ランサムウェア長期潜伏の実態：アスクル・アサヒGHD攻撃から学ぶ対策の死角

2025年、アスクルとアサヒグループホールディングスを襲ったランサムウェア攻撃は、企業のサイバーセキュリティ対策に重大な疑問を投げかけました。一見突発的に見える被害の背後には、数カ月にわたる潜伏期間と緻密な内部探索が存在していたことが、専門家の分析で明らかになっています。

ランサムウェアは単にメールの添付ファイルから即座に発動するわけではありません。攻撃者は最初の侵入後、正規の認証情報を窃取し、ネットワーク内で横展開しながら管理者権限を獲得します。このプロセスには数週間から数カ月を要することが一般的で、被害企業はその間、異常に気付かずに通常業務を続けています。

アスクルとアサヒGHDの両社は、多層的な防御策を導入していました。ファイアウォールやエンドポイント保護、定期的な脆弱性診断など、標準的な対策は一通り実施していたとされています。しかし、ランサムウェアが最終的に暗号化を開始した時点では、それらの対策は役に立ちませんでした。

専門家は、隙が生じた原因として、内部ネットワークのセグメンテーション不足と、特権アカウントの監視が不完全だった点を指摘します。攻撃者は一度侵入に成功すると、内部で自由に移動し、重要なサーバーへ到達可能な経路を確保していました。また、ログの相関分析が徹底されておらず、初期の不審な挙動を見逃していた可能性があります。

本質的な対策として求められるのは、侵入を前提とした設計思想の転換です。ネットワークの細分化、多要素認証の全面的な導入、そして何より、平時からのインシデント対応訓練とバックアップの完全性確認が不可欠です。ランサムウェアは「届いたらすぐ」ではなく、「潜伏してから狙う」のが常識になりつつあります。