サイバー恐喝：リスクと防止ガイド

サイバー恐喝とは何か？

サイバー恐喝攻撃では、犯罪者がシステムに侵入し、データを窃取したり、業務を妨害したりした上で、攻撃の停止やデータ漏洩の防止と引き換えに暗号資産での支払いを要求します。FBIが2025年4月24日に発表した2024年インターネット犯罪苦情センターの報告書によると、恐喝に関する苦情は2024年に12,618件に急増し、2023年の5,396件から134%増加しました。

現代のサイバー恐喝は、データ恐喝や暗号化の脅威を通じて、収益、業務継続性、規制遵守を同時に標的とします。FinCENの金融動向分析によれば、ランサムウェア集団は2022年から2024年にかけて21億ドル以上を恐喝し、製造業、金融サービス、医療が最も標的となった分野です。

サイバー恐喝が組織に与える影響

サイバー恐喝は、ビジネス全体に連鎖的な影響をもたらします。金銭的な影響は身代金要求をはるかに超えます。2024年のChange Healthcare攻撃では、インシデント対応、システム復旧、規制当局への通知、業務中断など、対応コストが数十億ドルに上りました。

業務の中断は金銭的損失をさらに拡大させます。2024年6月にNHSの病理サービスプロバイダーであるSynnovisがランサムウェア攻撃を受けた際、ロンドン中の病院で1,100件以上の選択的手術と2,000件の外来予約が延期されました。輸血、がん治療、帝王切開も遅延し、患者ケアに直接影響が及びました。システム復旧後も評判へのダメージは長期間残り、データ漏洩による規制上の罰則が特に医療や金融サービス分野で追加の負担となります。

これらの攻撃がなぜ広範な被害をもたらすのかを理解するには、サイバー恐喝と従来型ランサムウェア攻撃の違いを把握する必要があります。

サイバー恐喝とランサムウェアの違い

ランサムウェアはファイルを暗号化し、復号鍵と引き換えに支払いを要求します。サイバー恐喝はランサムウェアを含みますが、バックアップによる復旧が可能な場合でも支払いを強要するための複数の圧力戦術を追加します。

従来のランサムウェアは「復号のための支払い」という単一の取引です。オフラインバックアップを維持していれば、支払いなしで復旧できました。攻撃者はこの限界を認識し、戦術を進化させました。現代のサイバー恐喝は、暗号化に加えてデータ窃取、公表の脅迫、交渉中のDDoS攻撃、顧客やパートナーへの直接連絡などを組み合わせます。各戦術が復旧オプションを奪い、完璧なバックアップがあっても支払いを拒否すればデータ漏洩のリスクが残ります。

サイバー恐喝は攻撃期間も長期化します。ランサムウェアは数秒で実行可能ですが、サイバー恐喝キャンペーンは数日から数週間にわたる偵察、認証情報窃取、ラテラルムーブメント、データ流出を経て最終的な暗号化に至ります。この長期化したタイムラインは、各段階で攻撃を発見・阻止できる複数の機会を生みますが、それには攻撃者の行動を検知できるセキュリティアーキテクチャが必要です。

現代のサイバー恐喝キャンペーンの主要構成要素を理解することで、これらの戦術がどのように連携して圧力を最大化するかが明らかになります。

サイバー恐喝の主要構成要素

現代のサイバー恐喝は、 ランサムウェアによる暗号化、公表の脅迫を伴うデータ窃取、DDoS攻撃など、複数の攻撃手法を同時に組織へ仕掛けます。

1. ランサムウェアによる暗号化は、本番システムやデータリポジトリを復号鍵の支払いまでロックします。攻撃者はまずバックアップ基盤を標的とします。 CISAのランサムウェアキャンペーン分析によれば、攻撃者はVeeamのCVE-2023-27532などバックアップソフトの脆弱性を、パッチ適用後も長期間悪用しています。
2. データ窃取による恐喝は、暗号化前に機密データを流出させ、盗んだ情報の公開や被害者への直接連絡を脅迫材料とします。 CISAとFBIのMedusaランサムウェア共同アドバイザリによれば、この二重恐喝戦略は標準的な手法となっています。
3. DDoSによる業務妨害は、 分散型サービス拒否攻撃を通じてネットワーク基盤を圧迫しつつ、ランサムウェア展開やデータ公開の脅迫を行います。この三重恐喝は、業務・データ・サプライチェーンパートナーを同時に標的とします。

