1. HOME
  2. Blog
  3. Blog
  4. 海外ブログ

Info.

お知らせ

海外ブログ

ネバダ州のランサムウェア攻撃:州政府全体に及んだサイバーレジリエンスの教訓 のページ写真 1

ネバダ州のランサムウェア攻撃:州政府全体に及んだサイバーレジリエンスの教訓

2025年12月11日、Christine Barry 戦略的な計画とインシデント対応が、壊滅的な攻撃を復旧の模範例に変える 重要ポイント 備えの重要性:ネバダ州では、サイバーレジリエンスへの事前の投資により、攻撃者がバックアップボリュームを削除した後でも、迅速な初動対応と復旧が可能になりました。 高度な攻撃手法:サイバー攻撃者は、検知を回避して何か月も潜伏して、何千件もの機密ファイルにアクセスしました。 周到に調整された対応と復旧:演習で十分に検証されたプレイブック、ベンダーとの関係、連邦政府とのパートナーシップにより、ネバダ州は業務上重要なサービスを1週間以内に復元させ、28日で完全復旧を達成しました。 2025年8月、米国ネバダ州政府のシステムが突然停止しました。当初は日常的な障害のように見えましたが、実際には60を超える州政府機関に影響を及ぼす大規模なランサムウェア攻撃であることが判明しました。影響を受けたのは、車両管理局(DMV)のシステム、社会福祉、法執行機関、州の給与支払いシステムなどで、一部のシステムは停止が28日間続きました。 この攻撃と、それがネバダ州政府全体に及ぼした影響については、10月下旬に公開された事後報告書(AAR)に詳述されています。同報告書は、ネバダ州行政府との協力の下でInfo-Tech Research Groupが作成し、州の最高情報責任者(CIO)による冒頭声明に続いて、攻撃の概要と州のインシデント対応(IR)計画に関する洞察を提供しています。このインシデントでは、ネバダ州がこれまで行ってきたレジリエンスと運用準備態勢への投資が中心的な役割を果たしています。PDFはこちらからダウンロードできます。 攻撃前 ネバダ州は、長年にわたるインシデント対応の計画と演習を重ねてきました。その結果、この危機に直面した時点で、多くの州よりも十分に備えができていました。報告書によれば: ネバダ州は、IR計画、サイバー保険、迅速な復旧を可能にするための技術的なセキュリティ強化策に資金を提供してきました。バックアップ戦略、スタッフのトレーニング、復旧準備への事前の投資によって、攻撃者がバックアップボリュームを削除した後でも、州の迅速な初動対応が下支えされました。 十分に整備され、演習で検証されたプレイブックと、毎年の複数機関合同シミュレーションにより、実際の緊急事態における各機関の役割が明確化されました。これらの演習は、意思決定と意思疎通のための統一的なガバナンス構造の確立にも役立ちました。 サイバー保険プログラムと、Mandiantをはじめとするベンダーとの事前契約により、技術やフォレンジックの専門家を数時間以内に投入できました。国土安全保障省(DHS)や連邦捜査局(FBI)との関係も構築されていたため、連邦政府の支援も円滑に組み込まれました。 報告書は、こうした準備が統制のとれた規律ある対応につながったと評価しています。 攻撃 報告書では、脅威主体やマルウェアの亜種の名称は特定されていません。公的な報告では、防御策を露呈したり他の攻撃者を助けたりする可能性があるため、詳細が記載されることはほとんどありません。こうした情報は、防御強化を目的として、州政府内部や、情報共有/分析センター(ISAC)のようなクローズドな枠組みを通じて共有されています。この報告書は、2025年10月28日の時点で、州政府全体に影響が及んだ本サイバーインシデントに関する最も包括的な公開記録となっています。 初期アクセス 2025年5月14日、州職員が誤って偽装Webサイトからマルウェアが仕込まれたシステム管理ツールをダウンロードし、実行しました。攻撃者は、SEOポイズニングとGoogle広告を使って、悪意あるリンクを正規のものに見せかけていました。報告書ではマルウェアは特定されていませんが、手口はNitrogenローダー攻撃で使われているものに類似しています。帰属は不明ですが、類似点は注目に値します。 報告書では、従業員が管理者権限を持っていたかどうかは明記しておらず、ローカル管理者権限を持っていた可能性や、管理ツールが一般的にインストールされているシステムを使用していた可能性なども否定できません。 永続化と通信 インストールされたマルウェアは、5月14日にバックドアを作成し、6月26日にSymantecがソースファイルを検知して削除した後も活動を継続しました。バックドアは構成を変更し、痕跡を残しながらもエンドポイント保護で検知されなかった可能性が高いと考えられます。ユーザーがサインインするたびに攻撃者のインフラに接続し、サイバー攻撃者がユーザー権限のコンテキスト内で活動し、システム全体のチェックやネットワークの異常によるアラートを最小化していました。 権限昇格とラテラルムーブメント ワークステーションの足がかりを得た攻撃者は、リモート監視/管理(RMM)ツールをインストールし、キー入力の記録や画面閲覧を通じて、最終的に26組の認証情報を取得しました。バックドアが継続的なアクセスを確保する一方で、RMMツールが情報収集の主要な手段となりました。これを念頭に置き、ワークステーション/ユーザーのコンテキストから、ネットワークやサーバーへのアクセスに至った可能性の高い経路は以下のとおりです: ユーザーレベルのアクセスを開始し、バックドア通信を維持する。 ユーザーの認証情報を使って、市販のRMMツールを手動でインストールする。 RMMを使用して標準および特権アカウントの認証情報を取得し、管理者ログインを可能にする。 管理者権限とRDPを活用し、暗号化されたトンネルを経由してネットワーク内で移動する。 データ持ち出し 攻撃者は数万件の機密ファイルを1つのZIPアーカイブに集約し、転送しやすいよう6つに分割しました。調査では、実際に持ち出されたことを示す確証や、リークサイト上の証拠は確認されていません。しかし、8月27日付の知事府技術局が発表した声明では、では、一部データがネットワーク外へ移動した可能性が示唆されています。「証拠」や「確認」には決まった基準があるわけではないため、どちらの記述も成り立つ可能性があります。 報告書によると、26,408件のファイルがアクセスされ、3,241件のファイルが漏洩した可能性があります。元州職員の個人情報が記載されたファイルも1つ含まれており、当人に通知されました。調査担当者は、引き続き持ち出しの兆候を監視しています。 暗号化 ランサムウェアファミリーや暗号化バイナリは特定されていません。攻撃者は展開前に、すべてのバックアップボリュームを削除し、仮想化管理サーバーに対するルート権限を用いて、複数の仮想マシンを同時に暗号化しました。 ネットワーク障害は太平洋時間午前1時52分ごろに発生し、DMV、公安、保健サービス、裁判所、その他の州全体で利用される複数のポータルに影響が及びました。被害を受けたシステムには、身代金要求のメモが残されていました。 インシデント対応 知事府技術局は、CIOのTimothy D. Galluzi氏らにこの問題をエスカレーションしました。対応チームは以下を実施しました: 影響を受けた仮想マシンを隔離する サイバー保険の枠組みを通じて法律顧問とMandiantを関与させる 復旧プレイブックを即日開始する 州政府全体の完全復旧には28日かかりましたが、業務上重要なサービスは1週間以内に復元させました。影響を受けたデータの90%を復旧し、身代金は支払われませんでした。 事後改善策 攻撃後、ネバダ州はサイバーセキュリティ体制を強化し、複数の改善を実施しました: エンドポイント検知/応答(EDR)の拡張:高度な行動分析と継続的な監視を含むエンドポイント保護をアップグレードし、検知されないまま潜伏が継続するリスクを低減しました。 ゼロトラストアーキテクチャへの取り組み:ゼロトラストの原則の採用を加速し、より厳格なアイデンティティ検証、最小特権アクセス、重要システム全体のセグメンテーションを実施しました。 バックアップ戦略の強化:攻撃者による復旧ボリュームの削除を防止するため、イミュータブル(変更不可)バックアップとオフサイトストレージを導入し、将来のインシデント発生時に迅速な復元を可能にしました。 ベンダーおよびインシデント対応契約の改善:フォレンジックと復旧の専門家がより迅速に関与するよう保証するため、事前に交渉された契約を改訂し、緊急対応に関するサービスレベル契約(SLA)をより明確にしました。 包括的なスタッフトレーニング:初期侵害のリスクを低減するため、サイバーセキュリティの意識向上プログラムを拡張し、フィッシングのシミュレーションや安全なツール利用を取り入れました。 継続的な脅威ハンティングとレッドチーム演習: 専門の脅威ハンティングチームを設置し、脆弱性を事前に特定するためにレッドチームによる定期的な評価を実施しています。 セキュリティ運用の一元化: 24時間365日の監視態勢を整え、リアルタイムの検知と対応のための脅威インテリジェンスフィードを統合したセキュリティオペレーションセンター(SOC)に投資しました。 振り返り ネバダ州の復旧対応に対する評価はおおむね好意的です。報告書は、完全復旧までの28日間という日数は「全国平均を下回る」ものであり、「この規模の公共部門インシデントとしては一般的な期間を大きく下回る」と指摘しています。Comparitechによると、政府機関の平均復旧時間は27.8日ですが、ネバダ州は1週間以内に重要サービスを復元し、給与支払いも期限内にすべて完了しました。また、復旧作業に取り組み、ファイル復号のために身代金を支払うこともありませんでした。部分的には全国平均を下回る回復期間ですが、28日間での全面復旧は公共部門インシデントとしては標準的であると言えます。 また、102日という潜伏期間も、全国平均を下回っている可能性があります。ネバダ大学ラスベガス校(UNLV)のGregory Moody氏によれば、こうした侵入の検出には通常7~8か月を要しています。IBMの2024年データ侵害のコストに関する調査レポートによると、全世界のデータ侵害の平均発見時間(MTTI)は194日(約6.5か月)です。 ネバダ州は身代金を支払わなかったことから、この項目で200万ドル以上を節約できたと思われます。ネバダ州の直接復旧費用は、業者費用とスタッフの残業代でおよそ150万ドルで、全国平均と同等またはそれ以下とみられます。複数の報告で、平均的な費用は150万~180万ドル程度とされています。 総合すると、ネバダ州が十分に備え、プレッシャー下でレジリエンスを発揮したことを示しています。潜伏時間も完全復旧までの期間も突出して短かったとは言えませんが、重要なサービスを数日で復元させ、身代金の支払いを回避し、全体的な復旧費用を全国水準内に抑えました。こうした能力は、よく構築されたサイバーセキュリティプログラムの成果を反映しています。 本インシデントは、周到な準備によって、巧妙かつ広範な攻撃からの回復速度と有効性が大きく左右されることを示す好例と言えます。 BarracudaONE プラットフォームの詳細

