ランサムウェアは単にシステムをロックするだけではありません——恐怖、恥、時間を武器にして米国の銀行から資金を奪い取っています。「支払うか、晒されるか」です。
寒い11月の夜明け前、私はセキュリティリーダーなら誰もが受けたくない電話を受けました。米国の中堅銀行が夜間に深刻な攻撃を受けたのです。顧客は口座にアクセスできず、ATMも使えず、社内のすべての画面に同じ不吉なメッセージが表示されていました。システムは暗号化され、データも盗まれたというのです。攻撃者は多額のビットコインでの支払いを要求し、7日以内に応じなければ機密情報を公開すると脅迫していました。
これは机上訓練やリスク報告書で想定したシナリオではなく、現実でした。調査と復旧を支援しながら、ランサムウェアがどれほど進化し、金融セクターにとってどれほどリスクが高まっているかを痛感しました。
金融分野における「サイバー恐喝のパーフェクトストーム」
2025年、ランサムウェアは米国の金融機関が直面する最も破壊的なサイバーセキュリティ脅威としての地位を確立しました。多国籍銀行でも地元の信用組合でも、その危険性は極めて現実的かつ個人的です。攻撃者は単純なファイルロッカーから、盗まれた認証情報、綿密な偵察、複数段階の恐喝を組み合わせた複雑な作戦へと進化しています。
攻撃者は暗号化前にデータを持ち出し、組織は情報漏洩の公表か、評判の損失を避けるための支払いかという、選択の余地のない状況に追い込まれています。2024年までに金融機関の3分の2がランサムウェア被害を経験しており、私の実感では実際の数字はさらに高いでしょう。米国内だけでも、2023年には前年比60%以上もインシデントが急増しました。毎週のように、同業者が攻撃に対処している、あるいは数週間前から侵害されていたことに今気づいたという話を耳にします。
金融業界は長らく主要な標的でしたが、変化したのは攻撃の規模と連携の度合いです。ランサムウェアは闇から表舞台へと移り、今やRansomware-as-a-Service(RaaS)というビジネスモデルによって、成長資金を得たスタートアップのように拡大しています。
ランサムウェアの進化:単純なロックダウンから三重の恐喝へ
私は長年にわたり、ランサムウェアが単純なファイル暗号化から、組織的で多層的な恐喝キャンペーンへと劇的に進化する様子を見てきました。2025年までに、これらの攻撃はより計画的で攻撃的、かつ最大限のプレッシャーを与えるよう特化され、特に私が守る金融機関を狙っています。もはや単なるファイルロックではなく、迅速な支払いと公的な監視回避を狙った心理戦となっています。
二重恐喝
最近私が関与・分析したほぼすべての大規模ランサムウェア事件で、攻撃者はシステムを暗号化するだけでなく、実行前に機密データも盗み出していました。つまり、アクセスできないデータと、漏洩してほしくないデータという二重の脅威に直面するのです。バックアップが万全でも、顧客の個人情報や機密契約書などの漏洩リスクが高すぎて、結局身代金を支払ったケースも見てきました。盗まれたデータがダークウェブの「リークサイト」に現れ始めると、対応のプレッシャーは10倍になります。もはやシステム復旧だけの問題ではなく、ブランド存続の問題です。
三重恐喝
暗号化とデータ窃取だけではなく、さらに一歩踏み込む攻撃者もいます。私が支援した極端な事例では、ランサムウェア集団がDDoS攻撃を仕掛けたり、規制当局やジャーナリスト、被害者の顧客に直接連絡したりしました。あるグループは、被害金融機関の顧客にまで連絡し、銀行への圧力を高めました。これらの戦術は、混乱した状況に外部からの監視を加えます。現在の情報開示規則では、数日以内に漏洩を報告しなければならないため、攻撃者は早期暴露を交渉材料に使えると知っています。まさに時間との戦いであり、彼らは「時間」そのものを武器にしています。
Ransomware-as-a-Service(RaaS)とアフィリエイトネットワーク
もう一つの大きな変化は、ランサムウェアがビジネスモデル化したことです。開発者はランサムウェア「キット」を作成し、アフィリエイト攻撃者に貸し出します。アフィリエイトはフィッシングや盗まれた認証情報、既知の脆弱性を使って侵入し、ランサムウェアを展開、利益を開発者と分配します。私はFAQやサポートまで付いた手順書付きのアフィリエイト用プレイブックを分析したこともあります。このモデルにより、攻撃の規模と範囲が劇的に拡大し、比較的スキルの低い犯罪者でも甚大な被害をもたらせるようになりました。グループ間で戦術が急速に共有・進化するため、成功した侵害が次の攻撃をより容易にしています。