これらの構成要素は予測可能な順序で連携し、恐喝キャンペーンの警告サインを認識することで暗号化前に対応が可能となります。

サイバー恐喝の主な兆候

サイバー恐喝キャンペーンは、偵察や準備段階で痕跡を残します。CISAのPlayランサムウェアに関するアドバイザリでは、攻撃者がAdFindなどのツールでドメインコントローラーや特権アカウントを列挙することが記録されています。通常管理機能を持たないワークステーションからのADクエリ急増に注意してください。

流出前には、攻撃者が盗んだファイルを圧縮アーカイブにまとめます。数千ファイルへのアクセス、異常なアーカイブ作成、クラウドストレージへの予期しない接続を監視してください。 CISAのランサムウェアガイダンスによれば、攻撃者はRclone、Rsync、Webベースのファイルストレージ、FTP/SFTPをデータ流出に利用します。

また、攻撃者はランサムウェア展開前にセキュリティツールを無効化します。セキュリティエージェントの改ざん、ボリュームシャドウコピーの削除、バックアップサービスの変更にアラートを設定してください。

これらの兆候はFBIの調査が記録するような長期攻撃の中で現れます。攻撃者は展開する恐喝キャンペーンの種類に応じて、これらを組み合わせてエスカレートさせます。

サイバー恐喝の種類

サイバー恐喝キャンペーンは、攻撃者が展開する圧力戦術の数に応じて3つのカテゴリに分類されます。各進化段階で、被害者が強力なバックアップや復旧能力を持っていても支払いを強要するためのレバレッジが追加されます。

1. 単一恐喝はランサムウェアによる暗号化のみを利用します。システムを暗号化し、復号鍵の支払いを要求します。オフラインバックアップがあれば支払いなしで復旧可能です。
2. 二重恐喝は暗号化にデータ窃取を加えます。攻撃者は暗号化前に機密データを流出させ、支払いを拒否すれば盗んだ情報の公開を脅します。バックアップ復旧ができても、データ漏洩による規制罰則や評判被害が発生します。
3. 三重恐喝は二重恐喝にDDoS攻撃やサプライチェーンへの圧力を重ねます。交渉中にネットワークを圧迫し、顧客・パートナー・投資家に連絡して圧力を増大させます。

多層化キャンペーンへの進化は、バックアップ復旧が暗号化のみの攻撃を無効化することを攻撃者が学習した結果です。攻撃シーケンスを理解することで、どこでこれらのキャンペーンを阻止できるかが明らかになります。

サイバー恐喝の仕組み

サイバー恐喝攻撃は、初期侵入、権限昇格、ラテラルムーブメント、データ流出、暗号化展開という多段階の進行をたどります。CISAとFBIの調査によれば、攻撃者は暗号化前に数日から数週間かけて偵察を行い、不審な活動を発見する複数の機会を提供します。

• 未修正の脆弱性を利用した初期侵入：攻撃者はパッチ未適用のソフトウェア脆弱性を突いて侵入します。CISA Advisory AA25-163Aは、ランサムウェア攻撃者が未修正のSimpleHelpリモート監視管理ソフトを悪用した事例を記録しています。 CISAのInterlockランサムウェアに関するサイバーセキュリティアドバイザリによれば、攻撃者は正規サイトのドライブバイダウンロードから初期アクセスを得ています。
• 認証情報アクセスと偵察：攻撃者は認証情報ダンピングツールで管理者権限を窃取します。 CISA Advisory AA23-278Aによれば、悪意のある攻撃者はVPNやバックアップシステムのデフォルト認証情報を常習的に悪用しています。CISAのPlayランサムウェアアドバイザリでは、攻撃者がAdFindでドメイン構造全体をマッピングしてから暗号化を展開することが記録されています。
• ラテラルムーブメントとデータ流出：攻撃者はPsExecなどのツールでServer Message Block（SMB）通信を使い横展開します。 CISAのStopRansomwareガイドでは、多くの組織がWindowsシステムのSMB横展開通信にKerberosベースのIPsecを必須化していないと指摘しています。攻撃者はランサムウェア展開前に数日から数週間かけて機密データを流出させます。
• クロスプラットフォーム暗号化：FBIはInterlockランサムウェアがWindowsとLinux両方の暗号化ツールを展開したことを観測しています。暗号化が実行されると、本番環境、仮想基盤、バックアップシステムが同時に標的となります。

これらの多段階攻撃は防御の機会を生みますが、それを活用するには初期段階の攻撃者行動を検知できるセキュリティプラットフォームが必要です。

サイバー恐喝の検知方法

サイバー恐喝キャンペーンを発見するには、複数の攻撃段階にわたる攻撃者行動の監視が必要です。マルウェア実行のみをアラートするポイントソリューションでは、暗号化前の数週間の活動を見逃します。