海外ブログ

調査結果:2026年に急増が見込まれるセキュリティ支出 のページ写真 2

調査結果:2026年に急増が見込まれるセキュリティ支出

2025年12月29日、Mike Vizard 2026年のサイバーセキュリティ予算:AI投資、人材確保の課題、高まるリスク許容度 主なポイント: 2026年にはサイバーセキュリティ予算が急増する見込みで、米国の大企業の半数以上が、進化する脅威に対処するため大幅な支出増を計画しています。 不正防止、予測分析、脅威検知の強化といったAI主導の取り組みが最優先課題です。 投資が増加する一方で、生産性とイノベーションを推進するため、組織はより高いリスクを受け入れる傾向が強まっています。 2026年に向けてサイバーセキュリティチームにとって朗報なのは、経済的な不確実性が多く存在するにもかかわらず、サイバーセキュリティ予算は増加が見込まれていることです。売上高10億ドル以上の米国企業における最高経営責任者(CEO)級セキュリティリーダー310名を対象とした調査によれば、回答者のほぼ全員(99%)が、今後数年間でサイバーセキュリティ予算の増加を計画している組織を率いており、将来の脅威に備えるため、過半数以上(54%)が6%から10%の大幅な増加を計画しています。 回答者の70%は、既に予算の10%以上を人工知能(AI)を活用したサイバーセキュリティ施策に充てていると回答。主な焦点は、詐欺防止(57%)、予測分析(56%)、検知能力強化(53%)による脅威の事前検知・阻止にあります。 こうしたAI投資がサイバーセキュリティ人材に与える影響は依然として不透明ですが、少なくとも短期的には人材不足が重大な課題として残っています。調査によれば、リーダーの半数以上(53%)が依然として適格な候補者の不足を重大な課題と認識しており、報酬の引き上げ(49%)、社内研修の強化(49%)、マネージドセキュリティサービスプロバイダー(MSSP)などの外部パートナーへの依存度向上(25%)を余儀なくされています。(MSSP)などの外部パートナーへの依存度を高めています。 既に大半の企業が第三者のパートナーに大きく依存しており、ITサービスプロバイダー(67%)が最も多く、次いでコンサルティング会社(47%)、MSSP(45%)が続きます。回答者のほぼ半数(47%)が、今後2~3年でパートナーへの投資が最も大きく増加すると回答し、クラウドセキュリティ(45%)がそれに続いています。 経営幹部が感じるプレッシャーの多くは、過去12か月間に発生したサイバー攻撃の急増に起因しているようです。回答者の83%が増加を報告しており、主な攻撃種別としてはフィッシング(51%)、サービス拒否攻撃(49%)、ランサムウェア(39%)が挙げられています。 最大の懸念事項はいずれも、AIを活用した攻撃の強化に関連しています。回答者の55%がAIによるソーシャルエンジニアリング攻撃の強化を懸念しており、AI駆動型マルウェア・ランサムウェア攻撃を懸念する50%を上回りました。これらの攻撃を阻止する防御体制について「高い」と評価した回答者は、それぞれ35%と46%にとどまっています。3分の1以上(38%)が、AIを活用した攻撃が今後2~3年で大きな課題となると回答しています。 60%が非人間的なIDの著しい増加を認識しており、43%が今後2~3年でIDおよびアクセス管理(IAM)を大幅に優先度を高める計画です。 もちろん、支出の増加にはより大きな責任と説明責任が伴います。経営陣はサイバーセキュリティへの投資に明らかに意欲的ですが、ガートナーの最近の調査では、非執行取締役(NED)の90%がサイバーセキュリティの価値に対して何らかの不安を抱いていることも明らかになりました。同報告書はまた、同じ調査回答者の多くが、特にAI投資に関して、新興技術の導入時には組織がより多くのリスクを取るよう促しているとも指摘しています。 この結果、サイバーセキュリティチームは新年度において投資額が増加すると予想できます。同時に、組織は潜在的な結果にかかわらず、生産性向上のために高いリスク水準を受け入れる可能性が高いでしょう。 BarracudaONE AI搭載サイバーセキュリティプラットフォームで、保護とサイバーレジリエンスを最大限に強化してください。本プラットフォームはメール、データ、アプリケーション、ネットワークを保護し、24時間365日対応のマネージドXDRサービスによって強化されます。これによりセキュリティ防御が統合され、高度でインテリジェントな脅威検知と対応が実現します。高度な保護機能、リアルタイム分析、先制対応能力を活用し、組織のセキュリティ態勢を確信を持って管理いただけます。堅牢なレポートツールが明確で実用的な洞察を提供し、リスク監視、ROI測定、運用効果の証明を支援します。また、質問がございます場合、ぜひバラクーダの日本のWEBサイトよりお問い合わせください。 原文はこちら:Survey: Security spending to increase sharply in 2026Dec. 29, 2025 Mike Vizardhttps://blog.barracuda.com/2025/12/29/survey–security-spending-to-increase-sharply-in-2026

海外ブログ

基本のさらにその先へ:Microsoft Entra ID の高度な復旧性 のページ写真 3

基本のさらにその先へ:Microsoft Entra ID の高度な復旧性

2025年11月24日、Christine Barry 主なポイント: 復旧性は不可欠:インシデント発生後にデータを復旧させるだけでなく、機能を迅速に復元できるようにします。 Barracuda Entra ID Backup Premium が提供する高度な機能:ポリシーレベルおよびオブジェクトレベルの復元、バージョン履歴管理、重要なアイデンティティ構成要素の保護などが含まれます。 運用のレジリエンスは堅牢な復旧性に左右される:効果的なアイデンティティ管理には、アクセスコントロールだけでなく、障害から復旧する能力が求められます。 Microsoft Entra IDはMicrosoftのクラウドベースのアイデンティティおよびアクセス管理ソリューションです。今日の企業環境において、デジタルアイデンティティの保護に不可欠な役割を果たします。Entra IDの導入環境を実効的に保護するためには、管理者はバックアップだけでなく、復旧性の観点から検討する必要があります。 Entra IDとは? Microsoft Entra ID(旧称:Azure Active Directory)は、従業員、パートナー、顧客のリソースへのアクセスを安全に制御するための仕組みです。Microsoftとサードパーティのクラウドアプリケーションを含むクラウドおよびハイブリッド環境を対象に、シングルサインオン(SSO)、多要素認証、包括的なアクセスポリシーを提供します。何らかの理由でEntra IDデータが利用できなくなると、従業員はこれらのリソースにアクセスできなくなり、業務は中断します。 バックアップと復旧性 復旧性を取り上げる必要があるのは、端的に言ってバックアップだけでは不十分だからです。Entra IDのバックアップとは、ユーザー、グループ、ロール、ポリシー、設定など、Entra IDデータのコピーを作成することを指します。これはデータの保持と復元に焦点を当てた予防的な対策ですが、アイデンティティシステムの複雑さにすべて対処するものではありません。 復旧性とは、インシデントの種類を問わず、インシデント発生後に迅速かつ確実に既知の良好な状態に戻すことです。バックアップからデータを復元するだけではなく、認証やコンプライアンスを損なわずに機能を復元させることを意味します。 復旧性が重要なのは、アイデンティティが現代のセキュリティを支える基盤となっているためです。 Entra IDのテナントに侵害や設定ミスが起こると、ユーザーがサインインできず、アプリが機能せず、ビジネスが停止してしまいます。復旧性は、以下の保証を提供します: 操業停止やサイバー攻撃時のダウンタイムを最小限に抑える リスクのある変更を迅速にロールバックする 最悪のシナリオでも事業継続を確保する Barracuda Entra ID Backup Premium バックアップは不可欠ですが、プロセスの一部に過ぎません。Barracuda Entra ID Backup Premiumは、単純なバックアップにとどまらず、ポリシーレベルおよびオブジェクトレベルの復元、バージョン履歴管理、自動化されたワークフローを提供することで、アイデンティティ環境を確実に復旧できるようにします。 このソリューションは、Microsoftのネイティブな30日間バックアップでは保護できない、影響の大きい設定も対象とします。たとえば、条件付きアクセスポリシー、認証方法および認証強度のポリシー、複数の重要なアイデンティティ構成要素が含まれます。 自社環境で実際に試す 効果的なアイデンティティ管理は、アクセスコントロールだけでなく、堅牢な復旧性に支えられて初めて成り立ちます。その結果、組織は複雑化が進むクラウド環境においても、運用のレジリエンスを維持できます。Barracuda Entra ID Backup Premiumの無料トライアルをぜひご利用ください。また、質問がございます場合、ぜひバラクーダの日本のWEBサイトよりお問い合わせください。 Barracuda Entra ID Backup Premiumページを確認 原文はこちら:Beyond the basics: Advanced recoverability for Microsoft Entra IDNov. 24, 2025 Christine Barryhttps://blog.barracuda.com/2025/11/24/beyond-the-basics–advanced-recoverability-for-microsoft-entra-i

