2025年、日本国内で相次いで発生した大規模なランサムウェア被害。万全のセキュリティ対策を講じていたはずの企業が、なぜ壊滅的な被害を受けてしまったのでしょうか？その答えは、攻撃者が防御を「突破」するのではなく、「無効化」するという、これまでの常識を覆す新たな手法にありました。

日本企業を狙う「見えない攻撃」の実態

近年、サイバーセキュリティへの投資は増加の一途をたどっています。特に、EDR（EndpointDetectionandResponse）やEPP（EndpointProtectionPlatform）といった高度な防御ツールを導入し、多層防御を構築する企業も少なくありません。しかし、これらの高額な投資が、攻撃の瞬間に機能しなければ、全てが無駄になってしまうという厳しい現実があります。

ランサムウェア攻撃成功の裏に潜む「防御の無効化」

ある企業では、ランサムウェア攻撃によって基幹システムが停止し、データが暗号化されるという深刻な被害が発生しました。驚くべきことに、攻撃者は最初から防御を突破したわけではありませんでした。正規の認証情報を使って侵入した後、検知される前に防御ツールそのものを無効化したのです。

攻撃の手順は以下の通りです。

第1段階：初期侵入

業務委託先のアカウントを悪用し、正規の認証情報を使って侵入。VPNやリモートデスクトップなど、正規のアクセス経路を通じたため、初期段階では異常として検知されにくい状態でした。

第2段階：偵察活動

ネットワーク内部で数週間にわたり潜伏。組織のネットワーク構造を把握し、重要なサーバーや管理者権限を持つアカウントを特定しました。

第3段階：防御の無効化

【重要】EDRやEPPなどのセキュリティソフトウェアを強制停止またはアンインストール。管理者権限を悪用し、セキュリティツールのプロセスを終了させ、サービスを無効化しました。

第4段階：横展開と破壊

防御機能が停止した状態で、複数のサーバーに侵入を拡大。バックアップサーバーを含む全システムを一斉に暗号化し、身代金要求メッセージを残しました。

この事例で最も重要なのは、第3段階の「防御の無効化」です。いくら高額なセキュリティツールを導入していても、それが動作していなければ、意味がないのです。攻撃者はこの単純な事実を突いたのです。

業界全体で広がる「EDR無効化」の手法

この手法は、特定の企業を狙ったものではありません。世界の主要なランサムウェアグループの多くが、攻撃チェーンの標準プロセスとして「セキュリティツール無効化」を組み込んでいます。

• Akiraグループ：EDRが導入されていない機器から侵入し、BYOVD（BringYourOwnVulnerableDriver）手法でEDRプロセスを停止
• LockBit3.0/Green：専用の無効化ツールを開発・配布し、グループポリシー（GPO）を悪用して、ドメイン全体に一斉展開
• DragonForce：改変された「Terminator」ツールで主要なEDR製品を無効化
• Qilinグループ：ActiveDirectoryのGPOを悪用し、EPPの設定を無効化

これらの事例は全て、「防御ツールが動作していなければ、どれほど高額なセキュリティ投資も無意味になる」という攻撃者の認識に基づいています。セキュリティ対策は、ツールを導入するだけでなく、常に正常に機能しているかを確認することが重要です。

セキュリティは、常に進化する脅威に対応し続ける必要があります。今回の事例を教訓に、自社のセキュリティ対策を見直し、防御ツールが無効化されても被害を最小限に抑えられる体制を構築することが、IT投資を守るために不可欠です。