ESET/サイバーセキュリティ情報局

ランサムウェアは暗号化だけでは終わらない 企業を追い詰める「リークサイト」の実態

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「リークサイトでの情報暴露と圧力強化で企業を追い詰めるランサムウェアの手口」を再編集したものです。

 企業のデータがリークサイトに晒されると、情報が一気に拡散し、報道が落ち着いた後も影響は長く尾を引く。本記事では、ランサムウェア攻撃におけるリークサイトの役割と、標的となり得る企業が備えるべき対策のポイントを解説する。

 サイバー犯罪の世界で唯一変わらないのは、「常に変化し続けること」である。インターネット経由の恐喝は大きな影響力を持ち、特に深刻な被害をもたらすランサムウェアは、不正な暗号化にとどまらない特徴を持つ。かつてのランサムウェアは、ファイルやシステムを暗号化し、復号キーと引き換えに金銭を要求する手口が中心だった。しかし近年では、暗号化に加えてデータを窃取し、情報の公開をちらつかせて脅迫する複合的な手法へと移行している。

 こうした攻撃で用いられるのが、いわゆるデータリークサイト(DLS)である。2019年後半に初めて確認されて以降、DLSは二重恐喝型ランサムウェアの中核的な存在となった。攻撃者は企業データを暗号化する前に窃取し、それを公開の脅し材料として利用する。その結果、単なるセキュリティインシデントが、情報公開によって社会的な問題へと拡大してしまう。

 もちろん、セキュリティ業界や捜査機関は、この変化への対応を何年も前から進めてきている。現在、FBI(米国連邦捜査局)やCISA(米国サイバーセキュリティ社会基盤安全保障庁)は、ランサムウェアを「データ窃取と恐喝」を伴う攻撃として位置付けている。Ransomware.liveのような公開追跡プロジェクトも同様の認識を示している。ただし、被害者数の把握には注意が必要だ。リークサイトに掲載されるのは、攻撃者が公開することを選択したケースに限られており、実際に発生したすべてのインシデントを網羅しているわけではない。

 以下では、ランサムウェア攻撃におけるリークサイトの役割と、企業が取るべき対策を整理する。

ランサムウェアグループが悪用するリークサイトとは

 先述したリークサイトはダークウェブ上で運営され、Torネットワーク経由でアクセスされる。そこでは、盗み出したデータの一部が公開され、身代金が支払われなければ残りのデータも公開すると被害企業を脅迫する。被害企業が支払いを拒否した場合には、実際にデータを公開し、圧力をさらに強めることもある。被害企業に関する情報や盗まれたデータの規模、そして逃れられないものと感じさせる期限設定まで、すべてが攻撃者の戦略の一部となっている。

図1:ecrime.chを通じて収集した、リークサイト上で公開された被害企業の数
(出典:ESET脅威レポート 2025年下半期版

 こうした戦略が壊滅的なのは、そのスピードと拡散力にある。ひとたびインシデントが明るみに出ると、複数のリスクが一気に表面化し、被害企業は強い疑念と不確実性の中で対応を迫られる。しかも多くの場合、IT部門やセキュリティ担当者が、何が盗まれ、不正侵入がどこまで広がったのかをまだ把握しきれていない段階で事態が進行してしまう。まさにそれこそが攻撃者の狙いである。データリークサイトは、強制力を持つ脅迫ツールなのだ。

 こうした理由から、攻撃者はリークサイトに掲載する内容を慎重に選別している。攻撃者は、はったりではないことを示すために、契約書やメールの一部など、必要最低限のデータだけを公開する。そして、被害企業が要求に応じなければ、さらに多くのデータを公開すると脅すのだ。

 実際、被害は最初の標的企業だけで終わることはほとんどない。一度公開されたり転売されたりすると、それは二次被害の燃料となり、フィッシングキットビジネスメール詐欺(BEC)、なりすまし犯罪などに再利用されている。サプライチェーン型のインシデントでは、1件の被害が連鎖的に広がり、被害企業の顧客や取引先にまで影響が及ぶこともある。こうした連鎖的な影響が生じるため、当局はランサムウェアを個別事案の集まりではなく、システム全体に波及するリスクとして認識している。

図2:ランサムウェアLockBitのリークサイトの例(出典:ESETリサーチ

図3:ランサムウェアMedusaのリークサイト

設計段階から組み込まれた圧力

 リークサイトのあらゆる要素は、被害企業に最大限の心理的圧力を与えるよう巧妙に設計されている。

・不正アクセスの証拠:攻撃者は、契約書や社内メールなどのデータを公開し、不正侵入が実際に行われた事実を示す。これにより、脅威が現実のものであると認識させる。

・緊急性:タイマーやカウントダウンを表示し、時間的猶予がないと感じさせる。切迫した状況での意思決定は、攻撃側に有利に働きやすい。

・風評被害:盗まれたデータが実際に公開されなかった場合でも、情報漏えいの疑いが報じられることで、長期間にわたり企業の評判・信用が損なわれる可能性がある。

・規制対応リスク:GDPRやHIPAA、さらには米国で拡大が続く州レベルのプライバシー法などの枠組みでは、個人情報を含む漏えいが確認された場合には、開示義務や調査、罰金を含めた制裁措置が発生する可能性がある。