海外ブログ

2025年の最も興味深いサイバー犯罪の摘発事例 のページ写真 4

2025年の最も興味深いサイバー犯罪の摘発事例

2025 年 12 月 3 日、Andrew Sanders 信頼された内部関係者が、今年最大のサイバーセキュリティの脅威の一つとなった経緯 要点 2025 年の最も注目すべきサイバー犯罪の摘発事例は、サイバーセキュリティの主要な懸念事項が、外部の脅威から悪意のある内部関係者へと移行していることを明らかにしています。 2025 年には、特権的なアクセス権を持つ信頼された従業員が、その立場を利用してサイバー犯罪者に機密情報を販売した、いくつかの注目すべき事例がありました。 法執行機関は、多くの著名なサイバー犯罪者を逮捕することに成功していますが、内部関係者による脅威は、依然として検出と防止が特に困難です。 組織は、従業員は誰も疑いの目を逃れることはできないことを認識し、内部セキュリティプロトコルを強化して内部関係者によるリスクを軽減する必要があります。 毎年「史上最大のデータ侵害」が報じられていますが、明るい兆候として、世界的に活動する攻撃者の逮捕件数が増加しています。2024年には29億件超の機密ファイルが流出する記録的な侵害が発生しましたが、犯人であるUSDoDの別名で知られる攻撃者は迅速に逮捕されました。しかし新たな傾向として、外部脅威によるデータ侵害は最も心配すべき問題ではないかもしれません。 問題点:2025年に摘発された最も注目すべきサイバー犯罪は、より深刻な傾向を示しています。今年法執行機関が標的とした最も目立つ人物は、悪意のある外部関係者や国家主体の攻撃者ではありません。むしろ内部関係者——倫理観を捨て、専門知識を悪用して金銭を得るために法に背くことを選んだ信頼された専門家たちです。 内部の犯行:防衛企業の幹部がサイバー機密を売却 防衛請負企業L3Harrisは210億ドルの収益を誇り、世界中で約5万人の従業員を擁します。自律型水中ドローンから衛星光学機器まであらゆる製品を販売しています。同社のサイバーセキュリティ部門トレンチャントは、米国および同盟国政府向けの侵入ツール開発を専門とします。そして痛ましい教訓も学びました——最も信頼される従業員でさえ内部脅威となり得るのです。 トレンチャントの元ゼネラルマネージャー、ピーター・ウィリアムズは最近、ロシア政府を含む国家機関への機密資料販売で有罪を認めました。この資料は8つの未公表ゼロデイエクスプロイトを含み、所有者はスマートフォンやウェブブラウザなどのシステムを侵害・監視できます。 Techcrunchによれば、ウィリアムズは「スーパーユーザー」権限を利用して、通常はエアギャップ(隔絶)された安全なシステムに保管されていたこの資料にアクセスし、個人用ハードドライブに転送しました。コード漏洩の通報を受けた組織はウィリアムズを調査責任者に任命しましたが、彼はこの権限を悪用して別の従業員を陥れました。 この事件は、サイバーセキュリティ分野において「疑いの余地がない」従業員など存在しないことを示しています。 身代金交渉人が脅威アクターに転身 ランサムウェアの台頭により、サイバーセキュリティ分野に新たな職種が誕生しました。ランサムウェア交渉人は、暗号化攻撃成功後に直接攻撃者と交渉します。その役割は身代金総額の削減を図り、必要に応じて技術支援を得てファイルの円滑な復号・復旧を保証することです。 脅威グループは交渉担当者との緊密な連携に強いインセンティブを持ちます。取引が容易な評判を得られれば、標的が身代金を支払う可能性が高まるからです。しかし、ランサムウェア交渉担当者が敵側に寝返った場合、何が起きるのでしょうか? 最近公開された大陪審起訴状によると、インシデント対応マネージャー兼ランサムウェア交渉担当者が、ALPHV/BlackCatと呼ばれるマルウェア株を用いて被害者を標的にし、恐喝した容疑で告発されています。ある事例では、共犯者らは医療機器メーカーから130万ドルの支払いを成功裏に強要しました。 交渉担当者が自社リソースを攻撃に利用した証拠はないものの、その示唆するところは憂慮すべきです。本件のインシデント対応マネージャーは、借金返済のためにランサムウェア攻撃を企てました。高額報酬に誘惑されサイバーセキュリティ専門家が闇の側に転落するのを防ぐため、どのような対策が講じられているのでしょうか? 国際協力で摘発された3億ユーロ詐欺組織 明るいニュースとしては、国際共同作戦により2016年から2021年にかけて活動した多国籍クレジットカード詐欺組織が最近摘発されました。このグループは月額50ユーロ未満の偽クレジットカード契約を大量に作成し、最終的に地球上のほぼ全ての国で1,900万人の顧客を標的にしていました。 一方、暗いニュースとしては、逮捕された18名の容疑者のうち少なくとも5名が大手決済プロバイダーの従業員や幹部であったことが判明しました。彼らはアクセス権限のあるシステムに関する知識を悪用し、不正取引を隠蔽し、資金洗浄を行い、一連のペーパーカンパニーを通じて収益を分配していました。 注目すべきは、いわゆる「犯罪サービス」企業が違法活動に利用された点です。こうした組織の多くはランサムウェアやサービス拒否攻撃を提供するために設立されますが、本事件で利用された企業は、ターンキー方式の一環として追跡困難な金融ネットワークを構築しました。ペーパーカンパニーのネットワークを構築したことで、個々の消費者が自身の資金の行き先を正確に把握することはほぼ不可能となりました。 2025年は内部脅威の年だったのか? ここ3つの事例に共通する傾向に気づいたかもしれません。今年最も注目を集めたサイバー摘発事例では、経験豊富な情報セキュリティ専門家や決済業界のエキスパートが、悪意ある者たちと共謀して数百万ドルを稼いだのです。 情報産業のベテランがロシアのエクスプロイトブローカーと結託 ランサムウェア交渉担当者がランサムウェア・アズ・ア・サービス(RaaS)事業者と共謀 決済業界幹部がプロの資金洗浄業者を利用 なぜこれほど多くのセキュリティ専門家が突然敵側に転向するのでしょうか?その答えは本記事の範囲を超えます(ただし私なりの見解はあります)。一方で、最も信頼される内部関係者でさえ、疑いの対象から外せないという事実を物語っています。今こそ企業は、内部脅威を示す不審な活動を検知できるアクセス制御・監視ソリューションを導入すべきです。 バラクーダなら、内部関係者が不正行為に走る兆候となる行動をネットワーク監視で検知できます。アカウントが侵害された場合でも、賄賂に誘惑された場合でも、バラクーダ マネージド XDR は、重要な知的財産の窃取や不正取引の隠蔽を示唆する可能性のある予期せぬファイル転送や削除を検知します。詳細を以下ページより確認し、次なる内部者による侵害を回避する方法をご確認ください。 24時間365日体制のマネージドサイバーセキュリティで脅威を阻止

