• 最近では、ランサムウェアの標的になるかどうかが問題ではなく、それを時間内に発見できるかどうかが問題になっています。
• 移動、データ盗難、そして復旧とダウンタイムによる数億円の損失につながる可能性があります。
• 先手を打つには、攻撃者のように考える必要があります。つまり、環境のあらゆる側面を検査して死角を探し、次の動きをはるかに先まで予測する必要があります。

2025年第1四半期には、ランサムウェア攻撃が46%急増しました（うわあ、驚）。一方、 2024年のランサムウェア攻撃の平均滞留時間は5日間でした。多くの攻撃が営業時間外に発生するため、防御側はAPT攻撃による深刻な被害が発生する前に対応できる時間が限られています。対応できる時間が短くなるにつれ、あらゆる業界でプレッシャーが高まっています。大企業でも中小企業でも、ランサムウェアは差別しません。おそらくそれがランサムウェアの唯一の長所であり、同時に残念な点でもあります。そして、標的が多様化するのと同様に、ランサムウェアの戦術はますます複雑化し、検知が困難になっています。

先月、シマンテックとCarbon Blackの脅威ハンターからなる精鋭チームが、特異なツールセットを用いたFogランサムウェアを発見しました。これは、金銭の脅迫を副業とする標的型スパイ活動の可能性を示唆しています（スパイ活動だけでも十分に悪質ですが）。こうした不可解な組み合わせや想定外の行動は、独自に連鎖した高度な戦術、技術、手順（TTP）が新たな標準になりつつあることを示しています。

そして、その影響は深刻です。6月には、 Qilinランサムウェア集団が約4万件の社会保障番号を流出させ、Lee Enterprisesの出版業務に支障をきたし、200万ドルの復旧費用と広範囲にわたる収益損失をもたらしました。

ランサムウェア対策には、 24時間体制の監視と検知が不可欠ですが、見えないものを保護することはできません。このチェックリストを活用することで、現在の可視性で何がわかるのか、そしてさらに重要な点として、何がわからないのかを把握できます。

攻撃者があなたに見過ごしてほしいと思っているものを見抜く7つの方法

今日の戦場では、脅威アクターが好んで利用するツール、人材、そして経路をより詳細に可視化する必要があります。まずはここから始めましょう。

1. 攻撃者が侵入する前にアイデンティティの可視性を高める

盗難された認証情報は、依然として侵害における最も一般的な初期アクセス経路であり、2024年には侵害の44%にランサムウェアが関与していました。しかし、アクセスパターンと認証情報の使用状況を早期に可視化することで、攻撃者が暗号化を開始する前に横方向の移動を阻止することができます。対策は以下のとおりです。

• 万能のソリューションに頼ることなく、コンプライアンスのニーズに合わせてポリシーベースのアクセス制御をカスタマイズします。
• 特権アカウント、MFA アクティビティ、ログイン異常を監視します。

2. エンドポイントの動作を観察する（実行されるものだけでなく）

エンドポイントはランサムウェアの温床です。アプリケーションやプロセスの動作を可視化できなければ、ランサムウェアは気づかれずに拡散する可能性があります。また、エンドポイントは環境の中で最も多様で管理が緩い部分であることが多く、見落とされた資産、時代遅れのシステム、一貫性のない管理体制が蔓延しているため、サイバー犯罪活動の温床となる可能性があります。

• 見落とされがちな資産を特定します。包括的なデータ損失防止（DLP）ソリューションと組み合わせることで、攻撃者が容易に隠れられる場所を排除できます。
• アプリケーションに監視と制御を適用して、信頼できるアプリケーションのみの実行を許可し、残りをブロックして攻撃対象領域を縮小します。

3. ネットワークを詳細に調査し、横方向の移動を早期に発見する

ランサムウェアがネットワーク内をどのように移動するかを把握できなければ、阻止することはできません。自問自答してみましょう。ラテラルムーブメントは完全に監視されているでしょうか、それとも境界部分のみでしょうか？

