インシデントの備えから復旧までを“顧問サービス”として提供

ランサム攻撃者との“引き延ばし交渉”も代行　パロアルトネットワークスの脅威対応サービスが本格始動

2026年01月19日 09時45分更新

文● 福澤陽介／TECH.ASCII.jp

ランサムウェア攻撃者との交渉代行やパープルチーム演習まで提供

　サービスのベースとなるのが、顧問契約のような形で提供される「Unit 42 Retainer」である。事前購入したクレジットを消費するかたちで、平時はプロアクティブなコンサルティングサービスによりインシデントに対する備えを強化し、攻撃発生時にはインシデントレスポンスへの支援を迅速に受けられる。

　脅威ハンティングとディテクション＆レスポンスのマネージドサービスは、個別提供のみとなる。

Unit 42で提供する各種サービス（オレンジ丸がUnit 42 Retainerで提供）

　インシデントレスポンスでは最初に、インシデントの範囲や深刻度によってクレジット数が見積もられる。その後、IoC（侵害痕跡）やTTP（戦術・技術・手順）を調査して、封じ込めと監視を進めていく。最終的には報告書や追加対策のガイダンスを提供して、インシデント前よりセキュリティを高めるところまでサポートする。

　佐々木氏と共にインシデントレスポンスチームに所属する田中氏は、「これらは、攻撃者がどういう時期に、どういうターゲットに、どういう攻撃を仕掛けるかというUnit 42の脅威インテリジェンスに基づいて手掛ける」と改めて強調した。

パロアルトネットワークス Unit 42 プリンシパルコンサルタント田中啓介氏

　ここ数年、猛威を振るい続けるランサムウェアに対しては、復旧支援だけではなく「攻撃者との交渉代行」も提供する。あくまで「時間稼ぎ」を目標に、被害組織の一員となって交渉するサービスだ。「身代金を払う意思をあえて見せたりすることで、支払い期限を伸ばし、それまでのデータ公開を防ぐ」と田中氏。

　これにより、セキュリティの見直しやプレスリリースの発表、サプライチェーンへの連絡などに必要な猶予を確保できるほか、攻撃者とのやりとりから侵入手法などを引き出せる可能性もある。また、パロアルトネットワークスの実データによると、交渉によって身代金は減額できる（中央値で46%減額）傾向があり、高額の要求ほどそれが顕著だという。

　交渉代行は、FBIで誘拐事件を担当していたメンバーが、その知見をサイバー攻撃に反映する形で開発したサービスであり、日本企業が利用したケースもあるという。

ランサムウェア攻撃者との交渉代行サービス

　リスク対策のコンサルティングでは、攻撃的・防御的セキュリティの両面でサービスが提供される。防御的ではアセスメントサービスが充実しており、「クラウドセキュリティアセスメント」では、同社のCNAPP（クラウドネイティブアプリケーション保護プラットフォーム）である「Prisma Cloud」を利用して、設定のミスや不審な検知を収集し、その結果を踏まえて改善計画を支援する。

　攻撃的セキュリティでは、パープルチーム演習などを提供する。Unit 42のレッドチームが疑似攻撃を仕掛け、Unit 42もしくは顧客のブルーチームがそれに対応するという一連のシミュレーションを通じて、セキュリティレベルを高められる。