身代金を「払うため」ではない交渉がある？ ランサムウェア対応の新常識

ランサムウェア攻撃は「起きてから考える」には、あまりにも速く、巧妙だ。侵害は1時間以内、要求は多重化、交渉すら戦場になる時代。脅威の最前線を知る専門家集団が、日本で本格始動するという。その実力を解き明かす。

[宮田健，ITmedia エンタープライズ編集部]

　パロアルトネットワークスは2026年1月16日、同社の脅威インテリジェンス専門チーム「Unit 42」による日本市場での本格的なサービス提供に関する記者説明会を開催した。

　同説明会には、Unit 42 Japanのプリンシパルコンサルタントである佐々木健介氏と田中啓介氏が登壇。Unit 42が提供するインシデントレスポンスやセキュリティリスクコンサルティングはインシデント発生後の「有事への対応」だけでなく、それを未然に防ぐための「平時からの備え」を両輪で支援すると強調した。

平時の備えから身代金交渉まで　専門家集団の知見を日本語で提供

　Unit 42は、もともとパロアルトネットワークスのリサーチ部門として発足した脅威インテリジェンスチームだ。これまでも一部の日本顧客には英語ベースでの支援を提供してきたが、今後は専門家チームによる日本語でのサービスが本格的に提供される。

Unit 42の強み（出典：パロアルトネットワークス発表資料）

　日本におけるUnit 42は毎月一定の金額を支払うことで“クレジット”を得て、それを消費することで長期的なサービスを受けられる「リテーナーサービス」として提供される。

　一般的にセキュリティにおけるリテーナーサービスはインシデント発生後のサービスをメインとしているが、パロアルトネットワークスでは「事件を防ぐためにもクレジットが使え、セキュリティコンサルティングとアドバイザリを提供できる」という。基本的には全てのサービスにおいて日本語で情報が提供される。

パロアルトネットワークス　Unit 42 Japan　プリンシパルコンサルタント　佐々木健介氏（筆者撮影）

　佐々木氏は、Unit 42の強みとして「200人以上の脅威研究者によるリサーチ力」「世界8万5000社以上の顧客のネットワークやエンドポイント、クラウドから収集される1日5000億件の広範な観測データ」、そして「年間500件以上のインシデントレスポンス契約から得られる実践的な経験」を挙げる。

　一般的なガイドラインに基づく対策は静的なベースラインを提供する上で重要だと佐々木氏は指摘するが、それだけでは常に戦術を進化させる現実の攻撃者に対応できないとも述べる。Unit 42のアプローチはこの動的な脅威情報を反映させることで「本当のリスクを後回しにしてしまう可能性を低減し、最も優先すべき対策にリソースを集中させることを可能にする」とした。

パロアルトネットワークスにおける「Unit 42」サービスの概要（出典：パロアルトネットワークス発表資料）

　このサービスでは準備体制づくりやレッドチーム／パープルチーム演習を含むテストと評価、検出と監視、インシデントレスポンスと復旧、セキュリティ戦略と変革が含まれるが、田中氏が特徴的だとするのは、ランサムウェア被害に遭ったときに専門家が攻撃者との間に入る「交渉」だという。

　Unit 42における犯人との「交渉」の最も重要な目的は、「身代金を支払うことではなく時間稼ぎ」と田中氏は強調する。被害組織に支払いの意思があるかのように見せかけることで、攻撃者はコミュニケーションを継続しようとする心理を持つ。

　Unit 42は攻撃者とのやりとりを戦略的に引き延ばすことで、インシデント発生直後の混乱の中で極めて貴重な時間を確保する。この確保された時間こそが、被害を受けた組織が「対外発表の準備や、さらなるセキュリティ対策を講じるために活用する」ための生命線となる。

Unit 42におけるランサムウェア攻撃者との「交渉」の目標（出典：パロアルトネットワークス発表資料）

パロアルトネットワークス　Unit 42 Japan　プリンシパルコンサルタント　田中啓介氏（筆者撮影）

　交渉には副次的な目的も存在する。攻撃者との対話を通じて「攻撃者がどこを、どのような手法で侵害したのか」という貴重な情報を引き出す「情報収集」もその一つだ。これにより、被害範囲の特定や復旧作業をより正確に進められる。その他「復号鍵の取得」「窃取されたデータの公開防止」「執拗な嫌がらせの対策」といったメリットも期待できる。

　Unit 42のスタンスは明確であり「（身代金を）払うことを推奨はしない」という点を繰り返し強調する。しかし交渉を通じて攻撃者の要求額を減額できる可能性もあると指摘した。

　田中氏は「有事の際の支援と、それが起きないようにするための平時の支援をリテーナーサービスという一つの契約で提供する。この体制が日本でも本格的に提供できるようになった」と話した。

変化する脅威の様相は　Unit 42メンバーが語る現代のサイバー攻撃トレンド

　佐々木氏は企業が直面する具体的なリスクの最新動向として、脅威の状況を大きく変革する5つの相互に関連したトレンドを解説した。

　佐々木氏は同社が公開している「2025年版Unit 42グローバル インシデント レスポンス レポート」を基に、攻撃はより速くなり、生成AIによってスケールが拡大し、クラウドの専門知識を持つ攻撃者が増加している現状を取り上げる。

　特にランサムウェアにおいては被害件数の高止まりとともに、リークサイトに詐欺データを掲載し、DDoS攻撃を組み合わせるなど多重脅迫が当たり前となりつつある。

脅威の新たなトレンド（出典：パロアルトネットワークス発表資料）

　この他、攻撃が「合理化」していると佐々木氏は指摘する。過去4年で攻撃スピードは3倍加速し、インシデントレスポンスとして対応した企業の事例20％において、データ窃取に要する時間は1時間を切っているという。この背景には、攻撃者グループがエコシステムを構築し、自グループに足りていないリソースや知識を、他のグループから借りる、買うなどして協調していることなどが要因として挙げられるという。

現在では1時間以内にデータ窃取されてしまう（出典：パロアルトネットワークス発表資料）

　佐々木氏は「ビジネスに影響が生じた攻撃の割合は86％に上る」というデータを提示し、「侵害を防ぐために前もって投資しなければならない。この数字を見れば、その投資は損ではないと思えるはずだ」と述べ、事後対応だけではなくプロアクティブ（事前対策型）な防御への投資の重要性を強く訴えた。