攻撃性と持続性の増大
最近の攻撃で私が目の当たりにした持続性は驚異的です。攻撃者は数週間にわたり環境内に潜伏し、偵察、権限昇格、攻撃計画を練ります。バックアップを標的にし、シャドウコピーを削除し、ペイロード投入直前にセキュリティソフトを停止させます。ドメイン管理者権限を奪い、企業システムを完全に掌握することも珍しくありません。これらは偶発的な犯罪ではなく、入念に調査・計画された襲撃です。ランサムノートが表示された時点で、実質的な被害はすでに発生しています。
技術的高度化とクロスプラットフォーム対応
技術的にも、ランサムウェアはかつてないほど進化しています。RustやGolangで作られた亜種もあり、従来のセキュリティツールでは検知が困難です。攻撃者はEDR回避ツールを使い、エンドポイント保護を無効化します。特に懸念しているのは、これらの脅威がWindowsだけでなく、LinuxサーバーやVMware ESXiハイパーバイザー、クラウドインフラまで標的にできる点です。多くの金融機関はハイブリッド環境で基幹業務を運用しており、防御範囲を拡大せざるを得ません。今やランサムウェア攻撃は、支店ネットワークとクラウド上のバンキングプラットフォームを同時に麻痺させることが可能です。
国家支援との連携
おそらく最も不穏なのは、サイバー犯罪グループと国家支援組織の連携が増えていることです。私が関与した情報ブリーフィングでは、北朝鮮などの国家とつながるグループがランサムウェア集団を支援・協力している事例が示されました。中にはアクセスブローカーとして標的を侵害し、他グループに売却するケースもあります。こうした連携はサイバー犯罪と地政学的破壊工作の境界を曖昧にし、金銭目的の攻撃者がスパイ活動用の手法を採用することもあります。金融機関を守る私たちにとって、単なる犯罪者だけでなく、国家支援の脅威とも戦う必要があるのです。
金融機関向け戦略的教訓
現場での経験から、2025年のランサムウェアは単なるファイルロックやダウンタイムの問題ではなく、全方位的な恐喝であることが明らかです。攻撃者はデータを盗み、メディアの注目を集め、あらゆる手段で支払いを迫ってくると想定しなければなりません。そのため、防御戦略も暗号化・オフラインバックアップ、データ持ち出しの常時監視、公表・規制対応の事前計画まで進化させています。
最前線からの教訓:現実世界のランサムウェア
ここ数年、私は金融業界でランサムウェア事件が発生する現場を、時に不本意ながらも目撃してきました。同業者への助言、直接対応、事後の振り返りなどを通じて、何が有効で、何が失敗し、何をもっと早くやるべきだったかを実感しています。特に印象に残った事例と、そこから得た教訓をいくつかご紹介します。
特に不気味だったのは、Scattered Spider(UNC3944)によるケースです。このグループはソーシャルエンジニアリングで銀行社員になりすまし、ITヘルプデスクを騙してログイン認証情報をリセットさせました。そこから権限を昇格させ、ネットワーク全体にランサムウェアを展開しました。内部ツールやLinkedInから得た情報を駆使して、非常に巧妙に社員を演じていたのが印象的でした。
この事件を受けて、私たちはヘルプデスクの手順を見直しました。トレーニングだけでは不十分で、機密性の高いリクエストには多段階の本人確認を導入する必要があると気づきました。また、従業員アカウントがこれまでアクセスしたことのない多数のシステムにアクセスした場合など、異常行動を検知する内部監視も強化しました。最先端の侵害も、結局は人間の判断から始まることを改めて思い知らされました。
ベンダー侵害による信用組合への影響(Ongoing Operations)
2023年末、60以上の信用組合が利用するサービスプロバイダーOngoing Operationsがランサムウェア攻撃を受けました。信用組合自体は直接侵害されませんでしたが、ベンダーが停止したことで業務停止や障害が発生しました。内部対策が万全でも、サプライチェーンの一つの弱点が大きな影響を及ぼすことを痛感させられました。
この出来事をきっかけに、すべての重要ベンダーのバックアップ戦略、復旧時間、インシデント時の情報共有姿勢などを厳しく見直しました。契約にも詳細なインシデント対応要件を盛り込み、可能な限り主要サービスのベンダーを分散させ、依存度を下げるようにしています。
ベンダー経由のLockBit攻撃(バンク・オブ・アメリカ事例)