偵察活動

セキュリティプラットフォームは、Active Directoryクエリ活動とそれを生成するプロセスを相関させるべきです。以下に注意してください：

• 通常管理機能を持たないワークステーションからドメインコントローラーへのAdFind等のクエリ
• 特権アカウント、グループメンバーシップ、信頼関係の列挙
• 内部システムからのポートスキャンやネットワークマッピング
• バックアップ基盤やストレージシステムへのクエリ

ラテラルムーブメントの指標

基準から逸脱した認証パターンを追跡します：

• サービスアカウントがこれまでアクセスしたことのないシステムへのアクセス
• 管理ツール（PsExec、WMI、PowerShellリモート）が非標準ディレクトリから実行
• 異常な送信元システムからのリモートデスクトップ接続
• Pass-the-hashやpass-the-ticket認証の異常

データ準備と流出

セキュリティツールでデータ集約行動にアラートを設定します：

• 短時間で複数ディレクトリにまたがる数百ファイルへのプロセスアクセス
• 一時フォルダや非標準場所でのアーカイブ作成（ZIP、RAR、7z）
• サーバーからクラウドストレージ（Mega、Dropbox、Google Drive）への外部接続
• 深夜や不明な外部IPへの大容量データ転送

• 通常これらのツールを使わないシステムでのRclone、Rsync、FTP/SFTP活動

防御回避の試み

セキュリティツールの改ざんを即時アラート：

• エンドポイント保護エージェントの停止やアンインストール
• ボリュームシャドウコピーの削除（vssadmin delete shadows）
• バックアップサービスの変更やスケジュールタスクの変更
• Windows Defenderの除外設定がプログラム的に追加

攻撃者はカスタムマルウェアではなく正規ツールを利用するため、行動分析が重要です。個別の指標を統合タイムラインに相関させるセキュリティプラットフォームは、断片的なイベントではなく完全な攻撃経路を可視化します。

恐喝の早期発見は、攻撃チェーン各段階に対応する予防策を講じる時間を確保します。

サイバー恐喝の予防方法

予防戦略は、サイバー恐喝攻撃チェーンの各段階に対応する必要があります。初期侵入から暗号化まで、攻撃者の進行を妨げる具体的なコントロールに注力してください。

初期侵入の遮断

• 重大な脆弱性公開から48時間以内にインターネット接続システムをパッチ適用（VPN機器、ファイアウォール、リモートアクセスツール、メールゲートウェイを優先）
• 不要なリモートアクセスプロトコル（RDP、SSH）を無効化
• サーバーでアプリケーション許可リストを実装し、未承認実行ファイルを防止
• 危険な添付ファイルの除去やURLスキャンを行うメールフィルタを導入

認証情報の弱点排除

 CISA Advisory AA23-278Aによれば、デフォルト認証情報は最も悪用される設定ミスの一つです。

• 全システムの棚卸しと、特にバックアップシステム、VPNゲートウェイ、管理ポータルのデフォルトパスワード変更を確認
• VPNアクセス、管理ポータル、クラウドサービス、メールにMFAを必須化。Change Healthcare侵害はMFA未設定の単一アカウントが悪用され、 約1億9,000万人に影響
• 管理者アカウントに特権アクセス管理（PAM）を導入
• サービスアカウントに15文字以上のパスワードを強制

ラテラルムーブメントの制限

• 機能やデータ機密性に基づくネットワークセグメント化
• CISAのStopRansomwareガイドは、WindowsシステムのSMB横展開通信にKerberosベースのIPsecを必須化することを推奨
• LLMNR、NetBIOS、WPADを無効化し、認証情報の傍受を防止
• ワークステーション間でのローカル管理者アカウント利用を制限

バックアップ基盤の保護

• ネットワークから隔離されたオフライン暗号化バックアップを維持
• バックアップ認証情報を本番Active Directoryから分離して保管
• 四半期ごとに ランサムウェア復旧手順をテストし、復元能力を検証
• 削除や変更ができないイミュータブルバックアップストレージを導入

強力な予防策を講じてもインシデントは発生します。明確な対応計画の有無が、迅速な封じ込めと長期的な業務中断の分かれ目となります。

サイバー恐喝のインシデント対応手順

サイバー恐喝攻撃を発見した際、最初の数時間の対応が攻撃者の目的達成を阻止できるかを左右します。 CISAのランサムウェアチェックリストに基づき、以下の手順を実施してください：

