システムショック：Storm-0501ランサムウェアがクラウドへ移行

2025.11.13

2025年9月17日、Doug Bonderud

全体的にランサムウェアの発生率は低下しています。2025年には、60％強の企業がランサムウェア攻撃を報告しており、実のところ2020年以来の最低の数値となっています。

良くないニュースとしては、攻撃者が戦術を変えていることです。最近のマイクロソフトセキュリティ分析が指摘するように、脅威アクター「Storm-0501」はランサムウェアをオンプレミス環境から移行させ、ハイブリッド環境とクラウド環境の両方を危険に晒しています。以下に詳細を解説します。

How：Storm-0501攻撃の基本（手法）

従来のランサムウェア展開はオンプレミスで行われます。攻撃者はローカルネットワークを侵害し、悪意のあるペイロードを展開します。実行されると、これらのペイロードは重要なファイルを暗号化し、ハッカーは復号鍵と引き換えに身代金を要求します。

最近まで、Storm-0501もこのペイロードの手法に従っていましたが、2024年、この脅威アクターはクラウド環境を侵害可能な新たなマルウェア株を展開しました。攻撃はちょっとした足掛かりから始まります。サイバー攻撃者はActive Directory環境を侵害し、次にMicrosoft Entra IDへ移動します。その後、権限を昇格させて管理者レベルの制御権を獲得します。

これにより、無制限のネットワークアクセスを可能にするフェデレーテッドドメインを追加でき、オンプレミス型ランサムウェアの展開も可能になります。結果として二重の攻撃が成立します。従来のランサムウェアを使用すれば、脅威アクターはオンサイトデータを暗号化し、解放のための支払いを要求できます。一方、完全なクラウドアクセスを活用すれば、保存された資産を流出させ、バックアップを削除し、データを人質に取って身代金を要求できます。

What：侵害の一般的な条件（内容）

Storm-0501の成功の鍵は、オンプレミスとクラウドベースの展開の間の隙間を悪用する二重の侵害手法にあります。

端的に言えば、ハイブリッド環境は純粋なローカル環境に比べて複雑です。企業がクラウドとローカルリソースの両方を最大限活用するには、異なるリソース、サービス、アプリケーションを接続するデジタルブリッジが必要となります。このデジタルグレーゾーンこそが潜在的な問題を生み出します。

MicrosoftによるStorm-0501攻撃の分析を考察しましょう。標的となった企業は複数の子会社を運営しており、各子会社は独立しながらも相互接続されたAzureクラウドテナントを保有していました。各テナントのセキュリティ態勢は異なり、Microsoft Defender for Endpointを導入していたのは1つだけでした。さらにMicrosoftの研究では、複数のActive Directoryドメインが複数のテナントに同期されており、ITチームがこれらのクラウドインスタンスを管理・監視するのを困難にしていたことが判明しました。

攻撃はオンプレミスシステムの複数台への侵入から始まりました。脅威アクターは「sc query sense」や「sc query windefend」などのコマンドでDefender for Endpointの稼働状況を確認。稼働中と判断すると、Evil-WinRMと呼ばれるWindowsリモート管理（WinRM）経由のPowerShellツールを用いて横方向への移動（ラテラルムーブメント）を実行しました。防御が有効でないシステムを特定すると、DCSync攻撃を展開してドメインコントローラーを偽装し、全アクティブユーザーのパスワードハッシュを要求しました。これによりクラウドテナントと保存データのほぼ完全なアクセス権を獲得し、データ窃取と暗号化を可能にしました。

このプロセス完了後、攻撃者は侵害された企業アカウントのTeamsアカウントを利用し、経営陣に連絡して身代金を要求しました。

Where：対策強化が必要な領域

マイクロソフト脅威インテリジェンス部門ディレクター、シェロッド・デグリッポ氏によれば、Storm-0501は重大なリスク要因です。「この脅威アクターは適応力が極めて高く、業種を選ばない標的選定を行う」と同氏は指摘しています。「Storm-0501は戦術を迅速に変更し、幅広い業種を標的とする能力を示しており、クラウドサービスを利用するあらゆる組織が標的となり得ます」

企業にとって、クラウド侵害への移行は、以下の3つの主要領域における強化された保護の必要性を示しています。

検出

企業が潜在的な侵害を早期に検知できればできるほど、問題の排除と影響の修復に備える準備が整います。実際には、標準的なアンチウイルスフレームワークを超え、カスタマイズされた行動ルールや運用条件に基づいて脅威をブロックするエンドポイント検知・対応（EDR）などのソリューションが必要となります。

アクセス

ランサムウェアの種類や標的を問わず、企業は常に最小権限の原則から恩恵を受けます。管理機能へのアクセス権を持つユーザーは少ないほど良いのです。

これは多要素認証（MFA）などのソリューションから始まります。ユーザーが「知っているもの」に加えて「持っているもの」または「その人自身」を提示すること、これを義務付けることで、企業は侵害リスクを低減できます。次に条件付きアクセスポリシーが重要です。単発的な認証ではなく、ユーザーがログインを試みるたびに複数の要素を評価します。例えば、通常のアクセス時間帯外や新規ロケーションからのログイン試行時には、追加の検証を要求することがあります。

これらの利点は理論上だけのものではありません。マイクロソフトの分析によれば、侵害されたハイブリッドテナントにおいて、攻撃者が特権ユーザーとして最初にサインインを試みた際、MFAと条件付きアクセスにより失敗に終わり、ドメインを変更して再試行する必要がありました。

ストレージ

ランサムウェア攻撃の成功は、暗号化、データ窃取、または削除によるストレージの侵害に依存します。その結果、強化されたデータストレージプロセスは攻撃者の試みを阻害するのに役立ちます。一例が、クラウド保存データとデータバックアップ双方のイミュータブルストレージです。イミュータブルストレージの概念は単純です：変更不可能、です。企業は書き込み一回・読み取り多数（WORM）など希望するポリシーを設定でき、データが変更されないことを確信して安心できます。この種のストレージは特にバックアップに有用です。たとえ攻撃者が重要な資産を侵害・削除したとしても、脅威が封じ込められ排除されれば、企業は改ざんされていないデータを復元し再構築できます。