はじめに
これまでの記事では、ファイルサーバーの保護を中心に対策を扱ってきました。しかし現代のランサムウェアが狙う対象は、ファイルサーバーにとどまりません。仮想化基盤、データベース、Active Directory、そして復旧の頼みであるバックアップ基盤まで、標的は広がっています。攻撃の影響範囲を正しく見積もり、適切に守るには、「何が、どのように狙われるのか」を理解しておくことが役立ちます。
本記事は、防御の観点からランサムウェアの攻撃対象と暗号化の仕組みを整理します。攻撃を再現するための手順ではなく、守るための理解を目的とします。全体像は『ランサムウェア対策の基本と全体像』を、ファイルサーバー保護の具体策は『ファイルサーバー保護の基礎』をあわせて参照してください。
- ランサムウェアが狙うシステムの広がり(仮想化基盤・DB・AD・バックアップなど)
- 侵入から暗号化までのおおまかな流れ
- 暗号化の仕組み(ハイブリッド暗号や部分暗号化)の概念
- 仕組みから導かれる防御の勘所
結論を先に述べると、標的はファイルサーバーから仮想化基盤やデータベース、Active Directory、バックアップ基盤へと広がっています。攻撃者は復旧経路であるバックアップを先に無力化し、影響範囲の大きい層を一括で暗号化して被害を最大化しようとします。この「復旧経路を断ってから一括で暗号化する」流れを理解すると、なぜ不変バックアップの隔離・権限分離・検知が効くのかが見えてきます。
ランサムウェアが狙うシステムの広がり
かつては Windows 端末やファイルサーバーが中心でしたが、現在は影響範囲の大きいインフラ層が積極的に狙われています。代表的な対象を順に見ていきます。
ファイルサーバー・NAS(前提のおさらい)
共有フォルダを一括で暗号化する、もっとも典型的な標的です。NAS も例外ではなく、後述のとおり NAS 向けのロッカーを持つ攻撃も確認されています。保護の具体策は、関連記事『ファイルサーバー保護の基礎』『Synology・QNAP の不変スナップショット』を参照してください。
仮想化基盤(ESXi・vCenter)— 一括暗号化と EDR の死角
近年とくに狙われているのが、VMware ESXi や vCenter といった仮想化基盤です。ハイパーバイザーの管理権限を奪われると、その上で動く多数の仮想マシンをまとめて暗号化されてしまいます。さらに、ハイパーバイザー層は従来のエンドポイント対策(EDR)からの可視性が低く、検知をすり抜けやすい点も狙われる理由です。実際、悪意ある暗号化に占めるハイパーバイザーの割合は、2025 年に上半期の 3% から下半期の 25% へと急増したと報告されています。攻撃者は、Active Directory 連携の弱点や認証情報の悪用を通じて、管理権限の奪取を試みます。
参考: Microsoft Security Blog「Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption」
“Encrypting an ESXi hypervisor file system allows one-click mass encryption”
(ESXi ハイパーバイザーのファイルシステムを暗号化すると、ワンクリックでの一括暗号化が可能になる)
https://www.microsoft.com/en-us/security/blog/2024/07/29/ransomware-operators-exploit-esxi-hypervisor-vulnerability-for-mass-encryption/
データベースサーバー(Exchange・業務データベースなど)
データベースサーバーも標的です。業務データベースのファイルや、Exchange のデータベース(.edb)、仮想ディスク(.vhd)などが暗号化されると、基幹業務やメールが止まり、事業への影響が直接的になります。
Web・アプリケーションサーバーと機密情報を持つサーバー
インターネットに公開された Web・アプリケーションサーバーは、初期侵入の入口になりやすい一方、暗号化の対象にもなります。また、個人情報や設計情報などの機密データを持つサーバーは、暗号化に先立って中身を盗み出す対象になります。これは、後述する「データを暗号化したうえで、支払わなければ公開すると脅す」二重恐喝につながります。
