いいえ、これは新しいものでも特別に珍しいものでもありませんが、長年にわたる攻撃の後も、ランサムウェアは今日、世界中の組織が直面する最も破壊的な脅威の一つであり続けています。
セキュリティチームが予防と検知の取り組みに多大なリソースを投入していても、攻撃者は依然として防御を回避する方法を見つけ出しています。二重脅迫がデフォルトの手法となり、グループはシステムを暗号化し、機密データを盗み出して脅迫材料としています。
一部の攻撃者は暗号化のステップ自体を完全に省略し、検知を回避しつつ効率化するため、データ窃取と脅迫のみに注力しています。
Picus SecurityのBlue Report 2025は、サイバーセキュリティ防御がいかに簡単にすり抜けられているかを明らかにしています。
1億6千万件以上の侵害・攻撃シミュレーション(BAS)結果をもとに、今年のBlue Reportでは、全体の防御有効性が2024年の69%から2025年には62%へと低下しました。しかし最も衝撃的だったのはデータ流出であり、防御率はわずか3%にまで崩壊し、昨年のすでに容認できない低水準9%からさらに悪化しました。これは、まさにランサムウェアグループが最も悪用する段階で組織が無防備になることを意味します。
結論は明白です:「想定」は「防御」ではなく、検証されていない防御策は、最も重要な時に失敗し続ける。
結果を分析すると、ランサムウェアへの備えは「当然」ではなく、「証明」しなければならないことがすぐに分かります。つまり、既知のランサムウェアファミリーだけでなく、現在野放しになっている新興の亜種に対しても、組織の防御力を継続的に検証する必要があるのです。
侵害・攻撃シミュレーションは、その証拠を提供し、防御策がリアルタイムで機能しているかどうかを示します。
既知と新興、どちらのランサムウェアも重要な理由
残念ながら、ランサムウェアに関しては「慣れ」がしばしば誤った安心感を生み出します。セキュリティチームは有名な亜種に対しては防御できていると信じがちですが、放置すれば設定のズレや環境の変化により防御力は徐々に低下していきます。
一方、ランサムウェア運用者は進化し続けています。コードは再パッケージ化され、ローダーは更新され、回避技術も洗練されて検知を逃れます。残念ながら、昨日の攻撃に有効だった対策が、今日のアップデートされた攻撃には通用しないことが多いのです。
今年のBlue Reportはこの現実を如実に示しています。
防御が最も突破されたランサムウェア上位10種のうち、5種は新規または新興のものでしたが、長年知られている亜種と同じくらい効果的に防御を突破していました。
-
既知のファミリーも依然として成功している。BlackByte(26%)は2年連続で最も防御が難しいランサムウェアであり、公開アプリを悪用し、暗号化前にデータを流出させます。BabLock(34%)は二重脅迫で被害者に圧力をかけ続け、Maori(41%)はファイルレス配信や地域限定キャンペーンを活用します。これらの持続性は、実環境で防御がいかに簡単に崩れるかを示しています。
-
新興ランサムウェアも同様に強力。FAUST(44%)、Valak(44%)、Magniber(45%)は、レジストリ改変、モジュール型ペイロード、段階的実行などで防御を突破します。攻撃のほぼ半数が成功しており、新しい名前でもすぐに実環境で効果を発揮することを証明しています。
-
既存の有名亜種も適応している。BlackKingdom(48%)、Black Basta(49%)、Play(50%)は、盗まれた認証情報、プロセスホローイング、リモートサービス実行で防御を回避します。何年もドキュメント化されてきたにもかかわらず、依然として阻止が困難です。
-
高度なランサムウェア運用者も依然として強靭。AvosLockerは防御率がわずか52%で、特定の防御策があっても権限昇格や高度な難読化を悪用し、重要分野を侵害しました。
これらの結果は重要なポイントを示しています:「既知」と「新興」のランサムウェアの区別は、ますます意味を失いつつある。組織が防御策を継続的に検証しない場合、既知・新興の両方の亜種が防御を回避し得るのです。
防御の最大のギャップ
ランサムウェアグループは一つの手口だけに頼ることはほとんどありません。代わりに、キルチェーン全体で複数の手法を組み合わせ、最も弱い防御箇所を突いてきます。
Blue Report 2025は、防御と検知の持続的なギャップが、攻撃者にまさに求めていた隙を与え続けていることを示しています。
-
マルウェア配信:防御率は60%(2024年の71%から低下)。最も古い攻撃ベクトルの一つであるにもかかわらず、ローダーやドロッパーは依然として静的防御を突破しています。
-
検知パイプライン:攻撃のうち14%しかアラートが生成されず、54%はログに記録されていました。このログからアラートへのギャップにより、BlackByteのような既知のファミリーやFAUST、Magniberといった新しい亜種にも防御側が気付けない可能性があります。