海外ブログ

2026年のサイバー犯罪:より高速化、高度化、完全な産業化へ のページ写真 5

2026年のサイバー犯罪:より高速化、高度化、完全な産業化へ

2026年1月2日、Christine Barry 産業化されたサイバー犯罪:速度、専門化、AIが2026年の脅威環境を再構築する方法 要点: サイバー犯罪は現在、専門化された役割と拡張可能な攻撃モデルを備えた成熟した産業として機能し、速度と効率の両方を向上させている。 ランサムウェアや恐喝キャンペーンは強固なアフィリエイトネットワークによって推進され、一方、プライベートクルーは高度な戦術で高価値の被害者を標的にする。 人工知能は攻撃者にとって戦力増強要因となり、脅威をより迅速に、よりステルス化し、防御を困難にさせる——これにより、先制的で適応性のあるセキュリティ戦略が求められる。 サイバー犯罪はもはや、ハッカーやツール、機会主義的攻撃の寄せ集めではありません。2026年に向けて、それは高度に産業化された生態系へと成熟した——専門化、自動化、アフィリエイトネットワーク、さらにはカルテル的なビジネスモデルまで完備している。その結果、スピード、規模、高度化によって定義される脅威環境が生まれ、攻撃者は従来の防御が対応できる速度よりも速く適応します。 本稿では、2024年から2025年にかけて加速した傾向の論理的な帰結として、2026年のサイバー犯罪を形作るトレンドを考察します。これらの変化を理解することは、今後1年間にわたりレジリエンスとセキュリティを維持したい組織にとっては不可欠となります。 単なる活動を超えた、産業としてのサイバー犯罪 2026年のサイバー犯罪を特徴づける最大の要素は、その産業的構造です。現代の攻撃は、単一のグループが最初から最後まで実行することは稀です。代わりに、専門家のサプライチェーンに依存しています: 初期アクセスブローカー:盗まれた認証情報やネットワークの「足場」を販売 マルウェアローダー請負業者:要求に応じてペイロードを配信 交渉チーム:恐喝や身代金支払いを管理 プロのマネーロンダラー:収益を現金化 この「サイバー犯罪ギグエコノミー」により、攻撃者は活動を劇的に拡大できます。ランサムウェアグループは各ステージを専門家に外注することで、初期侵入から完全な恐喝までを数日、あるいは数時間で完了できるようになりました。その結果、断片的ではあるが極めて効率的な生態系が形成され、より多くの攻撃が、より高速で、より低い運用リスクで生み出されます。 アフィリエイトモデルが量産を、プライベートチームが価値を追求 2026年の脅威環境ではRaaS(Ransomware-as-a-Service)が支配的です。その理由はモデルの頑健性にあり、RaaS事業が妨害されてもアフィリエイトは単に次のプラットフォームへ移行するだけです。攻撃量は一時的に減少する可能性はありますが、ランサムウェアのエコシステムは、法執行機関の圧力も長期的な影響を最小限に抑えながら吸収できます。 一部グループはカルテル型モデルを採用し、豊富な収益分配、ホワイトラベル・ブランディング、共有インフラを提供してトップ人材を惹きつけています。(例としてDragonForceランサムウェア・カルテルの分析レポートを参照) 一方、Sinobiのようなグループは招待制のクローズド組織であり、少数の標的から高価値の成果を狙います。こうしたグループは公募を避け、独自開発ツールに注力し、単一の成功で莫大な利益を得られる「ビッグゲーム」標的を追求する傾向があります。 その結果、2026年には脅威環境がますますハイブリッド化しています: アフィリエイトやカルテル主導による大量のランサムウェア・恐喝キャンペーン 高度なスキルを持つ非公開のチームによる低頻度・高影響度の侵入 攻撃はより迅速かつ静かになる スピードとは、今や脅威アクターの武器庫において最も危険な兵器の一つといええるでしょう。かつて数週間かかっていた攻撃タイムラインは、今や数日、数時間、さらには数分にまで圧縮されています。防御側が有効な対応策を行う前に、データ窃取と恐喝が完了するケースも発生しています。 同時に攻撃者はノイズ低減技術を向上させています。2026年には暗号化を伴わない恐喝がさらに増加すると予測されます。これは犯罪者が機密データを窃取し、ランサムウェア(暗号化)を一切使用せずに流出を脅迫する手法です。データ漏洩による最大限の圧力を維持しつつ、緊急対応を引き起こす業務中断を回避する攻撃です。 脅威アクターは隠蔽のため、以下をさらに活用: ネイティブ管理ツールを用いた「Living-off-the-land」手法 ファイルレスおよびメモリ内マルウェア 防御機能を無効化する正規だが脆弱なドライバーの悪用 目的は単純明快で、溶け込み、素早く動き、手遅れになるまで不可視状態を維持することです。 AIが攻撃者の戦力増強要因に 人工知能(AI)は攻撃ライフサイクル全体を変革している。2026年には、攻撃者がAI強化型かつ半自律型のマルウェアを展開し、以下が可能になると予測される: 環境をスキャンし弱点を特定 動的にエクスプロイトを選択 防御に遭遇した際の戦術をリアルタイムで調整 ソーシャルエンジニアリングの分野では、ディープフェイク音声・動画が詐欺を新たな領域へ押し進めています。音声クローンや現実的なAI生成ペルソナにより、特に金融詐欺や経営幹部を狙った詐欺において、本人確認が格段に困難化しています。 防御側もAI駆動型のセキュリティツールを採用しており、今後1年間でAI対AIの小競り合いが増加する。防御側の課題は、攻撃者は一度成功すればよいが、防御側は常に正しい判断を求められる点にあります。 関連記事: 2026年セキュリティ最前線予測:自律型AIが支配する現実と制御をめぐる戦い 犯罪組織と国家主体の脅威が融合を続ける サイバー犯罪と国家主体の活動の境界はますます曖昧になっています。金銭的動機による攻撃、スパイ活動、ハクティビズム、地政学的混乱が現在では重なり合い、攻撃主体の特定と対応を複雑化させています。例えばラザルス・グループの活動は国家によって指揮されているが、同グループは必要に応じてラザルス以外のインフラやその他のリソースを利用します。 国家は以下の項目を行っています: 犯罪インフラとアクセスブローカーの活用 戦略的目標からの資金調達を目的としたランサムウェア及びデータ窃取作戦の実行 否認可能な代理人として、ハクティビストグループを行動させることの容認または奨励 関連情報: ラザルス・グループ:旗を持つ犯罪組織 | Barracuda Networks ブログ 同時に、犯罪組織は標的型攻撃(APT)が用いる戦術を採用しつつあり、ステルス的な長期アクセス、サプライチェーン侵害、重要インフラ攻撃などが含まれます。 防御側にとって、これは金銭的・政治的双方の目的を同時に達成する可能性のあるインシデントへの備えを意味します。防御側は、単一の侵入が短期的な恐喝と長期的な諜報活動・妨害の両方に利用される可能性を前提とした検知・インシデント対応の戦略を構築すべきです。 High-leverage target(高影響目標)は依然として標的となる どのセクターも無縁ではありませんが、脅威アクターはダウンタイム、安全性、規制圧力により支払いの可能性が高まる産業に一貫して集中します。製造業、医療、エネルギー、運輸、金融サービスは2026年へ向けても主要標的であり続けます。 サプライチェーン攻撃も増加が見込まれます。単一の広く利用されるプラットフォームやサービスプロバイダーを侵害することで、攻撃者は単一のキャンペーンで数百の下流組織に影響を与え、労力を最小化しながらリターンを最大化できます。 2026年に向けた示唆 2026年のサイバー犯罪環境は、産業的効率性、極限的なスピード、AI駆動型自動化、そして曖昧な動機によって特徴づけられます。攻撃者は成熟した企業のように活動し、規模拡大・収益性・混乱への耐性を継続的に最適化しています。 組織にとって、これは以下のことを意味します: 人間の対応だけでは追いつかない速度で侵害が発生すると想定する アイデンティティセキュリティ、認証情報保護、環境横断的な可視化を優先する ランサムウェア(暗号化)を全く伴わない恐喝シナリオに備える サイバーリスクをビジネス上の懸念と地政学的懸念の両方として扱う サイバー犯罪は、もはや年単位で進化しているのではなく、絶え間なく反復しています。2026年に成功する組織とは、この現実を認識し、同様に迅速に適応する組織です。 BarracudaONE AI搭載サイバーセキュリティプラットフォームで保護とサイバーレジリエンスを最大化。メール・データ・アプリケーション・ネットワークを保護し、24時間365日運用されるマネージドXDRサービスで強化。セキュリティ防御を統合し、深層的でインテリジェントな脅威検知・対応を実現。高度な保護機能、リアルタイム分析、先制対応能力を活用し、組織のセキュリティ態勢を確信を持って管理できます。堅牢なレポートツールは明確で実用的なインサイトを提供し、リスク監視、ROI測定、運用効果の証明を支援します。 その他のバラクーダソリューションについても、当社ウェブサイトのお問い合わせフォームよりお気軽に当社へお問い合わせください。 BarracudaONE AI搭載サイバーセキュリティプラットフォーム バラクーダジャパンお問い合わせフォーム