図4:World Leaksリークサイト

恐喝だけにとどまらない脅威

 一部のRaaS(ランサムウェア・アズ・ア・サービス)運営者は、リークサイトの公開にとどまらず、より広範な活動を展開している。LockBitは2024年初頭にインフラを法執行機関に押収されるまで、リークサイト上でバグバウンティプログラムを実施していた。このプログラムでは、脆弱性を発見したエンジニアに報奨金が支払われた。

 また別のグループは、企業内部の協力者を募り、ログイン認証情報の提供やセキュリティ統制の弱体化に協力する従業員に報酬を提示していたことが確認されている。さらに、攻撃者が「アフィリエイト・プログラム」を宣伝し、収益分配の仕組みや応募方法を説明するなど、新たな攻撃者を取り込むための場としても機能している。

図5:LockBitが2022年に公開したバグバウンティプログラム(出典:Analyst1

リークサイトの全体像

 リークサイトが脅威となる理由は、技術面にとどまらない企業の脆弱性を同時に突く点にある。情報漏えいの疑いが生じるだけで、複数のリスクが顕在化する。例えば、風評被害、顧客や取引先からの信頼低下、金銭的損失、規制当局からの制裁、訴訟リスクなどが挙げられる。

 さらにランサムウェアグループは、盗んだデータを販売することで盗難データの取引市場を活性化させ、二次攻撃を誘発する。中には、暗号化をまったく行わず、データを盗み公開を脅すだけグループも確認されている。

 一方、被害企業は十分な検討時間もないまま、重大な判断を迫られる。そして、攻撃によって漏えいした個人情報の当事者は、長期間にわたりアカウント乗っ取りやなりすまし被害などへの対応を余儀なくされる。

図6:2025年上半期・下半期における7日移動平均線を用いたランサムウェア検知のトレンド
(出典:ESET脅威レポート 2025年下半期版

 こうした状況を前にすると、身代金の支払いが比較的容易な解決策に見えるかもしれない。しかし、実際にはそうではない。支払っても、ファイルやシステムが確実に復旧する保証はなく、盗まれたデータが非公開のまま保持される保証もないのだ。実際、支払いに応じたにもかかわらず、数カ月以内に再び攻撃を受けた企業も少なくない。そして、支払われた金銭は、次の攻撃の資金源となってしまう。

 企業にとって、ランサムウェアの脅威に対抗するには、包括的な防御体制が不可欠である。以下に、主要な対策を解説する。

EDRXDRMDRを備えた高度なセキュリティソリューションを導入する。不正なプロセス実行や横展開(ラテラルムーブメント)などの異常な挙動を監視し、攻撃の進行を早期に阻止する。実際、これらの製品は攻撃者にとって大きな障害となっており、「EDRキラー」と呼ばれる手法を使って、脆弱なドライバーを悪用しながらセキュリティ製品を停止・クラッシュさせようとする事例も増えている。

・厳格なアクセス制御により横展開を抑止する。ゼロトラストの原則に基づき、あらゆる接続元を信頼しない前提で、企業のセキュリティ対策を設計する必要がある。攻撃者は、漏えいした認証情報を悪用し、リモートデスクトップ経由で侵入するケースも報告されている。

・すべてのソフトウェアを常に最新状態に保つ。ランサムウェア攻撃は、既知の脆弱性を起点に侵入する場合が多い。

・バックアップは物理的に隔離された環境に保管する。ランサムウェアは機密情報を見つけ出し、暗号化することを主な目的とする。身代金を支払っても被害が拡大する可能性があり、復号処理の不具合によってデータが完全に失われるリスクもある。堅牢なバックアップとランサムウェア復旧対応能力は、被害の軽減に有効である。

・最新の状況に対応したセキュリティ研修を実施し、従業員教育を強化する。不審なメールを早期に見抜ける従業員がいれば、ランサムウェアの主要な侵入経路の遮断につながる。結果として、企業全体のリスクを大幅に低減できる。

 RaaS(ランサムウェア・アズ・ア・サービス)の普及により、多様な犯罪者が参入し、ランサムウェアは進化と適応を続けている。こうした脅威は長期的に活動を継続できる柔軟性を持つようになっており、今後も形を変えながら悪用される可能性が高い。攻撃者が、盗んだデータを「確実に金銭に換えられる仕組み」が存在する限り、ランサムウェアは犯罪者にとって魅力的な収益モデルであり続けるだろう。

[引用・出典元]
Naming and shaming: How ransomware groups tighten the screws on victims
by Guilherme Arruda 12 Feb 2026
https://www.welivesecurity.com/en/ransomware/naming-shaming-ransomware-groups-tighten-screws-victims/

本記事はアフィリエイトプログラムによる収益を得ている場合があります