攻撃プロセスを分解して理解し、各フェーズでの対策とソリューションを検討する

侵入されても被害発生は防げる！ランサムウェア対策を「攻撃プロセス」から考える

2026年01月21日 14時45分更新

文● 大塚昭彦／TECH.ASCII.jp

　本特集の第1回記事で触れたとおり、ランサムウェア対策は大きく2段階、「攻撃を実行させないための予防対策」と「攻撃が実行されても被害を最小限に抑える事後対策」に分けて考えたほうがよい。そして、その両方の対策をバランス良く進めていくことが大切だ。

　今回の第2回記事では、前者の「攻撃を実行させないための予防対策」について、基本的な考え方や、具体的なソリューションについてご紹介したい。

基本戦略：ランサムウェアの「攻撃実行＝被害発生」までに食い止める

　サイバー攻撃、ランサムウェア攻撃が高度化した近年では、「攻撃を100％防ぐのは無理」と言われるようになった。通常、この言葉は「だからこそ、攻撃後の対策（事後対策）も同時に考えるべき」という文脈で使われるのだが、だからといって「事前の予防対策（事前対策）」を強化する必要がなくなったわけではない。

　ランサムウェア攻撃の予防対策を強化するためには、ここで「攻撃」という言葉でひとくくりにされているものを、細かく分解して考える必要がある。具体的には、攻撃者の視点から「ランサムウェア攻撃のプロセス（手順）」^※注を理解することだ。それにより、最終的な攻撃が実行されてビジネスへの実被害が出る前に、そのプロセスを“断ち切る”ことができるようになる。

※注：こうした一連のサイバー攻撃プロセスは「サイバーキルチェーン」と呼ばれる。

　ランサムウェア攻撃の場合、一般的には次のようなプロセスを経て、攻撃が成功することになる。

（1）企業内部ネットワークへの侵入
（2）偵察と内部端末の乗っ取り（管理者権限の奪取）
（3）内部での横展開、攻撃の拡大（ラテラルムーブメント）
（4）外部への情報送信（機密情報の窃取、漏洩）
（5）ランサムウェアの実行（システムやデータの暗号化）

　ここで理解しておきたいのは、ビジネスへの実被害が出るのは（4）や（5）の段階になってからという点だ。つまり（1）～（3）の段階で、攻撃者の動きを察知し、行動を封じ込めることができれば、ランサムウェア攻撃を失敗に追い込むことができ、防御側にとっては十分に有効な予防対策となる。

　特に、旧来のセキュリティ対策では（1）の「侵入を防ぐ」部分に力点が置かれがちだったが、これを100％防ぐことは難しくなっている。そうした理由から、（2）や（3）のフェーズにおける対策もあわせて検討すべきだ。

前へ 1 2 3 次へ

ツイートする

カテゴリートップへ