実際のインシデント分析により、ID関連攻撃と漏洩した認証情報の悪用が、サイバー犯罪者がネットワークにランサムウェア攻撃を仕掛ける際の最も一般的な手法になっていることが明らかになりました。
Sophosの最新レポートによると、ランサムウェア攻撃の79%は、漏洩したIDや正規のユーザーログイン情報を悪用した初期侵入に起因しているとのことです。
分析対象となったインシデント全体のうち、悪意のあるメールがランサムウェアの初期侵入経路となったケースは26%を占め、2025年の19%から増加しました。
正規のログイン認証情報の窃取によく使われるフィッシング攻撃は、インシデントの24%でランサムウェア攻撃の根本原因となっており、こちらも前年の18%から増加しています。
ランサムウェアインシデントで3番目に多い侵入経路はブルートフォース攻撃でした。これはサイバー犯罪者が自動化ツールと試行錯誤によって、よく使われるパスワードや脆弱なパスワードを突破する手法です。この手法はランサムウェア攻撃の23%を占め、前年の22%からわずかに減少しました。
ID関連攻撃が増加する一方で、脆弱性の悪用は減少しています。これまでランサムウェアインシデントの最も一般的な根本原因だった既知のセキュリティ脆弱性を悪用する攻撃者の割合は、2025年の32%から2026年には18%まで低下しました。
「この12ヶ月間、ランサムウェアの脅威動向全体を見ると、攻撃者は漏洩した認証情報を主要な初期侵入経路として利用する、いわば『より簡単な』攻撃に頼るようになっています。ソーシャルエンジニアリングの手口も進化しており、AIを日常的に活用してフィッシングメールの質を高めたり、最も訓練されたユーザーでさえMFAを回避させてしまうほど巧妙なClickFixキャンペーンを仕掛けたりする例も見られます。今年の傾向からは、攻撃者が人間を標的にすることに注力していることが分かります」と、SophosのCISOであるRoss McKerchar氏はInfosecurityに語りました。
攻撃者は悪用した認証情報をさまざまな形で利用しています。内訳を見ると、外部に露出したアプリケーションやシステムへのアクセスが38%、リモートデバイスへのログインが30%、ファイアウォールへのアクセスが21%となっており、外部に露出したVPNが8%、IoTデバイスを初期侵入口とするケースも一部(3%)確認されています。
組織が攻撃にさらされる要因は一つだけではありませんが、いくつかの共通した傾向が見られます。Sophosが調査した2158人のサイバーセキュリティ責任者のうち、62%が既知・未知を問わずネットワーク内のセキュリティギャップが、サイバー攻撃が検知されずに済んでしまう潜在的な要因になっていると回答しています。
半数を超える58%は、サイバー脅威から組織を守るために必要な人材や専門知識の不足というリソース面の課題を抱えていると回答しました。
一方、回答者の57%は、自組織がネットワークやユーザーを守るために適切な水準のサイバーセキュリティソリューションや保護策を導入できていないと感じていると答えています。
ランサムウェア攻撃からの復旧
データが暗号化されるほどの被害を受けた組織のうち、48%がデータを取り戻すために身代金を支払ったと回答しました。これに加え、66%が暗号化されたデータの一部を復元するために自社のバックアップを利用したと回答しており、これは2025年の54%から増加しています。
身代金要求額について、レポートでは今年の身代金要求額の中央値が698,000ドルまで下落したとしています。これはわずか2年前の200万ドルから大きく低下した水準です。しかし、大規模な組織に対する身代金要求額は依然として高く、数百万ドル規模に達しています。
一見すると身代金の支払額が下がっているように見えますが、実際に起きているのは、サイバー犯罪者が標的とする組織に応じて身代金要求額を調整し、小規模な組織に対してはより少額を要求するようになっているということです。これは単純に、あまりに高額な身代金を要求すれば、組織側が支払いを拒否してしまうためです。
逆に、身代金要求額が『妥当』な水準であれば、被害組織は復号キーを得るために支払いに応じやすくなります。特に、身代金を支払わなければ近い将来の逸失利益がそれ以上の損失になると考える場合には、その傾向が強まります。
ID関連攻撃がサイバー犯罪者によるランサムウェア攻撃の主な起点となっている以上、サイバーセキュリティ責任者が自組織を被害から守る最善の方法は、悪意ある行動を防げるだけの堅牢なID関連の統制を確保することです。
「組織はID脅威検知・対応(ITDR)を優先し、すべてのアクセスポイントで多要素認証を徹底し、人間および非人間のID認証情報の両方を定期的に監査すべきです」と、Sophosのレポートは提言しています。
「IDを後回しの課題としてではなく、セキュリティの基盤となる層として扱う組織こそが、そもそも攻撃を成功させないための備えができていると言えます」と結論付けています。
翻訳元: https://www.infosecurity-magazine.com/news/compromised-logins-ransomware-entry/