“EDRだけでは守れない時代”に備えよ 次世代のランサムウェア防衛戦略を解説：キーワードは「感染後の迅速な復旧」へ

EDRの強制停止や暗号化されるバックアップなどの新たなランサムウェア攻撃が登場した今、従来の“侵入を防ぐ”という防御アプローチだけでは十分とは言えなくなっている。「防御」から「復旧」へと軸足を移す、新しいセキュリティコンセプトと具体策を解説する。

PR／ITmedia

PR

　ランサムウェア攻撃が激化し、従来の対策だけでは対応し切れない状況が生まれている。EDR（Endpoint Detection and Response）などのセキュリティツールを回避する攻撃技術が実用化され、バックアップデータまで暗号化される事例が相次いでいる。攻撃者はAIを駆使して企業の防御策を研究し、それを上回る手法を次々と開発している。

　こうした中、ランサムウェア対策の新潮流として注目されるのが、従来のEPP（Endpoint Protection Platform）やEDRを補完しつつ、攻撃を受けることを前提に迅速な復旧を実現する「RDR」（Ransomware Detection and Recovery）という新しいカテゴリーの対策だ。その新たなアプローチについて、セキュリティの専門家に聞いた。

ランサムウェア攻撃の脅威が深刻化する理由

　IPA（情報処理推進機構）が毎年発表している「情報セキュリティ10大脅威」の組織編において、ランサムウェアは10年連続で1位にランクインしており、その影響の大きさが際立っている。脅威の深刻さは数値にも表れていると、日立ソリューションズの青山桃子氏は説明する。

日立ソリューションズの青山桃子氏（セキュリティサイバーレジリエンス本部 マネージドセキュリティサービス部 チーフセキュリティアナリスト）

　「警察庁の報告書『令和6年におけるサイバー空間をめぐる脅威の情勢等について』によれば、国内のランサムウェアの被害報告件数は、2021年が146件だったのに対して、2024年は222件と増加しています。ここ数年高水準で推移しており、2025年も衰える様子は見られません」

　青山氏はホワイトハッカーとしてセキュリティ診断チームのリーダーを務め、脆弱（ぜいじゃく）性診断やペネトレーションテストを通じて企業の適切なセキュリティ対策を支援している。2024年11月には、「Cybersecurity Woman of Japan 2024 Awards」^※にて、「Cybersecurity Woman Hacker of Japan 2024」を受賞しており、日本におけるサイバーセキュリティを技術的にリードする存在として快挙を遂げている。同氏によると、ランサムウェア被害が拡大している背景には攻撃手法の高度化があるという。

※ 国際団体United Cybersecurity Alliance主催。サイバーセキュリティの分野で活躍する女性を称賛・支援することを目的として設立された。

　「これまでは、電子メールの添付ファイル経由でランサムウェアを配布する単純な手法が主流でした。しかし最近は攻撃者が外部から社内ネットワークに侵入し、セキュリティを回避しながら段階的に攻撃を進めるケースが多発しています。暗号化されたファイルの復号鍵と引き換えに身代金を要求するだけでなく、『盗んだ機密情報を公開する』と強迫して金銭を要求する『二重脅迫型』の攻撃も発生しています。手口の巧妙化によって被害の影響の深刻さが増しています」

　ランサムウェア被害を受けた場合、復旧には長期間を要し、膨大な費用が発生する。先ほどの警察庁の報告書によると調査や復旧に1カ月以上を要した組織は33％に上り、復旧に1000万円以上を要した組織が50％、1億円以上のケースも8件報告されている。この費用には身代金の支払いは含まれていない。社会インフラを狙った攻撃では工場や港湾運営、病院の業務停止など、社会への影響が拡大している。

　さらに深刻な問題は、攻撃の参入障壁が下がっていることだと青山氏は続ける。

　「最近はRaaS（Ransomware as a Service）という手口が登場しています。SaaSのようにランサムウェアを購入して配布するだけで、攻撃者に専門知識がなくても簡単に攻撃できるようになっています」

　この技術的な参入障壁の低下によってランサムウェア攻撃は急速に拡散し、企業を取り巻く脅威は一層厳しさを増している。

既存対策が通用しない　EDR無効化と暗号化されるバックアップで追い詰められる企業

　激化するランサムウェア脅威に対応するため、多くの企業はエンドポイントで脅威を検知するEDR製品を導入してきた。しかし、その効果を無効化する新たな機能を持ったランサムウェアも登場している。

　例えばある新興のランサムウェア攻撃者グループは、セキュリティソリューションによる監視・検知を回避するために、EDRのプロセスを強制終了させるアンチEDRツールなど、さまざまな技術を駆使して攻撃していた。このようなカスタムツールはダークWebでも販売されており、提供元の攻撃グループ以外の攻撃者も利用可能だ。

（出典：日立ソリューションズ提供資料）《クリックで拡大》

　「アンチEDRツールによってEDRを無効化された事例は海外で幾つか報道されており、実用段階に入っている技術です。何らかの対策を講じなければ被害を受けてしまう段階に来ていると考えています」と青山氏は警鐘を鳴らす。

