英国では死亡事件も……ランサムウェア攻撃の潮流を掴む──煩雑化するセキュリティ運用の“新常識”とは？

ランサムウェア攻撃で死亡事件も……最新の脅威動向

　神田氏は、サイバー攻撃がエンドポイントにとどまらず、ログインID情報、メール、クラウド環境、AI技術といった広範な領域に脅威を拡大している現状から講演を開始した。ウィズセキュアが毎月発表している脅威レポート『Monthly Threat Highlights Report 』の2025年6月版によると、ランサムウェア被害件数はこの3ヵ月間減少傾向にあるが、長期的に見れば増加傾向にあるという。

　「Qilin」と呼ばれるグループによるランサムウェア攻撃（2024年に複数のロンドンの病院に影響を与えた）に関して、英国国民保健サービス（NHS）のインシデントレビューの結果、攻撃によるシステムの混乱が少なくとも1人の患者の死亡に直接的につながったことが確認された。新たな攻撃グループ「Warlock」の出現もある。また、活動が活発な攻撃グループ「Scattered Spider」は、これまでの英国小売業界から米国保険業界へと標的を拡大しており、企業のヘルプデスクを装って社員を騙す「音声ソーシャルエンジニアリング（ビッシング）」という手口を駆使するという。神田氏は企業規模や業種を問わず、あらゆる組織が標的になり得ると警鐘を鳴らした。

　リモートワークで広く使われるVPN機器に存在する深刻な脆弱性「Citrix Bleed 2」にも注意が必要だ。この脆弱性を悪用されると、内部ネットワークに侵入され、IDやパスワードが盗まれる危険がある。既に悪用が確認されており、修正パッチも公開されているため、速やかな対応が求められる。

人間の「隙」を突く攻撃も、基本を徹底すべし

　サイバー攻撃はエンドポイントだけでなくID、クラウド、AIへと拡大している。ID関連の脅威として、Googleアカウントや有名ブランドでの顧客データ流出、フィッシング攻撃など、IDを狙う巧妙な手口が紹介された。これらの事例から、複雑なシステムや古いシステムがセキュリティ上のリスクとなること、その上で「パスワードの使い回しをしない」といったユーザー側の対策も重要だと強調する。

　また、企業におけるデジタル化の進展にともないクラウドサービスの利用は不可欠だが、利便性の裏側には常にセキュリティ上の脅威が潜んでいると指摘した。ここでも、クラウド関連の脅威として3つのトピックを紹介した。

　まずは、ビジネスで広く利用されるSalesforceの脆弱性と設定ミスがある。これはシステム設計ミスやバグによる攻撃者の侵入経路となり得るもので、Salesforceが修正プログラムを配布しても、顧客自身の対処が必要な設定がある。神田氏はこれを「家の鍵を頑丈なものに変えても、窓が開けっ放しになっているような状態」と例え、システム提供側だけでなく利用者側も積極的な対策が必要であると訴えた。

　Cisco ISEの深刻な脆弱性は、同じクラウド上ですべてのシステムが同じ認証設定を使っていたために発生し、第三者が容易に侵入できる危険性もあった。もう一つ、Scattered Spiderに類似した攻撃者によるSalesforceへの攻撃事例は、音声フィッシングキャンペーンを用いてユーザーを騙し、改変されたSalesforce Data Loaderアプリをインスタンスに追加させ、データ窃取を可能にし、一部のケースではラテラルムーブメント（横方向への移動）につながった。これらの事例は、攻撃者が人間の心理の隙を突いた巧妙な手口を使うことを示しており、常に進化する脅威を理解し、最新情報をキャッチアップして適切な対策を講じることが重要となる。

日常化するAI利用に潜む“罠”──その手口とは？

　近年急速に普及するAI技術にも、新たな脅威が生まれている。神田氏は、2つのAI関連攻撃をピックアップした。1つ目は「トークンブレイク攻撃」。AIには不適切な内容を検知・ブロックする防御機能があるが、攻撃者はトークナイザーが理解できないように文章を加工し、悪意のある命令がAIに直接届くように仕向ける。これにより、AIのガードレール機能が回避され、有害情報やスパム・フィッシングメールがユーザーに届き、プロンプトインジェクションによるAIの誤動作や機密情報漏洩のリスクが生じる。