海外ブログ

2026年のサイバーセキュリティに関する 8 つの予測:バラクーダ幹部からの知見 のページ写真 6

2026年のサイバーセキュリティに関する 8 つの予測:バラクーダ幹部からの知見

2026 年 1 月 5 日、Anne Campbell 今後 1 年間のサイバーレジリエンスを形作るトレンド、課題、戦略に関する専門家のインサイト 要点 AI の導入は加速していますが、堅牢な AIOps フレームワークとガバナンスを導入しない限り、組織はパイロットプロジェクト以上の規模拡大に苦労するでしょう。 エネルギー部門は、AI による電力需要が現在のインフラストラクチャを上回り、重要システムに対するサイバー攻撃が激化することで、新たなリスクに直面しています。 生成AI は攻撃者と防御者の双方の力を強化しますが、成功には、実際の問題の解決とデータ漏洩などのリスクの軽減に焦点を当てた、規律ある導入が必要です。 MFA やパスワードなどの従来の方法は摩擦や脆弱性の原因となっているため、ユーザー認証は、目に見えない行動ベースのシステムへと進化しています。 ハイブリッドワーク、個人所有デバイス、高度なソーシャルエンジニアリングにより、従業員が主要な脅威ベクターとして浮上している。ユーザー中心のセキュリティ戦略が不可欠です。 機密データへの可視性は今やコンプライアンス上の必須要件であり、競争優位性を維持するためには、規制当局がリアルタイムのデータ分類と統一されたポリシー適用を組織に要求すると予想されます。 2026年に向けて、サイバーセキュリティはかつてない速さで変化しています。人工知能の飛躍的進歩、複雑化する規制要件、重要インフラへの圧力増大が背景にあります。組織がこれらの変化に対応するため、バラクーダの幹部3名が来年の主要予測を共有します。セキュリティの未来を形作る運用上の課題、コンプライアンスリスク、戦略的優先事項に関する貴重な洞察を提供します。 AIの拡張方法の模索、複雑なグローバル規制への対応、エネルギー分野への新たな脅威への対処など、彼らの専門的見解は、予測不可能なデジタル世界においてサイバーレジリエンスを強化し、絶えず進化する脅威に先手を打つために組織が今すぐ取るべき重要なステップを浮き彫りにしています。 シロイ・ムシェギアン バラクーダ CIO 1. パイロット段階から数十の実装へプロジェクトが拡大するにつれ、企業はAI運用における壁に直面する 技術・セキュリティリーダーは、孤立したパイロットから全社的導入への拡大に苦戦し、AI運用上のボトルネックに直面します。金融・製造・医療など複雑なデータエコシステムに依存する業界は、データパイプラインの競合、アーキテクチャの不整合、セキュリティ対策のばらつきに特に脆弱となります。AIOpsフレームワークと強固なガバナンス構造がなければ、組織は可視性の喪失、技術スタックの制御不能、長期的な運用レジリエンスの危機に晒されます。 2. グローバル規制の分岐に伴い、AIコンプライアンス管理には継続的な注力が求められる 2026年、グローバル規制が分岐する中、AIコンプライアンスは継続的かつ重大な課題となります。EUの「AI法」やカリフォルニア州の「フロンティア人工知能透明性法」は、地域固有のルールが増加する傾向を示しています。CIOはLLMのバイアスからデータプライバシーまで、進化する基準のグローバルなパッチワークをナビゲートする必要があり、AIプロジェクトを評価するための柔軟なコンプライアンスフレームワークとリアルタイム監視ツールが求められます。強力なガバナンスに投資する企業は、高額な改修を回避し、規制市場で競争優位性を獲得できます。 3. AI予算は実験ではなく測定可能なビジネス成果に依存する AI予算は測定可能なビジネス成果に直接連動し、実験段階の終焉を告げます。経営陣は生産性向上・顧客維持・収益成長といった指標を基に、明確なROIの証明をCIOに求める傾向が強まります。具体的な成果を優先するリーダーは取締役会レベルの支援を確保できる一方、AI支出を戦略目標に結び付けられない場合は予算削減やプロジェクト中止のリスクに直面します。 アダム・カーンバラクーダ グローバルセキュリティオペレーション担当 バイスプレジデント 4. エネルギー分野への影響 AIの急速な普及は、現行の電力網が対応できない前例のないエネルギー需要を生み出しています。この負荷は、電力網やパイプラインなどの重要インフラを狙った高度なサイバー攻撃の脅威増大と相まって、新たな複合リスクを生み出しています。サービス中断が常態化する可能性があり、多くの組織が業務継続性の再考を迫られるでしょう。 5. 生成AIによる攻撃者と防御者の緊張関係の均衡化 2026年には、生成AIで成功する組織とは、規律を持ってこれを採用する組織であることが明らかになるでしょう。この技術が持つ能力を指数関数的に拡大する力は、攻撃者と防御者の双方にとって加速し続けます。先行するリーダーたちは「ツール優先」から成果主導の思考へ転換し、導入前に生成AIが真に解決する課題は何かを問うでしょう。 彼らはデータ漏洩などのリスクを軽減する強固なガバナンス体制を構築し、イノベーションを制限するのではなく安全に推進します。このバランスを欠く組織は不必要な脆弱性に晒されることになります。 ペトソン・グティエレス バラクーダ 情報セキュリティ担当 バイスプレジデント 6. 危機に瀕するアイデンティティ:見えない認証の台頭 多要素認証(MFA)、認証情報の定期的な更新、アプリ固有のログインにユーザーが疲弊する中、アイデンティティ管理は限界点に到達しつつあります。AIエージェントにより新たな複雑さが加わります。これらのツールはユーザーの認証情報を必要とし、セキュリティは後回しにされがちです。この摩擦は生産性を損ない、攻撃に悪用される新たな脆弱性を生み出しています。認証の未来は、パスワードやトークンの必要性を減らしつつ、行動・文脈・デバイスの信頼性に基づいて継続的にユーザーを検証する、よりスマートで目に見えないシステムにあります。業界は「誰であるか」を証明することから「今もあなたであること」を証明することへ移行する必要があります。 7. 新たな脅威ベクトルとしての従業員 ハイブリッドワークが個人と企業のセキュリティ境界を曖昧にし続ける中、従業員は主要な脅威ベクトルとなります。個人所有デバイス、保護されていない家庭内ネットワーク、シャドーAIが避けられない内部者リスクを生み出す一方、攻撃者はクッシングやAI生成フィッシングといった高度なソーシャルエンジニアリング技術で従来型防御を迂回します。攻撃対象領域は拡大しており、CISOは境界防御のみに依存できなくなります。適応型制御、デバイス信頼スコアリング、ハイブリッドワーク環境に特化した継続的セキュリティ研修など、ユーザー中心のセキュリティ戦略を採用するCISOこそが、内部脅威を軽減する最善の態勢を整えられます。 8. コンプライアンスバブルの崩壊 ― 可視性が新たな戦場となる ハイブリッド環境とマルチクラウド環境が未曾有のデータ拡散を生み出す中、多くの企業は依然として「機密データの所在」や「アクセス権限者」といった基本事項すら把握できていません。この可視性の欠如は、もはや運用上の問題ではなく、コンプライアンス上の責任問題になりつつあります。規制当局は、2026 年の準備プログラムの一環として、リアルタイムのデータ分類と発見を義務化し、組織に対してデータの可観測性と統一的なポリシー実施への投資を推進すると予想されます。リアルタイムで制御の有効性を証明できる企業が、競争上の優位性を獲得するでしょう。

海外ブログ

セキュリティ予測 2026:警戒すべきフィッシング手口 のページ写真 7

セキュリティ予測 2026:警戒すべきフィッシング手口

2025年11月24日、脅威分析チーム AI駆動型脅威の予測と今後の戦術進化 要点 フィッシングキットは急速に進化し、数百万件の攻撃を実行可能。高度化と回避能力が継続的に向上中。 2026年には、次世代フィッシングキットが高度なツールを用いて標的の詳細なソーシャルプロファイルを構築し、多要素認証を回避し、AIを活用したより標的を絞ったパーソナライズされた攻撃を仕掛けることが予測されます。 PhaaSビジネスモデルは、基本キットから高度なAI駆動型キャンペーンまでを網羅する階層化されたサブスクリプション形態へ移行する見込み。 2026年末までに、認証情報侵害攻撃の90%以上がフィッシングキットによって実行され、全フィッシングインシデントの60%以上を占めると予測されます。 2025年、フィッシング攻撃の動向は、AI、進化を続けるフィッシング・アズ・ア・サービス(PhaaS)キット、そして高度化する配信・回避技術の複合的な力によって推進されました。本記事では、バラクーダの脅威アナリストが、この持続的かつ進化を続ける脅威が今後1年間にどのような展開を見せるかを展望します。 2025年のフィッシング進化 1年前、当チームは予測した:PhaaSキットによる認証情報窃取攻撃は2024年の約30%から、2025年末までに全攻撃の半数を占めると。実際の割合は半数をやや上回りました。 さらに重要なのは、フィッシングキットの数が2025年に倍増したことです。各キットは数百万件の攻撃を実行できるほど強力です。これらのキットは絶えず進化し、時とともに高度化・回避能力を高めています。チームは年間を通じて最も普及したフィッシングキットの一部について定期的に報告しました。 こうした動向などを踏まえ、脅威分析チームは今後12ヶ月間の状況変化に関する一連の予測を策定。セキュリティチームが今後の脅威を理解し準備するための指針を提供しました。 2026年に予期されるもの フィッシングキット2.0 既存および新興のフィッシングキットは、標的に対する詳細なソーシャルプロファイル構築ツールを活用する。多要素認証(MFA)などのセキュリティ対策を回避するため、アクセストークンの窃取や正規ウェブサイト経由の認証中継といった自動化戦術を展開し、防御を突破する。キット開発におけるAI活用を強化し、攻撃のパーソナライズ化と効果向上を図ります。 次世代PhaaSキットのビジネスモデルは、基本フィッシングキットから高度に標的化されたAIパーソナライズ型キャンペーンまで、階層化されたサブスクリプション形態を特徴とする。 2026年末までに、認証情報侵害攻撃の90%以上がフィッシングキットの使用に起因し、全フィッシング攻撃の60%以上を占めると予測される。 動的回避技術とカスタマイズされたペイロード 攻撃者は静的な戦術から、デバイス・ユーザー活動・タイミングに基づきカスタマイズされたペイロードを用いた動的かつ状況認識型のアプローチへ移行し、自動検知を回避する。 増加が見込まれる高度な回避・検知回避技術には以下が含まれる: 無害な画像・音声ファイルへの悪意あるコードの隠蔽(ステガノグラフィー) 「クリックフィックス」ソーシャルエンジニアリング技法:ユーザーを騙して、クリップボードに密かにコピーされた悪意のあるコマンドを手動で実行させる手法。 攻撃における分割・ネスト型QRコードの増加と、動的・多段階QRコードの登場。 OAuth(Open Authorization)の広範な悪用:パスワードを共有せずにアプリやサービスにサインインするための広く利用されているシステム。 一時的なBlob URIを含む高度なURL回避技術。Blob URIはデータをメモリ内にローカル保存するウェブアドレスの一種であり、外部サーバーから読み込まれず被害者のブラウザ内でフィッシングページをホストできるため、従来の対策では検知が困難な点から攻撃者に好まれる。 動的コードインジェクションと完全偽装された悪意のあるスクリプト。 AIベースの自動適応型キャンペーン 攻撃者は生成AIを活用し、大規模な個別メッセージ作成とキャンペーンの迅速な自動適応を実現。 こうしたAI駆動型攻撃は高速で展開され、高度な暗号化、深層化された難読化、適応型ペイロードを特徴とします。 攻撃者はプロンプトインジェクション技術やAIエージェントへの標的型攻撃により、AIそのものを悪用する動きも活発化すると予想されます。目的はAI搭載セキュリティツールの操作や侵害です。 MFA(多要素認証)コード窃取と欺瞞 フィッシングによるMFAコード窃取が増加し、プッシュ承認疲れや中継攻撃などの戦術が用いられます。 ソーシャルエンジニアリングは、パスワードリセットコードやその他のアカウント回復オプションなど、MFA回復フローを標的とします。 攻撃者はまた、ソーシャルエンジニアリングをMFAダウングレード攻撃に利用し、ユーザーに代替認証方法(回避が容易なもの)を選択させるよう強制または騙すことで、強力なフィッシング耐性認証を迂回しようとします。 CAPTCHA悪用攻撃の増加 高度なフィッシングキャンペーンでは、被害者に安全感を抱かせ攻撃者の真意を隠蔽するため、CAPTCHAを悪用する事例が増加中。2026年末までに、フィッシング攻撃の85%以上が自動セキュリティツール回避と人間による操作確認を目的としてCAPTCHAを利用すると予測されます。 攻撃者はまた、正当で信頼性の高いCAPTCHAから偽の代替手段へ移行しつつあり、2026年にはこの傾向が増加すると予測されます。 ポリモーフィック戦術の増加 ポリモーフィック攻撃とは、コンテンツ、ペイロード、配信パターン、技術的指紋を絶えず変化させ、各インスタンスを異なるように見せかける攻撃です。これにより自動検知やシグネチャベースの防御は無効化されます。 特にフィッシングキットで増加が見込まれる手法には、メール本文や件名へのランダムな英数字列の使用、送信者アドレスの難読化、タイムスタンプや受信者名を件名に含む長いヘッダーの採用、メールごとに微妙に異なるリンクの使用、添付ファイル名の変更などが含まれます。 正規プラットフォームのさらなる悪用 2025年にはフィッシング攻撃の約10%が正規プラットフォームを悪用しており、2024年と同水準である。2026年もこの割合は横ばいで推移すると予測されます。 攻撃者はAI搭載のゼロコードプラットフォームを悪用し、フィッシングサイトの迅速な構築・ホスティングを増加させる。これらのツールは技術的障壁を排除し、脅威アクターが最小限の労力で大規模な高度なキャンペーンを展開することを可能にします。 URL保護サービスとURLマスキングの標的化 URL保護サービスの悪用や、オープンリダイレクト・マーケティング/トラッキングリンク・正規URLの悪用といったURLマスキング戦術の活用が増加しており、2025年にはフィッシング攻撃の約25%で確認されました。この上昇傾向は継続すると予測されます。 より高度なマルウェアベースの脅威 マルウェア攻撃は、デバイスのメモリに潜伏するファイルレスマルウェアや、従来のシグネチャベース防御を回避可能なポリモーフィックペイロードの増加に伴い、より洗練化が進むと予想されます。 マルウェア・アズ・ア・サービス(MaaS)は進化し、拡大を続けるでしょう。 上記の新規の・進化する手法に加え、人事・給与関連詐欺、配送・物流詐欺、偽の多要素認証通知、税務・政府サービス詐欺、ファイル共有詐欺といった従来型の手法も継続すると予測されます。 進化する手法への防御策 フィッシング脅威は2025年に著しく高度化し、拡散・複雑化・回避能力を強化しました。この傾向は2026年以降も継続します。堅牢でサイバーレジリエントなセキュリティ戦略において、メールセキュリティは不可欠な要素です。 フィッシングやソーシャルエンジニアリング攻撃の影響を免れる組織はほとんどありません。最新の市場調査によれば、78%の組織が過去12ヶ月間にメールセキュリティ侵害を経験しています。被害者が脅威を検知・封じ込めるまでに要した時間が長いほど、被害は深刻化します。 高度なフィッシングを阻止するには、従来の手法ではもはや不十分です。組織には、BarracudaONEのようなAI搭載の統合セキュリティプラットフォームと、24時間365日の監視体制、そして強固なセキュリティ文化が必要です。 資料 『ランサムウェアインサイトレポート2025』をダウンロードする

