2025年秋に発⽣したアサヒグループホールディングスおよびアスクルでのランサムウェア被害は、⽇本企業におけるサイバーリスクの深刻さを再認識させる事例となりました。出荷停⽌やシステムの⻑期停⽌など、事業継続そのものを揺るがす影響が⽣じています。
本稿では、両社の公式発表が待たれる段階ではありますが、⼀般的に想定されるリスク構造や最新の攻撃トレンドを整理し、「すべてを完璧に守り切ることは難しい時代」における、コスト対効果の⾼い現実的な対策について解説します。
⼤規模な被害事例において、⼀般的に侵⼊や被害拡⼤の要因となりやすいのが以下のポイントです。今回の事例に限らず、多くの⽇本企業が抱える共通課題といえます。
⽇本国内ではVPN等の脆弱性が主要な侵⼊経路であり続けていますが(警察庁報告書)、グローバルな視点ではすでに潮⽬が変わっています。(SOPHOS社の報告, ベライゾンDBIR)によると、悪意あるメールとフィッシング を合わせると、既に脆弱性悪⽤を超える規模に達しています。
加えて、近年は⽣成AIの利⽤により以下のような攻撃が増加傾向にあります。
⽣成AIによる攻撃⾃動化や⽂章⽣成の⾼度化により、こうした「⼈を騙す⼿法」が今後さらに加速し、⽇本でもVPN脆弱性を狙った従来型攻撃を上回る主流の侵⼊ルートになる可能性があります。
ランサムウェアの多くは、依然として企業利⽤の多いWindows(クライアントおよびServer)を標的としています。 厄介なのは、侵⼊後に「LotL(Living off the Land︓環境寄⽣型攻撃)」と呼ばれる⼿法が使われる点です。これは、ウイルスそのものではなく、Windows標準の管理ツール(PowerShell等)を悪⽤して感染を広げる⼿⼝です。これにより、以下の領域がすべて暗号化・窃取の対象となります。(CISA報告書1, CISA報告書2, MITRE Corporation ATT&CK®)
つまり、⼀度侵⼊を許すと Windowsを中⼼とした社内環境全体が攻撃可能範囲となり、データの所在にかかわらず横断的に暗号化や窃取が⾏われるのが、現在のランサムウェアの特徴と⾔えます。
このように⼿当たり次第狙われる状況において、企業はどのような対策を取ればよいのでしょうか︖すべての対策を網羅的に導⼊することは、コスト的に多くの企業にとって難しいのが現実です。
CISAや NIST のガイドラインでは、共通して次を強調しています。
「守るべきデータを明確化し、無秩序に分散させず、⼀元的に管理できる状態にすること」
具体例︓それでも、データをクラウドに集約したとしても、そのデータにアクセスし、業務を⾏うための「端末(PC)」はなくなりませんし、運⽤上端末でファイル操作が必要な場⾯は多々あると思いますので、それに対してはやはりエンドポイント対策として、「⼊⼝対策」「出⼝対策」が必要になります。特に、侵⼊される前提での「出⼝対策」はますます重要になってくると考えます。こちらもコスト⾯や、過剰導⼊により業務阻害が発⽣することも踏まえて取捨選択が必要です。
| 区分 | 対策 | 役割 |
|---|---|---|
| 1. 検知・封じ込め | EDR / 振る舞い分析 | 不審挙動を検知し端末隔離。LotL対策に有効。 |
| 2. 流出防⽌ | DLP | USB・メール・クラウドなど外部への情報持ち出しを制御。 |
| 3. 通信制御 | DNSフィルタリング/SWG | C2サーバーへの通信や悪性サイトへのアクセス遮断。 |
| 4. データ保護 | 暗号化/IRM | データを盗まれても内容を保護。 |
| 5. 証跡管理 | ログ管理・SIEM | 侵⼊経路の特定や調査を可能にする証跡保全。 |
アサヒ・アスクルの事例が⽰唆するように、「侵⼊を防ぎ切る」ことが極めて困難な時代において、企業は「被害を最⼩化する構造」へとシフトする必要があります。
この2点を軸に据えることで、過度なコストをかけずに実効性の⾼い対策が可能になります。弊社では、このアプローチを実現するための具体的な⽀援を⾏っています。
データのクラウド集約⽀援︓ Box導⼊⽀援サービス, 安全なデータ保管とAPI活⽤によるワークフロー⾃動化
端末からの漏えいを防ぐ出⼝対策(DLP)︓ 4thEye, NonCopy2, CFKeeper, CL-UMP
現状の対策に不安をお持ちの⽅、コストを抑えた⾒直しをご検討の⽅は、ぜひお気軽にお問い合わせください。