順位を機械的に判定させることで、真に対処すべき脅威を見逃さない体制を整えたい。
最終段階では、システムの自律的な防衛力を高める。具体的には、不審な端末のネットワーク隔離などの対処を自動化する。ここでも業務停止リスクへの配慮が必要だ。完全な自動処理に委ねるのではなく、最終的な実行判断に人間の承認を求める「セミオート化」を採用することで、誤動作による想定外の被害を最小限に抑止できる。
ゼロトラストセキュリティへの移行が進んでも、従来のファイアウォールなどの境界防御機器を即座に廃棄すべきではない。これらは外部からの大まかな攻撃をはじく一次フィルターとして有用だ。内部ネットワークのセグメント間通信の監視役として役割を再定義し、SIEM(Security Information and Event Management)と連携させることで、企業全体の状況を俯瞰するセンサーとして再利用可能だ。
今後の防衛戦略において警戒すべき新たな対象が「非人間ID」(NHI)だ。企業の業務システムがSaaS(Software as a Service)に移行する中、SaaS同士のシステム連携に必要なAPIキーやOAuthトークンが水面下で次々と発行されている。
人間が直接操作しないこれらのIDは、MFAで守ることが難しく、有効期限が無期限に設定されているケースがある。攻撃者にトークンを奪取されると、監視を擦り抜けてさまざまなシステムに侵入されるリスクが生じる。この脅威を封じ込めるには、発行されたトークンの定期的な入れ替え(ローテーション)を自動で実行する仕組みを整え、必要最小限の権限しか与えない厳格な管理システムが不可欠となる。
サイバー防衛において、一度導入すれば終わる「完成形」は存在しない。攻撃手法はAI技術の進化とともに高度化し続ける。企業は自社のセキュリティ体制を継続的にチューニングし、企業全体で防衛力を「育てていく」持続的な取り組みが求められている。
本稿は、アイティメディアが2026年3月2〜9日に開催した「ITmedia Security Week 2026 冬」における、3月5日のセッション「変化し続ける脅威に『適応』し『育てる』 AI・SaaS時代のサイバー防衛術」を基に作成しました。
アイティメディアでは、5月25日〜6月1日までオンラインイベント「ITmedia Security Week」を開催いたします。メルカリや大阪急性医療センターなど、注目を集める組織のセキュリティ戦略を学べる他、ランサムウェアやエンドポイントなど各テーマの専門家が明日から実践できる守りのポイントを分かりやすく解説します。視聴条件を満たした方全員にAmazonギフトカード500円分を進呈します。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