海外ブログ

セキュリティ予測 2026:自律型AIの世界における現実と制御をめぐる戦い のページ写真 8

セキュリティ予測 2026:自律型AIの世界における現実と制御をめぐる戦い

2025年11月17日、Tilly Travers 自律型AIが2026年のサイバー脅威と防御をどう変革するか 要点 自律型AIが脅威環境の進化に与える影響 組織が自律型AI脅威に対抗する方法 自律型AI実装を保護する戦略 自律型AIがセキュリティ強化に果たす役割 適応性・自動化・自律性を備えた自律型AIの力と可能性は、2025年のセキュリティ議論を席巻しました。バラクーダは世界各国のサイバー脅威・セキュリティ分野を率いる4名の社員に、2026年の自律型AIへの展望とサイバーセキュリティへの影響を尋ねた。 彼らが予測する未来像は以下の通り: エージェント型AIオペレーターがサイバー攻撃をエンドツーエンドで実行。必要な情報を収集し、説得力のある罠を仕掛け、攻撃経路を試行。標的の防御システムの反応を観察し、目的達成まで静かに戦術とタイミングを調整する。防御側は、これまでに見たことのない新たな攻撃手法や戦術に直面し、事後説明が困難なケースも想定すべき。(Yaz Bekkar) エージェント型AIは膨大なデータを分析し、リアルタイムで脆弱性を特定。攻撃者は弱点をより効果的に悪用する手法を自動化できるようになる。(Jesus Cordero-Guzman) AIは音声・メッセージ双方で人間と対話し、相手が実在の人物ではないと気づくことがほぼ不可能なレベルに達する。(Eric Russo) 複数のAIエージェントが人間の監督を最小限または全く受けずに連携し、特定の目標達成に向けた行動を実行する。これにより、攻撃者が制御する情報を利用して協調行動を操作し、エージェント間の相互作用を乗っ取ったり汚染したりする可能性が生じる。人間の関与が欠如しているため、検知と緩和が遅れる恐れがある。(Rohit Aradhya) サイバーセキュリティのリーダーシップは、人間だけでなくAIエージェントの指揮も担うことになる。次世代の管理者は、生産性と意思決定を向上させるために、AIエージェントをチームに組み込み管理する方法を学ぶ必要がある。(Jesus Cordero-Guzman) エージェント型AIは、2026年以降の脅威環境の進化にどのような意味を持つのか? Yaz Bekkar、XDR主任コンサルティングアーキテクト、EMEA担当:来年までに、攻撃は単にAIを利用するだけでなく、AI自体が独立したオペレーターのように振る舞い、攻撃目標達成のためにリアルタイムで選択を行うようになる可能性があります。既にAIが偵察、フィッシング、基本的な防御回避といったキルチェーンの一部を自動化している事例が見られます。2026年の転換点は、ステップを計画し、防御からリアルタイムで学習し、人間の指示なしに経路を変更するシステムへの移行だと考えます。 AIオペレーターはエンドツーエンドで指揮を執り、必要な情報を収集し、説得力のある餌を仕掛け、経路を試行し、防御システムの反応を観察した後、目的達成まで静かに戦術とタイミングを調整します。これらの高度なハッキングツールは、各ステップを連携させ、障害から学習し、通常の活動に溶け込む協調的な頭脳のように感じられるでしょう。 防御側は、これまでに見たこともない新たな攻撃手法や戦術を想定すべきです。事後説明が困難なケースも発生するはずです。攻撃対象領域は拡大を続け、既知・未知の脆弱性が同時に生み出され、ゼロデイ攻撃が増加します。 Eric Russo、SOC防御セキュリティ部門ディレクター:AIは急速に進化し、音声とメッセージの両方で人間と会話できるレベルに達しました。その精度は、相手が人間ではないと気づくことがほぼ不可能なほどです。例えばAndroidユーザーは、GoogleのAI機能を活用して不明な番号からの電話に応答し、質問を投げかけ、会話を交わし、その通話の正当性を判断できるようになりました。この技術は非常に印象的ですが、脅威アクターが同じ技術を利用すると想像してみましょう。 エージェント型AIは従来の攻撃手法を変革する可能性があります。例えばソーシャルエンジニアリング攻撃で財務チームメンバーを標的にし、企業の銀行口座番号を入手するケースが考えられます。あるいは、ディープフェイクによるなりすましでヘルプデスク管理者を欺きMFAをリセットさせ、脅威アクターにITシステムへのアクセス権を与え、より精巧な攻撃を展開させるといった複雑な目的も想定されます。 Jesus Cordero-Guzman、EMEA地域 アプリケーション・ネットワークセキュリティ・XDRソリューションアーキテクト部門ディレクター:自律型AIは既に現実のものとなっており、脅威としても急速に進化する。膨大なデータを分析してリアルタイムで脆弱性を特定できるため、攻撃者は弱点をより効果的に悪用する手法を自動化できます。サイバー犯罪を促進するために一から設計された専用自律型AIプラットフォーム「Xanthorox」が登場したのは2025年初頭です。他にもHexStrikeやさらに高度なVenice.AIが存在します。エージェント型AIは自動化されたフィッシング攻撃、防御システムのリアルタイム監視、さらには不正アクセスを得るためのCAPTCHA解読能力すら武器化される可能性があります。 Rohit Aradhya、アプリセキュリティエンジニアリング担当副社長兼マネージングディレクター:エージェント型AIの進化は、適応型ポリモーフィックマルウェアの増加を招くでしょう。これは被害者の環境やセキュリティツールを分析し、自らのコードや動作を自律的に書き換えたり変更したりして、シグネチャベースや行動ベースの防御をリアルタイムで回避するマルウェアです。 特定の目標達成に向け、最小限または全く人間の監視なしに複数のエージェントが連携して行動する事例が増加します。これにより、攻撃者が制御する情報を利用して協調行動を操作し、エージェント間の相互作用を乗っ取る(ハイジャック)または汚染する(ポイズニング)可能性が生じます。人間の介入が欠如することで、検知と緩和が遅延する恐れがあります。 公開アプリケーションプログラミングインターフェース(API)、APIゲートウェイ、エージェント型サービスAPI、チャットボットベースのユーザーインターフェースの悪用も大幅に増加します。エージェント型ツールがサービス提供・消費のためにエージェント間およびユーザーとのAPIインターフェースを動的に生成・破棄するため、APIライフサイクル管理において動的API処理への対応が極めて重要となります。 組織はエージェント型AIベースの脅威からどのように防御し、自社のエージェント型AIシステムを保護すべきか? Yaz Bekkar 大半の企業はエージェント型AIの到来を予見できないでしょう。これはシュレディンガーの猫に似ている:IT環境は「安全」と「侵害された」状態を同時に感じさせ、防御側に明確な手がかりを与えないでしょう。 唯一の現実的な防御策は、環境に合わせて調整されたAIによる行動(振る舞い)駆動型検知である。デフォルト設定のまま放置し「うまくいくことを願う」ツール購入では不十分だ。適切なソリューションを選択し、適切に実装し、継続的に改善せよ。真のレジリエンスは「強力な技術」と「それを日々運用する高水準の専門性」の融合から生まれます。 組織はサイロ化された単体ツールから脱却し、真のエンドツーエンド可視性を備えたプラットフォームへ移行する必要があります。これにはID管理、エンドポイント、SaaS、クラウド、メール、ネットワークトラフィックが含まれます。さらに、組織固有の「正常な状態」を学習し、シグネチャ待ちなしで異常やゼロデイ攻撃パターンを検知できる行動ベースのAI分析技術も不可欠です。人的判断のループを常に維持する必要があります。 Jesus Cordero-Guzman  従来の防御メカニズムは、AI駆動型脅威の速度と適応性に追いつけない可能性があります。組織は脅威の検知と対応にAIを組み込んだ先進的なセキュリティソリューションに投資し、進化する脅威に効果的に対処できる体制を整える必要があります。 組織は自律型AI実装を保護するために何をすべきか? Jesus Cordero-Guzman サイバーセキュリティリーダーシップとは、人間だけでなくAIエージェントを率いることでもあります。次世代の管理者は、AIエージェントをチームの一員として組み込み、生産性と意思決定を向上させるために管理する方法を学ぶ必要があります。 組織のビジネスモデルに必要な「特性」をAIエージェントに付与するには、技術的熟練度、自然言語処理、データ分析に関するさらなる知見が求められます。これは単なる運用上の課題ではなく倫理的課題でもあります。統合されたAIエージェントが責任を持って使用され、これらのシステムによる意思決定が組織の価値観や社会的規範に沿うことを保証する必要があります。AIが進化を続ける中、サイバーセキュリティのこの動的な環境を導くリーダーシップの役割もまた進化し続けるでしょう。 Rohit Aradhya 組織がエージェント型AIの導入を開始するにつれ、AIに特化した一連のセキュリティ対策が必要となります。これにはAIエージェント向けの堅牢なID・アクセス管理(IAM)が含まれます。各エージェントは関連ユーザー、グループ、リソースアクセス権限を持つ独立したエンティティとして扱われるべきです。組織はゼロトラストフレームワークをAIエージェントとツールに拡張し、過去の行動にかかわらずエージェントが試みるあらゆる要求と行動を検証・妥当性確認する必要があります。システムの運用行動の監視に注力し、逸脱を迅速に検知する必要があります。エージェント間通信は、追跡可能性と説明可能性を確保し、通信を妨害する攻撃から保護するため、適切に認証・暗号化・記録され、セキュリティ対策が施されなければなりません。最後に、NIST AIリスク管理フレームワークなどの基準を理解し遵守することも重要です。 リスクを超えて、エージェント型AIはセキュリティ強化にどう貢献するのか? Eric Russo:エージェント型AIはSOCチームにとって強力なツールとなります。SOCチームが担う反応的業務の負担を軽減し、脅威研究や検知エンジニアリングなど、より積極的なセキュリティ施策へのリソース配分を可能にする機会を提供します。例えば、セキュリティシステムの管理業務に関連する多くのタスクはエージェント型AIで処理できます。従来、SOCアナリストやエンジニアが手動でそのタスクを完了するのに必要だった時間を、代わりにその個人が新たな脅威に集中できるようにします。 セキュリティ防御におけるAIのもう一つのユースケースは、脅威検出における機械学習の拡張です。従来の検知メカニズムは本質的に静的である。しかし、ユーザー行動やネットワークトラフィックなどのベースラインを確立し、異常スコアリングの基準を定義してシステムがセキュリティアラートを発するタイミングを判断する機械学習アルゴリズムを構築することは、高度な脅威アクターを検知する非常に効果的なアプローチである。この手法は信頼性の高いアラート生成という利点もあり、アラート疲労や誤検知を低減します。 e-book: The role of AI in cybersecurity(サイバーセキュリティにおけるAIの役割ガイド)