Active Directory とバックアップ基盤(横展開の起点・復旧経路の破壊)
Active Directory は、攻撃者が組織内で横展開するための起点になりやすい中枢です。ドメイン管理者の権限を奪われると、そこを足がかりに各システムへ被害が広がります。
そして見落とせないのが、バックアップ基盤が狙われる点です。攻撃者は暗号化の前に、バックアップの削除や、バックアップ管理アカウント・グループの悪用によって復旧手段を奪おうとします。「戻せなくしてから暗号化する」のが常套手段であり、これがバックアップを本番から隔離し、不変化しておくことの重要性につながります。
Windows 以外への拡大(Linux・ESXi・NAS 向けロッカー)
従来は Windows 中心でしたが、近年は Linux・ESXi・NAS・BSD など複数のプラットフォーム向けのロッカー(暗号化モジュール)を併せ持ち、環境全体を一度に暗号化しようとするグループが確認されています。バックアップサーバーやファイルストレージ、VM 基盤まで同時に暗号化されると、Windows だけを守る発想では復旧経路が残りません。解析を困難にする目的で Rust などで実装された亜種も登場しています。
攻撃の流れ: 侵入から暗号化まで
暗号化は、攻撃の最終段階にすぎません。そこに至るまでに、攻撃者はいくつかの段階を踏みます。流れを理解すると、各段階のどこで止められるかが見えてきます。
おおまかな段階は次のとおりです。
公開された VPN やリモートデスクトップ、エッジ機器の脆弱性、フィッシング、IT ヘルプデスクへのソーシャルエンジニアリング、初期アクセスブローカーから購入した認証情報など、複数の入口が使われます。
侵入後、ローカルやドメインの権限を引き上げます。
Active Directory を起点に、他のサーバーや仮想化基盤、バックアップ基盤へと到達範囲を広げます。
暗号化に先立って、機密データを外部へ持ち出します。これが二重恐喝の材料になります。
バックアップやシャドウコピーを削除・無効化し、被害者が自力で戻せないようにします。
影響範囲の大きい層(仮想化基盤など)で一括暗号化し、身代金要求のメッセージ(ランサムノート)を残します。
参考: Google Cloud(Mandiant)「Defending Your VMware vSphere Estate from UNC3944」
“Before deploying ransomware, the actor ensures their target cannot recover”
(攻撃者はランサムウェアを展開する前に、標的が復旧できない状態を作る)
https://cloud.google.com/blog/topics/threat-intelligence/defending-vsphere-from-unc3944
この流れを裏返すと、防御の打ち手が段階ごとに対応します。入口対策(多要素認証・パッチ・公開範囲の最小化)、横展開対策(ネットワーク分離・権限分離・Active Directory の保護)、窃取の検知、そして復旧経路を守るためのバックアップの隔離と不変化です。一連の対策がなぜ必要かは、この段階構造から導けます。
暗号化の仕組み(概念)
「暗号化されると、なぜ自力で戻せなくなるのか」を概念で理解しておくと、対策の優先順位が腑に落ちます。
ハイブリッド暗号:対称鍵(高速)と公開鍵(鍵の保護)
大量のファイルを短時間で暗号化するには、処理が速い対称鍵暗号(AES や ChaCha20 など)が向いています。ただし、対称鍵がそのまま被害者の環境に残っていると、復号されてしまいます。そこで攻撃者は、ファイルを暗号化した対称鍵を、自分の公開鍵(RSA や楕円曲線暗号など)でさらに暗号化して保護します。実データは対称鍵で高速に、その対称鍵は公開鍵で守る、という二段構えがハイブリッド暗号です。
なぜ復号に攻撃者の秘密鍵が必要になるのか