　2つ目は、Microsoft 365 Copilotで見つかった脆弱性「EchoLeak」だ。これは一見普通のメールの中に悪意のある命令文を隠しておく手法で、ユーザーがAIに質問すると、隠された命令文が実行され、知らないうちに機密情報が外部に漏洩してしまうものだ。これらの攻撃は、「AIの進化につれ新しいセキュリティリスクが生まれていることを示しています」と神田氏。「AI技術を安全に利用するには、常に最新の脅威を理解して、適切な対策を講じることがさらに重要になってくる」と強調した。

　国内のセキュリティ状況として神田氏は、IPA（情報処理推進機構）が発表する「情報セキュリティ重大脅威 2025」にも言及した。トップ3は、ランサムウェアによる被害（昨年と同順位）、サプライチェーンや委託先を狙った攻撃（昨年と同順位）、CUIシステム（制御システム）の脆弱性を狙った攻撃（昨年より順位が上昇）となっている。神田氏はこれらの状況から、脅威に対する強化が組織の情報セキュリティにとって最重要課題になっていると指摘する。

「EDR」導入が加速するも、依然として運用負担が課題に

　ウィズセキュアが行った調査結果によると、EDR導入後の理想とされる24時間365日の監視と迅速な対応は、多くの企業にとって大きな負担となっている。具体的には、人材確保の困難さや専門家不足、内部運用・外部委託問わず高額なコスト、重大インシデント発生時の現状把握と対策が後手に回りがちで、EDRからの基本情報だけでは判断できないほどインシデントケースが複雑化していることが挙げられる。

　神田氏は、「EDRの重要性は認識されているが、効果的な運用は依然として課題が存在する」と述べ、これらの課題を解決するソリューションが極めて重要であるとの見解を示した。さらに、他社EDR製品では深刻度の高いアラートが大量に発生し、誤検知も含まれるため、管理が困難な「ノイズレベル」にまで作業量が増大する問題があるものの、ウィズセキュアの製品は高い検知率を保ちつつ誤検知率が低く、効率的な管理が可能であると説明された。

　同社の「WithSecure Elements Cloud」は、統合プラットフォームのコアとして「Co-Security」を実現するための包括的サイバーセキュリティソリューションと位置づけられている。これは、エクスポージャーマネジメント、XDR （Extended Detection and Response）、そしてコアセキュリティサービスという3つの柱で構成される。エクスポージャーマネジメントは、脆弱性の可視化と管理を行い、事前にリスクを軽減する機能だ。NISTサイバーセキュリティフレームワークの「Identify」と「Protect」のフェーズに対応し、ビジネス、フロントエンドのアドオン、クラウド環境に対する脆弱性管理を行う。

　XDRは、高度な脅威の検知と迅速な対応を実現する。NISTフレームワークの「Detect」と「Respond」のフェーズに対応しており、専門家によるXDRが脅威を検知し自動対応を実行する。このXDRは、エンドポイント、ID、クラウド、そしてM365（コラボレーション）といった広範な環境を統合的に保護する。

　コ・セキュリティサービスは、インシデント発生時の迅速な復旧を支援する。ElevateやCo-Monitoring、MDR（Managed Detection and Response）など、顧客ニーズに応じた様々なモジュールが提供される。WithSecure Elements Cloudは、GDPR、NIS2、DORAなどヨーロッパの厳格な規制に完全に準拠しており、プロアクティブで自動化されたアプローチにより、攻撃の前、最中、後にわたるあらゆるフェーズで企業を守る。

「ガードマン」のEPP／「監視カメラ」のEDR連携で防御強化

　EPP（Endpoint Protection Platform）は建物を守るガードマンのように、セキュリティ基盤として侵入を未然に防ぐ役割を果たす。しかし、泥棒が裏口から侵入するような、EPPをすり抜ける攻撃に対しては、EPP単独では対処できない。ここで必要となるのがEDRだ。EDRは自宅に設置された監視カメラのように、サイバー環境で起きていることをリアルタイムで追跡し、状況を可視化する。ウィズセキュアのElements EDRとコアセキュリティサービスを組み合わせることで、24時間365日の監視と迅速な対応が可能となる。