1. 影響を受けたシステムを即時隔離。侵害されたシステムをネットワークから切断し、電源は入れたままにします。ネットワーク隔離はラテラルムーブメントや追加暗号化を防止し、電源維持はフォレンジック証拠となる揮発性メモリを保持します。
2. 対応チームを招集。IT部門、マネージドセキュリティサービスプロバイダー、サイバー保険会社、各部門責任者に同時連絡。調査完了を待たずにリソースを動員してください。
3. 侵害範囲の特定。暗号化されたシステム、侵害されたアカウント、データ流出の有無を特定。クラウドストレージへの大容量転送など外部通信も評価。
4. フォレンジック証拠の保全。復旧前に影響システムのイメージを取得し、法執行機関調査や保険請求に備えます。攻撃タイムライン、身代金要求、攻撃者とのやり取りも記録。
5. 連邦リソースの活用。 CISA StopRansomwareガイドによれば、連邦資産対応には技術支援、他のリスク対象組織の特定、復旧リソースの案内が含まれます。FBIのIC3やCISAにインシデントを報告してください。
6. 復旧手順の実行。バックアップの整合性を確認後、既知のクリーンなバックアップからシステムを復元。マルウェアの単純な削除ではなく、侵害システムを再構築。漏洩の可能性がある全認証情報を変更。

効果的なインシデント対応を行っても、サイバー恐喝キャンペーンへの防御には継続的な課題が残ります。

サイバー恐喝防御の課題と限界

従来型のセキュリティアーキテクチャは、サイバー恐喝がもたらす構造的課題への対応が困難です。多くの組織は、特にバックアップや復旧システムなど重要インフラへのセキュリティパッチ適用を怠っています。攻撃者は本番データ暗号化前にバックアップシステムを標的とし、復旧オプションを排除します。

CISAのPlayランサムウェアアドバイザリでは、Active Directoryの設定ミスの体系的な悪用が記録されています。攻撃者は偵察にAdFind、ラテラルムーブメントにPsExec、持続的なコマンド＆コントロール通信にCobalt Strikeを利用します。また、Playランサムウェア運用者は攻撃ごとにマルウェアを再コンパイルし、長期攻撃シーケンス中の脅威検知を困難にしています。

これらの課題への対応には、恐喝キャンペーンを成功させる一般的なミスを回避することが不可欠です。

サイバー恐喝における一般的なミス

• 封じ込め措置の遅延：不審な活動を発見しても、調査を優先して隔離措置を遅らせた結果、ランサムウェアが横展開。 CISAのランサムウェアチェックリストは、フォレンジック保全のため電源を維持しつつ即時隔離を強調しています。
• データ流出監視の不備：マルウェア実行にはアラートするが、数週間にわたるデータ流出を見逃す。 CISAのランサムウェア対応ガイダンスによれば、Rclone、Rsync、Webベースのファイルストレージ、FTP/SFTPの監視が必須。高度なセキュリティプラットフォームは、数千ファイルへのアクセスやデータ圧縮、クラウドストレージへの外部接続などの行動で流出ツールを検知します。
• 重要システムでのデフォルト認証情報使用： CISA Advisory AA23-278Aによれば、特にバックアップシステム、VPNゲートウェイ、管理ポータルでデフォルト認証情報が最も悪用されています。

これらのミスは防止可能です。政府機関は攻撃者が悪用する各脆弱性に直接対応する具体的なガイダンスを提供しています。

サイバー恐喝対策のベストプラクティス

政府機関はサイバー恐喝の予防・対応に関する具体的なガイダンスを提供しています：

• 多要素認証の全社導入。共同の CISA/FBI/NSA StopRansomwareガイドは、特にWebメール、VPN、重要システムアクセスにMFAを必須としています。
• SMB通信にKerberos-IPsecを設定。 CISAのStopRansomwareガイドは、Active Directoryドメイン外のシステムへの攻撃防止のため、SMB横展開通信にKerberosベースのIPsecを推奨しています。
• オフライン暗号化バックアップの維持。共同の CISA/FBI/NSAガイダンスは、バックアップをネットワークから隔離し暗号化することを明記しています。
• データ流出ツールの監視。 CISAのランサムウェアガイダンスによれば、Rclone、Rsync、Webベースのファイルストレージ、FTP/SFTPの監視が必要です。
• 管理外デバイスの発見。継続的な資産発見で、デフォルト認証情報が残る管理外デバイスやシャドーITを特定。
• 連邦リソースの積極的活用。連邦資産対応には技術支援、他のリスク対象組織の特定、復旧リソースの案内が含まれます。