　上下水道やIT、通信、商用サービス、行政サービス、ヘルスケア、農業、金融サービス、製造、交通・運輸など幅広い領域が標的になっており、もはや「業種問わず、セキュリティの備えが弱いところから順に狙われている」と考えた方がいいだろう。

　「EDRは有効な防御手段であり、多くの攻撃を検知して未然に防ぎます。EDRは攻撃者にとってランサムウェア感染の大きな壁であるため、攻撃者は無効化したり回避したりする手法を開発しているのです。こうした現状を踏まえると、防御側にはEDRの機能を補完する多層的な防御策が求められていると言えます」

　対処すべき脅威はこれだけではない。従来、対策の基本とされてきたバックアップを狙う攻撃も深刻化している。先ほどの報告書によると、ランサムウェア攻撃を受けた企業のうち7割超がバックアップから復元できていない。復元できなかった主な理由は、バックアップデータも攻撃者によって暗号化されてしまったためだ。

　青山氏は「海外の調査によれば、身代金を払っても復号に成功した割合はおおむね50％前後とされています。攻撃者が約束通り復号鍵を渡さないケースもありますし、鍵を受け取っても完全には復元できないといった問題も発生するでしょう。従って『身代金を支払って復号鍵をもらえばいい』という考え方は極めてリスクの高い判断となります」と指摘する。

　仮にバックアップデータが暗号化されるのを免れたとしても、復旧プロセスが複雑という問題が残る。大量データをバックアップから復旧するには時間を要するため、その間の業務停止による損失は計り知れない。バックアップを取るだけでは不十分で、バックアップから実際に復旧できるかどうかの検証や訓練を含めた対策が必要だ。

ランサムウェア被害の拡大を防ぐRDRという革新的なアプローチ

　こうした状況を踏まえて、企業はどのようなランサムウェア対策を目指すべきなのか。青山氏は多層防御の重要性を強調する。

　「守れる領域を少しずつ拡大することが大切です。新しい技術が出てきても、セキュリティパッチの適用やセキュリティ教育の実施など、基本的な対策はいつの時代も必要になります。そのような対策を着実に講じつつ、現在のトレンドに対応したソリューションを導入することが、適切なアプローチだと考えています」

　特に重要なのがサイバーレジリエンスの観点だ。サイバー攻撃の被害はほとんど回避できない状況になっており、攻撃を受けた際にどのように検知して、いかに迅速に復旧するかに目を向けた対策が求められる。

　「防ぐ」ことに重点を置いたこれまでの対策から、攻撃を受けることを前提として「いかに迅速に復旧するか」――。そうしたサイバーレジリエンスの考え方を落とし込んだのが、サイバーレジリエンス強化のためのプラットフォーム「Halcyon」（ハルシオン）だ。

日立ソリューションズの楢崎真介氏（セキュリティサイバーレジリエンス本部 エンドポイントセキュリティ部 グループマネージャ）

　「Halcyonは従来のEPP・EDR製品とは一線を画す、RDRという新しいコンセプトを掲げている製品です」と説明するのは、日立ソリューションズの楢崎真介氏だ。

　RDRは、ランサムウェアに対する防御といったリスクコントロールの一部分をカバーしつつ、検知や復旧など、被害を最小に抑えるダメージコントロールの領域を含めた包括的な対策を重視している。

　HalcyonはRDRの考え方を製品に落とし込み、ランサムウェア対策に特化したさまざまな機能を提供する。「暗号化の検知と復元」「全体復旧までの支援」「機械学習・AIを活用した多層防御」「EDRの防衛・補完」「データ流出防止」だ。

　「Halcyonの最大の特長は、ランサムウェア対策の中でも『復旧』にフォーカスした機能を提供している点で、代表的なものが『暗号化の検知と復元』です。ランサムウェアによるデータ暗号化の兆候を検知して暗号鍵を捕捉します。これを基に復号ツールを作成することで、攻撃者と交渉することなくデータの復旧が可能となります」

HalcyonはRDRの考え方を製品に落とし込み、復旧にフォーカスした革新的な機能を提供している（出典：日立ソリューションズ提供資料）《クリックで拡大》

　Halcyonはさまざまな国や地域の450社以上が導入しており、ランサムウェア対策の新たなスタンダードとして期待されている。

　楢崎氏は「絶対に停止できないミッションクリティカルなシステムを動かしている企業やダウンタイムを最小限にしたい企業、これまでのEDR主体のセキュリティ対策に不安を抱えている企業にこそこの新しいアプローチの価値を感じてほしいと思います」と話す。

　暗号化されたファイルを自力で復旧する技術や、24時間365日体制の専門家サポートなど、Halcyonの具体的な機能と効果は、後編で詳細に解説する。

後編：復旧にフォーカスした新たなランサムウェア対策アプローチ「Halcyon」の機能を徹底解説

ランサムウェアの進化によってEDRやバックアップだけでは被害の最小化が困難になっている。そんな中で注目されているのが、復旧まで視野に入れた新たなセキュリティコンセプト「RDR」だ。この概念を落とし込んだ製品技術を解説する。

後編はこちら