• 詳細な検査と高度な分析を使用して、エッジだけでなくセグメント間の脅威を明らかにします。
• ネットワーク全体にわたるリアルタイム検査を活用しましょう。セキュリティサービスエッジ（SSE）ソリューション（特にSWG、ZTNA、CASBと統合されたもの）は、ユーザー、アプリ、データフローのトラフィックを、ユーザーの所在地に関係なく監視することで、この課題を解決します。

4. クラウドワークロードやデータが存在するあらゆる場所に可視性を拡張

ランサムウェアは、データがどこに保存されていても、どこに移動されていても、あなたのデータを狙ってきます。クラウドを注意深く監視していなければ、アプリは攻撃の標的になりかねません。データ侵害の95%は人為的なミスが原因で、クラウドワークフローは特に脆弱です。

• アプリ、ユーザー、データの間で発生する危険なアクティビティを見逃さず、攻撃者が悪用する前に悪意のあるコンテンツや誤った構成をスキャンします。
• チームにDLPを導入して、機密資産とクラウドでホストされるアプリケーションを保護します。

5. （決して瞬きしない）タカのようにデータを監視する

データは宝物であることは誰もが知っています。ですから、目を離すのは良くありません。データがどのように動いているのか、誰がアクセスしているのか、そしてルール違反がないか、常に把握しておく必要があります。

• 転送中および保存中の機密データを追跡し、ポリシー違反やデータの流出を迅速に検出します。
• データを分類しておくことで、異常なデータアクセスのフラグ付けを簡素化し、ポリシーを適用して誤検知を削減できます。

6. コミュニケーションを監視するときは全体像を見る

電子メールは依然としてランサムウェアの主要な侵入口の 1 つであり、警告サインを 1 つ見逃すだけで悪意のある人物が侵入してしまいます。コミュニケーションのあらゆる層 (小さなものも含む) を可視化することで、最初のドミノ倒しを防ぐことができます。

• フィッシング、スプーフィング（認証を回避するエコースプーフィングを含む）、悪意のある添付ファイルを示唆する可能性のある異常なユーザー動作をスキャンします。
• 受信者が PGP、PDP、または S/MIME を使用していない場合でも、パスワードで保護された PDF または安全な Web ポータル配信を使用して、送信中のメッセージを暗号化します。

7. 攻撃者があなたに到達する前に先手を打つ

攻撃者は、過去の防御を突破するために、常にプレイブックを更新しています。最新の戦術を常に把握しておくことで、攻撃のキルチェーン全体をより正確に把握し、エスカレートする前に攻撃を阻止することができます。

• LOTL (Living Off The Land) テクニック(あらゆる悪人が好んで使うもの)を組み込んだツールをどのように使用しているかを追跡します。
• 攻撃パターンを観察して次の動きを予測します。
• Symantec と Carbon Black Threat Huntersが提供する最新かつ最高の脅威インテリジェンスに従ってください。

私たちは最も厳しい試練に立ち向かいます。

シマンテックとCarbon Blackの統合ポートフォリオは、実戦でテストされ、実証されています。NewsweekとStatistaによって2025年のアメリカのベストサイバーセキュリティ企業の1つに選ばれた当社は、実社会、つまり最も重要な場面において競合他社を凌駕する、実証済みで実績のあるソリューションを提供しています。

弊社の受賞歴のあるソリューションは、その価値を証明しています。

• Symantec と Carbon Black の定評あるエンドポイント保護は、 556 のランサムウェアペイロードの 100% 検出と攻撃チェーンの完全な可視性により、SE Lab の最高 AAA 評価を獲得しました。
• Symantec DLP の高度なコンテンツ検出、シームレスな統合、強力な API により、同社は数々の賞賛を受けており、その中には、2025 IDC MarketScapeのワールドワイド DLP部門におけるリーダー部門への位置付けや、 Radicati Group の Data Loss Prevention - Market Quadrant 2025におけるトップ プレイヤーとしての評価も含まれています。
• 受賞歴のあるGoogle とのパートナーシップにより、競合ソリューションの100 倍の帯域幅の SSEが実現します。

結論として、組織には信頼できる可視性が必要です。敵の次の4、5の動きを100%の確信をもって予測できる初のAI搭載ツール、インシデント予測の最新情報を、このウェビナーで詳しくご覧ください。