ランサムウェアを防ぐための侵入対策とサイバーレジリエンス 第2回
攻撃プロセスを分解して理解し、各フェーズでの対策とソリューションを検討する
侵入されても被害発生は防げる! ランサムウェア対策を「攻撃プロセス」から考える
2026年01月21日 14時45分更新
本特集の第1回記事で触れたとおり、ランサムウェア対策は大きく2段階、「攻撃を実行させないための予防対策」と「攻撃が実行されても被害を最小限に抑える事後対策」に分けて考えたほうがよい。そして、その両方の対策をバランス良く進めていくことが大切だ。
今回の第2回記事では、前者の「攻撃を実行させないための予防対策」について、基本的な考え方や、具体的なソリューションについてご紹介したい。
基本戦略:ランサムウェアの「攻撃実行=被害発生」までに食い止める
サイバー攻撃、ランサムウェア攻撃が高度化した近年では、「攻撃を100%防ぐのは無理」と言われるようになった。通常、この言葉は「だからこそ、攻撃後の対策(事後対策)も同時に考えるべき」という文脈で使われるのだが、だからといって「事前の予防対策(事前対策)」を強化する必要がなくなったわけではない。
ランサムウェア攻撃の予防対策を強化するためには、ここで「攻撃」という言葉でひとくくりにされているものを、細かく分解して考える必要がある。具体的には、攻撃者の視点から「ランサムウェア攻撃のプロセス(手順)」 ※注を理解することだ。それにより、最終的な攻撃が実行されてビジネスへの実被害が出る前に、そのプロセスを“断ち切る”ことができるようになる。
※注:こうした一連のサイバー攻撃プロセスは「サイバーキルチェーン」と呼ばれる。
ランサムウェア攻撃の場合、一般的には次のようなプロセスを経て、攻撃が成功することになる。
(1)企業内部ネットワークへの侵入
(2)偵察と内部端末の乗っ取り(管理者権限の奪取)
(3)内部での横展開、攻撃の拡大(ラテラルムーブメント)
(4)外部への情報送信(機密情報の窃取、漏洩)
(5)ランサムウェアの実行(システムやデータの暗号化)
ここで理解しておきたいのは、ビジネスへの実被害が出るのは(4)や(5)の段階になってからという点だ。つまり(1)~(3)の段階で、攻撃者の動きを察知し、行動を封じ込めることができれば、ランサムウェア攻撃を失敗に追い込むことができ、防御側にとっては十分に有効な予防対策となる。
特に、旧来のセキュリティ対策では(1)の「侵入を防ぐ」部分に力点が置かれがちだったが、これを100%防ぐことは難しくなっている。そうした理由から、(2)や(3)のフェーズにおける対策もあわせて検討すべきだ。