これらの実践により、基礎的な防御力が強化されます。最近のインシデントは、これらの対策を怠った場合の影響を示しています。

サイバー恐喝インシデントの実例

最近のサイバー恐喝キャンペーンは、攻撃者が複数の戦術を組み合わせて被害者への圧力を最大化する様子を示しています。

1. Change Healthcare（2024年2月）：BlackCat（ALPHV）グループは、MFA未設定の単一アカウントを悪用してChange Healthcareに侵入。機密データを流出させ、全米の電子決済・医療請求処理を停止させるランサムウェアを展開。 HHS民権局の漏洩ポータルによれば、約1億9,000万人に影響し、米国史上最大の医療データ漏洩となりました。単一の認証情報の弱点が全国規模の業務中断に波及することを示しました。
2. Synnovis-NHS（2024年6月）：Qilinランサムウェア集団がNHS病理サービスプロバイダーSynnovisを攻撃し、ロンドンの病院で1,000件超の選択的手術や数千件の外来予約が延期。輸血、検査結果、がん治療も遅延。攻撃者は機密データを盗み、交渉決裂時に記録を公開。サードパーティ侵害が医療提供に直接影響することを示しました。
3. Snowflake顧客侵害（2024年5月）：ハッカーが侵害された認証情報を悪用し、Snowflakeクラウドデータプラットフォームにアクセス。100社以上の大手企業を含む顧客に影響。大量の顧客データを流出させ、データ公開防止のため身代金を要求。共有インフラプロバイダーを標的とした場合のサプライチェーンリスクを浮き彫りにしました。
4. Blue Yonder（2024年11月）：Termiteランサムウェア集団が大手サプライチェーンソフトウェアプロバイダーBlue Yonderを標的とし、数千の企業顧客サービスを妨害。二重恐喝戦術でシステムを暗号化し、盗んだデータの公開を脅迫。サプライチェーン侵害が複数組織に同時多発的な影響を与えることを示しました。

これらのインシデントに共通するのは、暗号化前の長期的な攻撃者滞在、認証情報の弱点や未修正脆弱性の悪用、多層的な圧力戦術です。偵察や攻撃指標の相関が可能なセキュリティプラットフォームを持つ組織は、暗号化段階前にこれらのキャンペーンを阻止できます。

SentinelOneによるサイバー恐喝対策

恐喝苦情の134%増加は、脅威アクターが多段階キャンペーンへとシフトしたことを裏付けています。攻撃チェーンの長期化により、身代金要求前に攻撃を阻止する複数の機会が生まれます。SentinelOneのSingularity Platformは、暗号化前に恐喝チェーンを遮断するための機能で各攻撃段階に対応します。

Singularity XDRは、AdFindによるドメインコントローラーへのクエリ、列挙ツールを起動する親プロセス、結果を受信する外部IPアドレスを相関させて偵察パターンを検出します。Purple AIは「過去72時間にこの侵害アカウントがアクセスした全システムを表示」など自然言語クエリで調査を加速し、 最大80%の調査時間短縮を実現。暗号化前にデータ流出を阻止できます。

Storylineは、プロセス実行、ファイル変更、ネットワーク接続を相関させて完全な攻撃チェーンを再構築します。MITRE ATT&CK評価では、Singularity Platformは他社の178,000件に対し 12件のみと、88%少ないアラート数を記録しました。

Rangerは、デフォルト認証情報が残る管理外デバイスやシャドーITを継続的に発見します。CISA Advisory AA23-278Aによれば、悪意のある攻撃者はVPNゲートウェイや管理ポータルのデフォルト認証情報を常習的に悪用しています。

SentinelOneのデモを予約し、これらの機能を自社環境でご体験ください。

重要なポイント

サイバー恐喝は単純なランサムウェアから、データ窃取、DDoS攻撃、サプライチェーン標的化を組み合わせた多段階キャンペーンへと進化しています。FBIは2024年に恐喝苦情が134%急増したことを記録しており、攻撃者は暗号化展開前に数日から数週間ネットワーク内に潜伏しています。この長期化したタイムラインは、偵察、認証情報窃取、データ流出段階で攻撃を阻止できる複数の防御機会を生みます。

これらのキャンペーンへの防御には、暗号化時のマルウェア検知から、数日前の攻撃者行動検知へのシフトが必要です。Singularity XDRは偵察パターンを相関し、Purple AIは自然言語クエリで調査を加速、Storylineは完全な攻撃チェーンを再構築し、Rangerは攻撃者に悪用される前に管理外資産を発見します。