海外ブログ

生成AIのダークサイドに対峙する:経営幹部、CISO、セキュリティチームへの提言 のページ写真 9

生成AIのダークサイドに対峙する:経営幹部、CISO、セキュリティチームへの提言

2025年9月25日、Adam Khan 悪意のある生成AIツール(Evil-GPT、WolfGPT、DarkBard、PoisonGPTなど)の出現により脅威環境が変化する中、組織はAIを活用した脅威に対処するため多角的なアプローチを採用する必要があります。セキュリティリーダーが検討すべき戦略的提言は以下の通りです: 1. 脅威インテリジェンスと監視 最新の悪意あるAIツールや戦術に関する情報を常に把握することが極めて重要です。KelaやFlashpointが提供するような、AIに関するダークウェブ上の情報を追跡する脅威インテリジェンスフィードやサービスに購読登録するべきです。2024年にこれらのツールに関する議論が219%増加したことを踏まえ、このアンダーグラウンド動向の可視化は不可欠です。セキュリティチームは脅威インテリジェンスプラットフォームで、これらのツールに関連するキーワード(例:「GPT」の変種、「脱獄プロンプト」)を監視すべきです。さらに、組織名や業界名に関するダークウェブ監視を実施しましょう。犯罪者が自社や業界を標的にAIをカスタマイズしている場合、早期に把握する必要があります。 2. メールおよびコンテンツセキュリティの強化 悪意あるAIの主要な用途がフィッシングであるため、メールセキュリティ基盤の強化が不可欠です。AIと機械学習を活用した高度なフィルタリングシステムへアップグレードし、従来のルールベースシステムでは検知できないAI生成メッセージに対応しましょう。現在、言語パターン分析によりAI生成テキストを特定すると謳うソリューションも登場しています。完全ではありませんが、重要な防御レイヤを追加します。安全なメールゲートウェイに対し、送信者の過去の基準と一致しない不自然に巧妙な内容や文脈を持つメールをフラグ付けするよう推奨(またはスクリプト化)してください。既知のAI生成フィッシングメールで既存のスパムフィルターを訓練することも検知精度向上に有効です。最後に、AI支援型フィッシング対策ツールの導入を検討しましょう。AIフィッシングは新規URLや微妙ななりすましを伴うことが多く、自動ツールは多忙な従業員よりも迅速に検知できます。 3. 強固な従業員トレーニング — 形式より内容を重視 AI詐欺の新たな現実を反映したセキュリティ意識向上トレーニングを更新してください。従業員には文法的に完璧で、文脈的に関連性のあるフィッシングメールの例を示し、時代遅れの判断基準に依存しないよう指導するようにします。二次的な手段で、要求の正当性を確認する大切さを強調してください。例えば「役員」から資金移動の緊急依頼メールが届いた場合、電話で確認するよう指導するようにします。AIが検出できない不自然な表現や矛盾点(奇妙な日付形式や無関係な詳細など)といった自動化の微妙な兆候に警戒するよう教えます。役員向けリスク研修ではディープフェイク音声や動画を用いたシナリオを組み込み、潜在的な脅威への備えを促します。例えば、ディープフェイクの「CEO」が指示を伝えたボイスメールを残す訓練を実施し、手順が遵守されるかテストする。目的は、プロフェッショナルに聞こえるという理由だけで通信を信頼する組織の傾向を予防することである。 4. モデルとAPIのセキュリティ 組織がAIを業務に統合する際、モデルの悪用やポイズニングを防ぐ統制策の実施が不可欠です。AIモデル(チャットボット、アシスタントなど)を使用している場合は、プロンプトインジェクションやデータ漏洩の試みを示す不審な構造のリクエストなど、悪用を検知するための厳格なアクセス制御と監視を確立してください。使用するサードパーティ製AIモデルやデータセットのソースと完全性を検証するようにします。例えば、モデルにはチェックサムや署名を使用し、公式リポジトリからのモデルを優先します。モデルが改ざんされていないことを確認するため、モデルプロバンス(AICertイニシアチブやその他のAIサプライチェーンセキュリティフレームワークなど)のための新興ツールの採用を検討します。内部的には、異常な活動を捕捉するためにAI APIに対してレート制限と異常検知を実装する。アカウントが突然、データを生成する数千のクエリを実行し始めた場合(攻撃者がAIを悪用している可能性を示す)、これを検知する必要があります。本質的に、AIサービスを重要なデータベースやサーバーと同等のセキュリティ意識で扱うべきです。攻撃者はそれらを悪用または汚染する目的で標的にする可能性があるためです。 5. マルウェアとボットに対する技術的対策 AI生成のマルウェアに対処するため、エンドポイントとネットワーク防御を強化してください。エンドポイント検知・対応(EDR)ソリューションを活用し、ユーザーデータへの不審なアクセスを試みるプロセス(例:ユーザーデータへのアクセスとzip化)を検知しましょう。EDRはコード署名が新規でも行動パターンを捕捉可能です。新たなAI生成マルウェア株が発見された際は、脅威インテリジェンスを活用し侵害指標(IoC)を迅速に更新してください。ネットワーク側では、異常検知技術を用いてAI生成攻撃を示すパターンを特定します。多くのAI生成攻撃は、依然として機械的なパターンを大規模に示す可能性があります。例えば、それぞれがわずかに異なるフィッシングメールの急増や、マルウェアがデータを流出させる際の異常なアウトバウンド接続パターンなどです。また、ネットワークのベースライン動作を学習し、逸脱を警告するAI搭載セキュリティツールの導入も検討してください。もちろん、パッチ適用と基本的なサイバーハイジーンの管理も継続します。AI支援型攻撃者は、依然としてパッチ未適用のシステムや脆弱な認証情報を「ローハンギングフルーツ(低い所に生る果実のように、手っ取り早く得られる成果の例(格好の餌食))」として狙い続けるでしょう。 6. インシデント対応の準備態勢 AI要素を考慮したインシデント対応計画を更新してください。ディープフェイクや偽情報インシデントへの対応手順書を作成し、CEOのフェイク動画などフェイクコンテンツの真偽を評価する担当者と、ステークホルダーへの迅速な情報伝達方法をチームが確実に理解できるようにします。フィッシングインシデントでは、AIフィッシングメールで1人の従業員が侵害された場合、AIがコンテンツを変異させるため、次のフィッシング攻撃は異なる形態となる可能性に備えます。インシデントレスポンスチームが、AIテキスト検出ツールやAI専門家との連携など、不審なコンテンツを分析するリソースにアクセスできることを確保します。情報共有が鍵となります。悪意のあるAIツールを伴う攻撃を受けた場合、匿名化されたインテリジェンスを業界のISACやCERTと共有し、集団防御を強化することを検討します。新たな戦術(例:「このフィッシングキャンペーンは特定の文体マーカーを持つWormGPTによって作成されたようだ」)についてコミュニティが早く知れば知るほど、集団防御の調整も早くすることができます。 7. ポリシーとベンダー管理 ガバナンスの観点から、組織内でのAI利用に関する明確なポリシーを策定してください。従業員が承認されていないAIツールを使用する「シャドーAI」に関連するリスクに対処します。シャドーAIは、最近のデータ漏洩事例や、正規のAIアプリを装った悪意のあるツールの存在が示すように、リスクをもたらす可能性があります。承認されたAIツールを明確に伝達し、特に機密データに関する非承認AIの使用を禁止してください。ベンダーや第三者に対し、AIセキュリティプラクティス(慣行)の遵守を要求し、AIツールが誤った利用から保護されることを確保してください。例えば、顧客サポートでベンダーのAIチャットボットを利用する場合、悪用防止策やモデルの改ざん検証プロセスを問いただす必要があります。虚偽情報脅威もBCP(事業継続計画)や危機管理計画に組み込むべきです。広報部門の関与が必要となる場合もありますが、技術的帰属判定や削除対応(プラットフォームとの連携によるディープフェイクコンテンツ削除など)においてはセキュリティチームの知見が不可欠です。 8. 防御的AIの活用 最後に、防御目的でのAI活用を検討しましょう。攻撃者がAIを利用するのと同様に、防御側もAIや機械学習を活用して脅威ハンティング、ユーザー行動分析、自動対応を強化できます。多くのセキュリティオペレーションセンターはアラートに圧倒されていますが、AIはAI生成攻撃の進行を示すシグナルを相関分析し、迅速な特定とレスポンス(対応)を可能にします。例えば、微妙な類似点を持つ複数の信頼度の低いフィッシング警告をAIが統合することで、広範なキャンペーンを明らかにすることができるでしょう。AIはデジタルリスク保護にも貢献します。自社を装ったフェイクサイトやフェイクニュースなど、ウェブ上の不正コンテンツをスキャンするのです。高度なシステムでは自然言語処理(NLP)を活用し、ソーシャルメディアやダークウェブを監視。標的型フェイク情報キャンペーンやフィッシングの手口が早期に現れる兆候を検知します。こうしたツールを活用することで、組織はAIを単なる脅威ではなく、セキュリティ態勢の強みへと転換できるのです。 結論 悪意ある生成AIツールの台頭はサイバーセキュリティの新たな局面を示し、脅威アクターがこれまで以上に頻繁で洗練された欺瞞的な攻撃を仕掛ける力を与えています。CISOやセキュリティチームにとって、迅速な適応が不可欠です。これらのツールを理解し、防御を強化し、防御型AIによって補完された警戒の文化を育むことで、組織はリスクを軽減できます。脅威の様相は変化し続けていますが、情報に基づいた戦略と準備があれば、防御も進化させられます。このAIを燃料とする軍拡競争において、知識と機敏さが最大の資産となるでしょう。常に情報を収集し、準備を整え、この新たな時代が求める健全な懐疑心をもって、あらゆる不審なメールや奇妙なモデル出力等に取り組んでください。 e-book: A guide to the role of AI in cybersecurity(英語) 『ランサムウェアインサイトレポート2025』を確認(日本語)