ファイルを復号するには対称鍵が必要ですが、その対称鍵は攻撃者の公開鍵で暗号化されています。これを取り出すには、対応する攻撃者の秘密鍵が要ります。秘密鍵は攻撃者しか持たないため、被害者は自力で復号できない、という構造になります。これが身代金要求の成立条件です。「暗号化されたら自力では戻せない」前提に立つと、暗号化されていない不変バックアップを別に持っておくことが、現実的な備えの中心になることが分かります。
部分・間欠暗号化(速度と検知回避)
近年は、ファイル全体ではなく一部だけを暗号化する手法も使われます。暗号化にかかる時間を短縮しつつ、ファイルを使用不能にできるため、大容量環境での高速化と、I/O の振る舞いからの検知回避を同時に狙えます。これは、防御側の振る舞い検知も部分暗号化を想定する必要があることを意味し、ストレージ層での検知『ストレージ層で検知する AI ランサムウェア対策』の意義にもつながります。
仕組みから導く防御の勘所
ここまで見てきた攻撃対象・攻撃の流れ・暗号化の仕組みから、効く対策を整理します。いずれも、これまでのシリーズで扱ってきた対策に対応します。
不変バックアップと復旧経路の保護
攻撃者は暗号化の前にバックアップを無力化しようとします。だからこそ、バックアップを本番から隔離し、不変化(WORM や Object Lock)しておくことが要になります。バックアップ基盤を Active Directory に参加させず、別アカウント・別系統で管理すると、認証情報の侵害が復旧経路へ波及しにくくなります。具体的な設計は、関連記事『比較記事』や各構成例、『ファイルサーバー保護の基礎』を参照してください。
参考: Huntress「Hardening the Hypervisor」
“Use immutable backup repositories or snapshots so once written they cannot be modified”
(いったん書き込んだら変更できないよう、不変のバックアップリポジトリやスナップショットを使う)
https://www.huntress.com/blog/hypervisor-defenses-against-ransomware-targeting-esxi
仮想化基盤・Active Directory の保護(権限分離・MFA・監視)
仮想化基盤は影響範囲が大きいため、保護の優先度が高い層です。ESXi や vCenter の管理を本番ドメインから分離し、専用のローカルアカウントを使う、管理ネットワークを分離する、パッチを適用する、多要素認証を導入する、といった対策が有効です。ハイパーバイザーのログを SIEM へ転送し、SSH の有効化やロックダウン解除などの予兆を監視しておくと、暗号化前に気づける可能性が高まります。
Active Directory は横展開の起点になりやすいため、管理権限を階層化(ティア分け)し、特権アカウントを保護し、重要なグループの変更を監視することをおすすめします。
検知と最小権限
ハイパーバイザー層は EDR の可視性が低い死角になりやすいため、ストレージやハイパーバイザーのログ監視、振る舞い検知で補います。部分暗号化を前提に、I/O の異常を捉える仕組みも検討に値します(『ストレージ層で検知する AI ランサムウェア対策』)あわせて、最小権限と認証情報の保護によって、侵入されても被害が広がる範囲を抑えておくことが、全体の被害を小さくします。
まとめ
ランサムウェアの標的は、ファイルサーバーから仮想化基盤・データベース・Active Directory・バックアップ基盤へと広がっています。攻撃者は復旧経路を断ってから、影響範囲の大きい層を一括で暗号化します。暗号化はハイブリッド暗号によって自力での復号が困難なため、暗号化されていない不変バックアップを別系統に確保しておくことが、現実的な備えの中心になります。
- 標的はファイルサーバーから仮想化基盤・DB・AD へ広がる
- ESXi などの一括暗号化は EDR の死角を突く
- 攻撃者は暗号化前にデータ窃取とバックアップ破壊を行う
- ハイブリッド暗号により自力での復号は難しい
- 部分暗号化は速度と検知回避を狙う
- 不変バックアップを別系統に隔離して守る
- 仮想化基盤・AD の権限分離と監視が効く
以上、最後までお読みいただきありがとうございました。