-
データ流出:データ流出防止の有効性は2025年にはわずか3%(2024年の9%から低下)で、全攻撃ベクトル中最悪のスコアです。この弱点が二重脅迫攻撃の急増を招き、盗まれたデータが被害者への圧力材料として流出しています。
-
エンドポイント保護:エンドポイントは76%の攻撃を阻止しましたが、横展開や権限昇格は4分の1のケースで成功しました。Black BastaやPlayのようなファミリーは、これらの弱点を突いて侵害ネットワーク内で拡散しました。
全体として、ランサムウェアが猛威を振るうのは最先端の技術によるものではなく、防御が重要なポイントで失敗し続けているからです。
レポートで取り上げられた10のランサムウェアファミリーのうち5つは長年存在する亜種ですが、新たな新興脅威と同じくらい効果的に防御を回避しています。攻撃者に必要なのは革新的な突破口ではなく、すでに壊れているものを突く能力だけです。
BASがランサムウェア対策を強化する方法
Picusの侵害・攻撃シミュレーション(BAS)は、組織が「できると思っている」防御力と、実際にランサムウェアに「対抗できる」防御力とのギャップを埋めるのに役立ちます。
従来のペネトレーションテストが定期的かつ手動であるのに対し、BASは継続的かつ自動的なチェックを提供し、実際の攻撃行動に対してどこで防御が機能し、どこで機能しないかを、組織固有の動的環境で明らかにします。
BASの主なメリット:
-
継続的なランサムウェアシミュレーション。BASは実環境で観測されるランサムウェアのTTP(戦術・技術・手順)を安全にシミュレート・エミュレートし、初期侵害から暗号化、データ窃取まで、防御がどこで破綻するかを境界防御やエンドポイントセキュリティ全体で明示します。
-
既知・新興ファミリーへの検証。PicusはBASの脅威ライブラリを毎日更新し、既存のランサムウェアと新たな亜種の両方の情報を反映。組織はアドバイザリで報告されたものや、野放しになったばかりのファミリーにも対策をテストできます。
-
実践的な修正策。シミュレーションで攻撃が成功した場合、BASはベンダー固有・非依存の実用的な修正ガイダンスを提供し、防御側が何を調整すべきかを明確にします。
-
備えの証拠。BASは防御率、検知範囲、緩和状況など、ランサムウェア耐性に関する測定可能なデータを生成し、セキュリティチームが経営層や監査人に示せる具体的なデータを提供します。
備えのギャップを埋めるには
ランサムウェア対策において最も危険な思い込みの一つは、「これまでうまくいっていたから」「正しい製品を導入しているから」防御が機能していると考えてしまうことです。
Blue Report 2025は、これらの思い込みがいかに誤解を招くかを示しています:ランサムウェアの試みの約50%が防御を突破し、14%しかアラートが発生しませんでした。
BASは、最も重要な疑問に答えることで、思い込みを証拠に変えます:
-
DLPシステムは本当に機密データの流出を阻止できるか?
-
ランサムウェアがエンドポイント防御をすり抜けた場合、SIEMはタイムリーに警告を出せるか?
-
BabLockやPlayが使うフィッシングペイロードをメールゲートウェイは十分にブロックできているか?
-
FAUSTやMagniberのような新しいファミリーは見逃されてしまうのか?
BASがあれば、セキュリティチームは「推測」せずに「知る」ことができます。
結論
結局のところ、Blue Report 2025が明らかにしているのは、ランサムウェアが猛威を振るうのは攻撃者が手口を一新したからではなく、防御が実際にテストされることがほとんどないからだということです。同じセキュリティの弱点が毎年繰り返し現れ、防御は低下し、検知は遅れ、データ窃取はほとんど野放しのままです。
侵害・攻撃シミュレーションこそが欠けていたピースです。初期侵害、認証情報アクセス、横展開、データ窃取まで、エンドツーエンドのランサムウェア攻撃を安全にエミュレートすることで、BASは防御が機能している箇所とそうでない箇所を正確に特定し、修正が有効かどうかも確認します。備えを「信頼」や「想定」から「証明」へと転換し、防御側が毎日測定・改善・実証できるものを提供します。
ランサムウェア対策は「守られているか?」という問いを超え、「耐性の証明を継続的に示す」段階に進化しています。そしてBASこそが、その唯一持続可能な方法です。
Blue Report 2025をダウンロードして、ランサムウェアやデータ流出、業界別パフォーマンス、地域差、MITRE ATT&CKの戦術・技術ギャップ、攻撃者が今まさに悪用している脆弱性まで、全体像をご覧ください。どこで防御が崩れているのか、なぜ継続的な検証が必要なのかが分かります。
Picus Securityによるスポンサー記事・執筆。