　EPPとEDRはそれぞれ異なる役割を持つが、連携しないと効果的な脅威対策は難しいと神田氏は指摘した。EPPでブロックした情報をEDRで可視化したり、EDRが発見した結果を用いてEPPの防御ルールを一時的に強化したりと、「連携することでダイナミックにセキュリティへ対応可能となる」と述べた。

　また、IDセキュリティの重要性も強調された。近年の攻撃はエンドポイントではなくIDに焦点を移しており、ビジネスリソースにアクセスできる認証情報の取得が攻撃の起点となっている。ウィズセキュアのXDRはエンドポイント、メール、ID、クラウドアプリケーションまで統合的に監視し、IDを起点とした高度な攻撃を確実に検知できる。「当社のアイデンティティセキュリティは不正ログインやアカウント乗っ取りをリアルタイムで検知し、顧客の大切なデータを守る」と説明した。

　具体的には、すべてのログイン活動を一元的に監視し、普段と異なる怪しい攻撃パターンを素早く検知する。さらに、利用端末とクラウドサービスを連携させて攻撃の全体像を把握し、既に侵害された可能性のあるアカウントを特定して被害拡大前に対処できる。

専門家顔負けの「生成AIアシスタント」が分析をサポート

　ウィズセキュアのコ・セキュリティサービスである「WithSecure Elevate」と「WithSecure Co-Monitoring」についても詳細が語られた。Elevateは、EDRのオプションサービスで、EDRが検知した脅威アラートに対し、セキュリティアナリストによる解析サービスを提供する。ユーザー側でアラートが真の脅威か、誤検知かを判断できない場合、ウィズセキュアのアナリストが代わりに判断する。管理画面上のエスカレーションボタンを押すだけでサービスが開始され、アナリストとチャット形式でやり取りが可能だ。現状は英語での提供だが、今後日本語にも対応予定だ。

　Co-MonitoringもEDRのオプションサービスで、ウィズセキュアのアナリストが顧客の環境を24時間365日監視し、深刻なリスクが上がると調査を開始する。調査の結果、実際のエンドポイント攻撃であると判断された場合は、電話で情報提供と改善方法のアドバイスをする。顧客側での対応作業の質問にも並行してサポートする体制がある。このサービスにより、回復力の向上、混乱と予定外の出費の最小化、タイムリーなエスカレーションが可能となる。

　また、ウィズセキュアには生成AIアシスタント「WithSecure Luminen AI」もある。これはすべての製品に無料で提供され、セキュリティの専門家でなくとも検知した脅威をAIが分かりやすく解説し、対応方法を提案する。たとえば、ログインダッシュボードでセキュリティイベントの状況を確認する際に、Luminen AIのボタンを押せば、AIがイベントを要約して自然な言葉で説明する。EDRアラート確認画面でもLuminen AIによる分析を活用して、アラート内容の確認時間を短縮できる。

　講演の最後に、神田氏は、多様化・高度化する脅威とID攻撃の増加、そしてEDR運用における人材・費用・複雑性の課題を解決するために、統合的なXDRと、顧客のニーズに合わせて柔軟な製品・サービスを組み合わせる「Co-Security」の重要性を強調して講演を締めくくった。

東京・品川で初開催！「SPHERE2YOU Japan」お申込み受付中！

ウィズセキュアは、フラッグシップイベント「SPHERE2YOU Japan」（参加無料) を、2025年11月6日（木）に東京・品川にて日本初開催いたします。同イベントは、今後のセキュリティランドスケープと、企業が講じるべき次世代の対策について深く掘り下げる絶好の機会です。現代のセキュリティ脅威に対抗するための最新の知見とネットワーキングの機会をご提供いたします。イベントHPより参加登録（無料）を受付中です。

• 主なアジェンダ（抜粋）：CEO Antti Koskelaによるオープニング、WithSecureポートフォリオ・戦略（CPO登壇）、ゼロデイ脆弱性の検知、地政学とセキュリティ （駐日フィンランド大使）、 ゲストセッション 野村忠宏 氏（柔道家）、ネットワーキングランチ、展示会など