もう一つの警鐘となったのが、バンク・オブ・アメリカのベンダーInfosys McCamishへのLockBit攻撃です。攻撃者は顧客の機密データにアクセスし、公表の遅れが顧客の不満やメディア批判を招きました。私たちもサードパーティプロセッサを利用しているため、事態の推移を注視していました。
この件は、ベンダーのデューデリジェンスが必須であることを再認識させました。それ以上に、問題発生時の迅速かつ透明なコミュニケーションの重要性を思い知らされました。以降、法務・広報・セキュリティチームが連携し、全員が効率的に動けるよう通知プロセスを見直しました。すべての詳細が判明するまで顧客への連絡を待つのではなく、透明性・積極性・サポートを重視しています。
Evolve Bank & Trustのランサムウェア侵害
2024年初頭にEvolve Bankが攻撃を受けた際、彼らの迅速な対応に感銘を受けました。法執行機関への通報、一般への通知、被害顧客へのID保護サービスの提供など、対応が素早く、結果的に評判や規制上のダメージを最小限に抑えました。
この事例は、私たちのインシデント対応プレイブックの改善に役立ちました。事前に顧客向け通知文を用意し、フォレンジックやPR会社との契約も締結、サイバー保険会社への連絡基準も明確化しました。部門横断の訓練も実施し、計画があるだけでなく、実際にプレッシャー下で実行できるかを確認しています。
法執行機関の成功事例:Hive摘発
すべてのランサムウェア事件が被害者の損失で終わるわけではありません。2023年のFBIによるHiveランサムウェアグループの摘発は、稀で希望の持てる成功例でした。法執行機関がグループのインフラに潜入し、被害者の復旧を支援、最終的に静かに組織を解体しました。この話は、私たちコミュニティに希望を再燃させ、協力の重要性を再認識させました。
これらの事例から私が強く感じるのは、ランサムウェアは予測不能で、動きが速く、多面的だということです。最も被害を抑えられる金融機関は、技術的だけでなく、戦略的・運用的にも備えているところです。ネットワークを分割して被害を局所化し、復旧計画を訓練し、チームやベンダーを強化し、何より「自分たちも例外ではない」と認識しています。
私の経験上、準備こそが唯一の差別化要素です。攻撃を完全に防ぐことはできなくても、対応力は自分たちで高められます。
防御強化:私の予防とレジリエンスへのアプローチ
ここ数年、私は金融業界のチームと協力し、サイバーセキュリティ体制を受動的から真のレジリエンス重視へと転換してきました。私たちの考え方は「防げるものは防ぎ、防げないものは迅速に回復する」です。以下は、実際のランサムウェア事件から得た厳しい教訓をもとに導入した主な施策です。
1. 入口の強化と継続的監視
初期侵入ポイントの防御を徹底しました。経験上、侵害は悪意あるメールやパッチ未適用といった些細なことから始まることが多いです。高度なメールフィルタ、サンドボックス、継続的なフィッシング訓練に投資しています。私自身も模擬フィッシング訓練に参加し、その効果を実感しています。
MFA(多要素認証)は全社導入し、特にリモートアクセスや管理者アカウントで徹底しています。SMSベースのMFAから、セキュリティキーや認証アプリなどフィッシング耐性の高い方式への移行を強く推進しました。パッチ適用も、もはや定期ウィンドウを待たず、リアルタイムの脅威情報に基づき24~48時間以内に重要アップデートを展開します。SOCはAIによる異常検知で24時間365日監視し、大量ファイル変更、不審なアカウント作成、異常な横移動などの兆候を検知します。これにより、深刻化する前の初期段階で複数の侵入を発見できました。
2. ネットワーク分割と最小権限アクセス
数年前にネットワーク構成を見直した際、ランサムウェアが侵入すれば拡散しやすいことに気づき、再設計しました。今では人事システムがコアバンキングプラットフォームに直接通信できず、複数のセキュリティ制御を経由するようになっています。
最小権限アクセスを厳格に適用しています。ドメイン管理者の利用は稀で短時間、厳格に監視されます。最新のID管理ツールで権限を定期的に見直し、「権限の肥大化」を排除しています。これらの変更はリスク低減だけでなく、監査人からの信頼も高まりました。
3. 安全なオフライン・検証済みバックアップ
バックアップは必須ですが、実際には多くの機関が「動作しているはず」と思い込み、インシデント時に初めて問題に気づくこともあります。私たちは3-2-1ルール(三つのコピー、二つの媒体、一つはオフライン)を徹底し、一定期間変更・削除できないイミュータブルバックアップも導入しています。
