脆弱性の悪用はもはや過去のものになりつつあります。最近の調査によると、ID侵害がランサムウェアの根本原因として最も多くなったことがわかりました。
Sophosは本日、State of Ransomware 2026レポートを発表しました。これは、過去1年間にランサムウェア被害に遭った組織に勤務する、17カ国のIT・サイバーセキュリティ責任者2,158人を対象にSophosが実施した調査をまとめたものです。攻撃の56%が被害者ネットワークに対する暗号化を成功させたことや、身代金の要求額と支払額がともに減少していることなど興味深い調査結果が数多くありますが、中でも特に注目すべきは、IDと攻撃者の侵入経路に関するデータです。
具体的には、ID侵害がランサムウェアの主要な侵入手段になっているという点です。
Sophosの調査によると、悪意のあるメール(26%)とフィッシング(24%)が、3年間ランサムウェアの根本原因のトップを占めてきた脆弱性(18%、前回の32%から減少)を上回りました。また、被害者の3分の2(67%)が、今回のランサムウェア攻撃が過去1年間で最も重大なID攻撃だったと回答しています。
Sophosは次のように述べています。「本レポートでは、フィッシングと悪意のあるメールがランサムウェアの根本原因全体の半分を占めるに至っており、組織は高度なメールフィルタリングを導入し、DMARC/DKIM/SPFプロトコルを実装し、定期的なフィッシング意識向上トレーニングに投資すべきです」。さらに「メールを起点とした攻撃へのシフトは、技術的な脆弱性パッチ適用だけでは不十分であることを示しています」と付け加えています。
ランサムウェア攻撃の根本原因として3番目に多かったのも、やはりIDに関連するものであり、認証情報の侵害が23%のケースで使われていました。これは、最も驚くべき調査結果の一つとも関連しているため、特に重要です。すなわち、認証情報の侵害が根本原因となったランサムウェア攻撃のうち、97%のケースで多要素認証(MFA)が導入されていたのです。
ワンタイムパスワード、プッシュ通知型アプリケーション、パスキーが、副次的な認証手段として最も多く導入されていました。フィッシング耐性のある認証のゴールドスタンダードとされるFIDO2トークンは、4番目に多い手段でした。
Sophosは、MFAが機能しなかった理由として2つの可能性を挙げています。
レポートには次のように記されています。「ランサムウェア被害者のうち攻撃発生時にMFAを導入していた割合が高いという事実は、関連するすべてのシステムにMFAが完全に展開されておらず、攻撃者に付け入る隙を与えていた可能性を示しています」。「また、MFAは効果的なサイバー防御戦略の重要な要素であり続けているものの、回避手法が進化し続けている以上、認証情報を狙った攻撃を防ぐには単独では不十分であることも示唆しています」。
一部のMFAではランサムウェアを防げない
パッチ適用を常に怠らないことは相変わらず重要ですが、ランサムウェア対策の主戦場はパッチ管理からID保護へと移りつつあるようです。
Sophosは「組織はID脅威検知・対応(ITDR)を優先し、すべてのアクセスポイントで多要素認証を徹底し、人間・非人間を問わずID認証情報を定期的に監査すべきです」と述べています。同社は特定の種類のMFAを推奨するまでには踏み込んでおらず、最大の失敗はMFA自体ではなく、導入の不完全さ、あるいは包括的な棚卸しの欠如にあった可能性を示唆しています。
Sophosのディレクター兼グローバルフィールド最高情報セキュリティ責任者(CISO)を務めるChet Wisniewski氏はDark Reading に対し、最も高い成果を上げている組織はMFAに加えて、同氏が「積極的な多層防御(アグレッシブ・ディフェンス・イン・デプス)」と呼ぶ取り組みを実践していると語りました。
同氏は次のように述べています。「防御の各層は、たとえ突破されうるものであっても、攻撃を遅らせる障害物となったり、警告を発したり、脅威ハンティングの端緒となる手がかりになったりします。通常これは、セグメンテーションによって攻撃者の動きを遅らせること、レガシーVPNを置き換えてアプリの悪用を封じ込めるための[ゼロトラストネットワークアクセス、ZTNA]の導入、そして24時間365日体制の脅威検知・対応能力といった形で実践されています」。さらに「これは、サイバー特化型LLMの登場によって私たちが直面するかもしれない「脆弱性の黙示録(vulnpocalypse)」を懸念する組織への私の助言と完全に一致するものです。単なる優れた実践だと言えるでしょう」と語りました。