1989年に最初に知られるランサムウェアがフロッピーディスクで配布されて以来、攻撃者は大きく進化してきました。2015年頃には脅威はより現実味を帯びていましたが、多くの人は依然として限定的なリスクと捉えていました。痛手ではあるものの、対処可能だと考えられていたのです。

しかし、もはや状況は異なります。現在のランサムウェアは、事業継続性そのものに対する、組織的かつ産業化された脅威へと変貌しています。攻撃者はもはやファイルをロックするだけではありません。データを窃取し、業務を停止させ、経営層に圧力をかけ、あらゆる角度から攻撃を仕掛けます。1回の侵害で数百万ドル規模の損失が発生し、サプライチェーンが機能不全に陥ることもあります。医療分野のような業界では、侵害が地域社会の生命線である重要サービスの停止につながる可能性もあります。

ここに至るまでの経緯と、組織を守るために今できることを見ていきましょう。

過去と現在：ランサムウェアの進化

2010年代半ば、多くのランサムウェア攻撃は共通のパターンに従っていました。ユーザーがフィッシングメールをクリックし、ファイルが暗号化され、身代金要求が表示され、ITチームが被害抑止に奔走するという流れです。攻撃は混乱をもたらしましたが、比較的無差別的でした。多くの組織は身代金を支払わずに復旧し、要求額も数万ドル規模にとどまっていました。

その時代は終わりました。

現在の脅威アクターは、軽犯罪者というよりインテリジェンスチームのように行動します。すぐにシステムを暗号化するのではなく、持続的アクセスを確立し、権限を昇格させ、内部依存関係を把握したうえで可視的な行動に出ます。

多くの場合、暗号化は最初の一手ではなく最後の一手です。機密データは数週間にわたり静かに持ち出されることがあります。IDシステムが調査・監視されることもあります。攻撃者は業務サイクル、規制上の圧力、運用上のボトルネックを分析し、最大の影響力を発揮できるタイミングで攻撃を仕掛けます。

現代の脅威環境

このようなインテリジェンス主導型キャンペーンが成功すると、その影響は単一システムの侵害にとどまりません。

2024年初頭、UnitedHealth Group傘下のChange Healthcareは、これまでで最も深刻な医療分野のサイバー攻撃の一つであるALPHV/BlackCatの被害を受けました。攻撃者は多要素認証（MFA）が設定されていないCitrix認証情報を悪用して侵入し、暗号化を実行する前に環境内にとどまりました。その結果、保険請求処理の停止が米国の医療システム全体に波及し、手作業による代替対応を余儀なくされ、数百万人の医療提供に遅延が生じました。この侵害により、UnitedHealth Groupは30億ドル超の損失を被りました。

医療分野は、相互接続されたインフラと高い即応性が求められる運用特性から特に脆弱です。請求プラットフォーム、薬局システム、ID検証システム、サードパーティ統合は密接に結び付いています。一つのノードが侵害されると、その影響は医療サプライチェーン全体に連鎖します。

これこそが現代の脅威環境を特徴付ける「運用依存性」です。組織はもはや孤立した標的ではありません。クラウド環境、レガシーシステム、IDプラットフォーム、ソフトウェアプロバイダが連なるエコシステムです。その内部で攻撃者が優位性を確立すると、混乱は急速に拡大します。

コンプライアンスだけでは不十分な理由

医療、金融、重要インフラといった厳しく規制された業界が、最も深刻なランサムウェア被害を受けているという逆説があります。これらの分野は多額の投資を行い、厳格なコンプライアンス要件を順守しています。それでもなぜ脆弱なのでしょうか。

理由は明確です。コンプライアンスはセキュリティと同義ではなく、ましてやレジリエンスと同義でもありません。

規制は均一性を生みます。監督には有効ですが、再現可能な脆弱性を探す攻撃者にとっては好都合です。共通の基準は予測可能な環境を生み出し、業界全体に通用する攻撃経路の設計を可能にします。

コンプライアンス重視の姿勢は、運用上の安全性よりも監査対応を優先させがちです。要件を満たしているという理由でレガシーシステムが維持され、最重要リスクの低減よりも指摘事項の解消が優先されます。

Change Healthcareの事例はその典型です。厳格なHIPAA規制下にありながら、MFAの欠如を突かれ、数日間検知されませんでした。コンプライアンスは満たしていましたが、防御は不十分でした。

これは規制を否定するものではありません。しかし、特にランサムウェア時代においては、書面上の要件を超えた実効性あるセキュリティが必要であるという認識が不可欠です。

AIと量子コンピュータがもたらす変化

ランサムウェアは規模だけでなく、知能面でも進化しています。新興技術の採用により、リスクは予測しにくく、封じ込めも困難になっています。

AIによる高度化・巧妙化

攻撃者は目立つ即時攻撃から、ステルス性と持続性を重視する戦術へと移行しています。AIを活用して精巧なフィッシングを生成し、広範な標的に対する偵察を自動化しています。さらに、実行ごとに外観を変化させるポリモーフィック型マルウェアも登場しており、従来のシグネチャベース検知は効果が低下しています。

その結果、攻撃者が長期間潜伏し、インフラやID検証システムを把握したうえで最大の影響力を狙う、より危険な環境が生まれています。

量子コンピュータと暗号のタイムリミット

量子コンピュータは、現在の暗号基盤に対する根本的な脅威です。公開鍵暗号は、TLS/SSL証明書やソフトウェアアップデートを支えていますが、将来的には量子手法によって解読可能になると考えられています。

一部の攻撃者は「Harvest Now, Decrypt Later」戦略のもと、将来の解読を前提に暗号化データを収集しています。今から量子コンピュータ対応を検討しなければ、手遅れになる可能性があります。

予防からレジリエンスへ

従来のサイバーセキュリティは予防中心でした。しかし、ランサムウェアはその限界を明らかにしました。重要なのは侵害後の対応です。

レジリエンスとは、攻撃を受けても業務を継続できる能力です。適応し、回復し、継続性を維持するためには、俊敏性を備えたインフラが必要です。特に量子コンピュータの脅威に備え、暗号プロトコルを迅速に更新できる体制が求められます。

デジタルトラスト：レジリエンスの中核

見落とされがちですが、ランサムウェア対策の基盤はデジタルトラストです。証明書、コードサイニング、ソフトウェアアップデートが侵害されれば、ブランドや通信へのトラストが損なわれます。

DigiCert ONEは、証明書管理の可視性、自動化、暗号アジリティを提供し、量子コンピュータ時代を見据えた対策を支援します。

デジサートで今からレジリエンスを構築

ランサムウェアへのレジリエンスは、ID、ソフトウェアの完全性、暗号基盤の強化から始まります。

DigiCert ONEは、証明書の大規模管理、ソフトウェアアップデートの保護、そして量子コンピュータの長期的影響を含む新たな脅威への迅速な対応を可能にします。

DigiCert ONEの詳細を見ることで、AI搭載プラットフォームが現在および量子コンピュータ時代におけるランサムウェア対策をどのように強化するかをご確認ください。