決定的だったのは、バックアップ復旧訓練の運用化です。基幹DBからユーザーPCまで、全環境の復旧をリハーサルし、所要時間も把握、毎回RTO(目標復旧時間)を改善しています。これにより、データ復旧のために身代金を払う必要がないという安心感を経営層に提供できています。
4. インシデント対応計画と訓練
インシデント対応計画は、今や運用の中核となっています。封じ込め戦略、連絡手順、エスカレーション基準を詳細にまとめたプレイブックを作成し、技術部門だけでなく全社で活用しています。
セキュリティ、法務、コンプライアンス、広報、経営陣を交えた横断的な訓練を主導してきました。システムロックダウン、メディア対応、規制当局への開示まで、すべてをシミュレーションしています。インシデント対応会社や危機広報会社とも事前契約し、緊急時に慌てることがありません。保険も計画に組み込み、通知タイミングや報告手順も訓練済みです。
こうした訓練で、緊急連絡先リストが攻撃時に暗号化されるサーバー上にあったなど、意外なギャップも発見できました。今では年2回以上、FS-ISACや財務省主導のシナリオも含めて訓練しています。
5. サイバーハイジーンとゼロトラストアーキテクチャ
ランサムウェア特有の対策だけでなく、基盤的な改善による長期的なレジリエンスにも投資しています。私はゼロトラストの強力な推進者であり、マイクロセグメンテーション、継続的なID検証、機密データの内部暗号化を導入しました。
エンドポイントには次世代アンチウイルスやEDRを導入し、24時間体制の監視を外部業者にも委託しています。ログもサーバー、ファイアウォール、アプリ、クラウドワークロードまで一元化し、脅威ハンターが全体像を把握できるようにしています。
脅威インテリジェンスチームにはダークウェブも監視させ、実際に盗まれた認証情報を使用前に発見し、即時リセットできたこともあります。サイバーセキュリティ教育はITスタッフだけでなく、取締役や経営陣にも拡大し、全員が防御の一翼を担うようになりました。
6. 身代金支払い方針と規制対応
これは社内でも最も難しい議論の一つです。私たちの方針は明確で「支払いたくない」です。しかし、やむを得ず支払う場合の条件や意思決定者も明確に定めています。
法務・コンプライアンス部門と連携し、攻撃者と取引せざるを得ない場合でもOFACや国際制裁に違反しないよう確認しています。CIRCIA(重要インフラサイバーインシデント報告法)で24時間以内の報告が義務付けられているため、プレイブックもそれに合わせて整備しました。取締役会も倫理的・規制的観点でこの問題を十分に認識し、関与しています。
7. 連携と脅威情報共有
最も有効な防御はツールではなく、コミュニティだと実感しています。私たちはFS-ISACを通じて、インジケーターやフィッシング手口、不審行動を他の金融機関と積極的に共有しています。そこから得た情報で、複数の脅威を早期にブロックできました。
財務省、国土安全保障省、FBIとも直接連携しています。合同訓練で共有された情報により、潜在的な侵入を未然に防げたこともあります。また、Joint Ransomware Task Forceのような官民連携にも参加し、ランサムウェアネットワークの解体を目指しています。法執行機関の成功は私たち全体の利益であり、できる限り支援しています。
ランサムウェア包囲下でのサイバーレジリエンス構築
私の視点では、2025年のランサムウェア対策には多層的かつ協調的なアプローチが不可欠です。私たちは「防御・検知・封じ込め・復旧・連携」の5本柱で戦略を構築しています。脅威者はかつてないほど高度化していますが、金融業界もかつてないほど結束し、リソースを強化し、反撃の意志を高めています。
私たちの目標は、ランサムウェアから「生き残る」だけでなく、身代金支払いを不要にすることです。そのためには、攻撃を防ぐだけでなく、システムの復旧力、顧客からの信頼、規制当局からの誠実な運営評価を確保する必要があります。
最終的に、ランサムウェアはサイバー備えと協力の文化を強化しました。銀行は痛みを伴う事件から学び、より強く立ち直り、その教訓を惜しみなく共有しています。経営陣もサイバーセキュリティに主体的に関与するようになりました。そして、業界全体が、昨日は競合、今日は共通の脅威に立ち向かう防御者として団結しています。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加希望はこちら
ニュースレターを購読する
編集部からあなたの受信箱へ
下記にメールアドレスを入力して購読を開始してください。