海外ブログ

システムショック:Storm-0501ランサムウェアがクラウドへ移行 のページ写真 10

システムショック:Storm-0501ランサムウェアがクラウドへ移行

2025年9月17日、Doug Bonderud 全体的にランサムウェアの発生率は低下しています。2025年には、60%強の企業がランサムウェア攻撃を報告しており、実のところ2020年以来の最低の数値となっています。 良くないニュースとしては、攻撃者が戦術を変えていることです。最近のマイクロソフトセキュリティ分析が指摘するように、脅威アクター「Storm-0501」はランサムウェアをオンプレミス環境から移行させ、ハイブリッド環境とクラウド環境の両方を危険に晒しています。以下に詳細を解説します。 How:Storm-0501攻撃の基本(手法) 従来のランサムウェア展開はオンプレミスで行われます。攻撃者はローカルネットワークを侵害し、悪意のあるペイロードを展開します。実行されると、これらのペイロードは重要なファイルを暗号化し、ハッカーは復号鍵と引き換えに身代金を要求します。 最近まで、Storm-0501もこのペイロードの手法に従っていましたが、2024年、この脅威アクターはクラウド環境を侵害可能な新たなマルウェア株を展開しました。攻撃はちょっとした足掛かりから始まります。サイバー攻撃者はActive Directory環境を侵害し、次にMicrosoft Entra IDへ移動します。その後、権限を昇格させて管理者レベルの制御権を獲得します。 これにより、無制限のネットワークアクセスを可能にするフェデレーテッドドメインを追加でき、オンプレミス型ランサムウェアの展開も可能になります。結果として二重の攻撃が成立します。従来のランサムウェアを使用すれば、脅威アクターはオンサイトデータを暗号化し、解放のための支払いを要求できます。一方、完全なクラウドアクセスを活用すれば、保存された資産を流出させ、バックアップを削除し、データを人質に取って身代金を要求できます。 What:侵害の一般的な条件(内容) Storm-0501の成功の鍵は、オンプレミスとクラウドベースの展開の間の隙間を悪用する二重の侵害手法にあります。 端的に言えば、ハイブリッド環境は純粋なローカル環境に比べて複雑です。企業がクラウドとローカルリソースの両方を最大限活用するには、異なるリソース、サービス、アプリケーションを接続するデジタルブリッジが必要となります。このデジタルグレーゾーンこそが潜在的な問題を生み出します。 MicrosoftによるStorm-0501攻撃の分析を考察しましょう。標的となった企業は複数の子会社を運営しており、各子会社は独立しながらも相互接続されたAzureクラウドテナントを保有していました。各テナントのセキュリティ態勢は異なり、Microsoft Defender for Endpointを導入していたのは1つだけでした。さらにMicrosoftの研究では、複数のActive Directoryドメインが複数のテナントに同期されており、ITチームがこれらのクラウドインスタンスを管理・監視するのを困難にしていたことが判明しました。 攻撃はオンプレミスシステムの複数台への侵入から始まりました。脅威アクターは「sc query sense」や「sc query windefend」などのコマンドでDefender for Endpointの稼働状況を確認。稼働中と判断すると、Evil-WinRMと呼ばれるWindowsリモート管理(WinRM)経由のPowerShellツールを用いて横方向への移動(ラテラルムーブメント)を実行しました。防御が有効でないシステムを特定すると、DCSync攻撃を展開してドメインコントローラーを偽装し、全アクティブユーザーのパスワードハッシュを要求しました。これによりクラウドテナントと保存データのほぼ完全なアクセス権を獲得し、データ窃取と暗号化を可能にしました。 このプロセス完了後、攻撃者は侵害された企業アカウントのTeamsアカウントを利用し、経営陣に連絡して身代金を要求しました。 Where:対策強化が必要な領域 マイクロソフト脅威インテリジェンス部門ディレクター、シェロッド・デグリッポ氏によれば、Storm-0501は重大なリスク要因です。「この脅威アクターは適応力が極めて高く、業種を選ばない標的選定を行う」と同氏は指摘しています。「Storm-0501は戦術を迅速に変更し、幅広い業種を標的とする能力を示しており、クラウドサービスを利用するあらゆる組織が標的となり得ます」 企業にとって、クラウド侵害への移行は、以下の3つの主要領域における強化された保護の必要性を示しています。 検出 企業が潜在的な侵害を早期に検知できればできるほど、問題の排除と影響の修復に備える準備が整います。実際には、標準的なアンチウイルスフレームワークを超え、カスタマイズされた行動ルールや運用条件に基づいて脅威をブロックするエンドポイント検知・対応(EDR)などのソリューションが必要となります。 アクセス ランサムウェアの種類や標的を問わず、企業は常に最小権限の原則から恩恵を受けます。管理機能へのアクセス権を持つユーザーは少ないほど良いのです。 これは多要素認証(MFA)などのソリューションから始まります。ユーザーが「知っているもの」に加えて「持っているもの」または「その人自身」を提示すること、これを義務付けることで、企業は侵害リスクを低減できます。次に条件付きアクセスポリシーが重要です。単発的な認証ではなく、ユーザーがログインを試みるたびに複数の要素を評価します。例えば、通常のアクセス時間帯外や新規ロケーションからのログイン試行時には、追加の検証を要求することがあります。 これらの利点は理論上だけのものではありません。マイクロソフトの分析によれば、侵害されたハイブリッドテナントにおいて、攻撃者が特権ユーザーとして最初にサインインを試みた際、MFAと条件付きアクセスにより失敗に終わり、ドメインを変更して再試行する必要がありました。 ストレージ ランサムウェア攻撃の成功は、暗号化、データ窃取、または削除によるストレージの侵害に依存します。その結果、強化されたデータストレージプロセスは攻撃者の試みを阻害するのに役立ちます。一例が、クラウド保存データとデータバックアップ双方のイミュータブルストレージです。イミュータブルストレージの概念は単純です:変更不可能、です。企業は書き込み一回・読み取り多数(WORM)など希望するポリシーを設定でき、データが変更されないことを確信して安心できます。この種のストレージは特にバックアップに有用です。たとえ攻撃者が重要な資産を侵害・削除したとしても、脅威が封じ込められ排除されれば、企業は改ざんされていないデータを復元し再構築できます。 「嵐」を乗り切る オンプレミスセキュリティが強化されるにつれ、攻撃者は新たな侵入経路としてハイブリッドクラウドを狙っています。多くの企業にとって、クラウド環境のマルチドメイン・マルチテナント特性は、特に子会社ネットワーク間でセキュリティ対策が統一されていない場合、こうした攻撃に対して脆弱性を生み出します。 「嵐」を乗り切るには、検出を優先し、アクセスを制限し、完全なデータ復元経路を提供する三本柱の保護アプローチが不可欠です。 ランサムウェアインサイトレポート2025

海外ブログ