--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [セキュリティ投資の盲点「防御ツール無効化」の脅威--国内被害に見るEDR/EPP不全の教訓](https://japan.zdnet.com/article/35241858/)【ZDNET JAPAN】(2025年12月26日) --- > [!NOTE] この記事の要約（箇条書き） - 2025年の日本で大規模なランサムウェア被害が発生し、高額なセキュリティ投資が無駄になる事態が指摘された。 - 攻撃者は防御ツールを「突破」するのではなく、「無効化」する新たな手法を用いる。正規の認証情報で侵入後、EDR/EPPなどを停止・アンインストールする。 - この「防御の無効化」はAkira、LockBit 3.0/Greenなどの主要なランサムウェアグループの標準戦術となっている。 - Absolute Softwareの調査では、平常時でもEDR/EPPが平均23%の時間、正常に機能していない「見えないリスク」がある。 - 大規模環境での手動監視は困難であり、米国国立標準技術研究所（NIST）フレームワークも資産の継続的な監視・維持を求めている。 - セキュリティ投資を有効にするためには、防御ツールの継続的な稼働を担保し、自動的に復旧させる「レジリエンス」の仕組みが不可欠である。 > [!NOTE] 要約おわり --- - - [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35241858%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35241858%2F&hashtags=ZDNET) - - 印刷する - - メールで送る - テキスト - HTML - 電子書籍 - PDF - - ダウンロード - テキスト - 電子書籍 - PDF - - クリップした記事をMyページから読むことができます 　2025年、日本国内で相次いで発生した大規模ランサムウェア被害。万全 security 対策を講じていたはずの企業が、なぜ壊滅的な被害を受けたのか。その答えは、攻撃者が防御を「突破」するのではなく「無効化」する新たな手法にありました。本稿では、実際のインシデント分析から見えてきた「防御ツールが機能しない23％の時間」という衝撃的な実態と、IT投資を守るために必要な新たな視点を提示します。 ## 1\. 日本企業を襲った「見えない攻撃」の実態 　2025年秋、日本のビジネス界に衝撃が走りました。大手企業がランサムウェア攻撃を受け、ビジネスに大きな影響を与えています。そのビジネスへ与える大きな影響力から、サイバー攻撃、ランサムウェアという言葉はIT関係者以外からも関心度が高い話題となっています。 　しかし、このような被害が報告されたのは今回がはじめてではありません。これらの被害から企業を守るためサイバーセキュリティへの投資は増加の一途をたどっています。EDR（Endpoint Detection and Response）やEPP（Endpoint Protection Platform）などの高度な防御ツールを導入し、多層防御を構築している企業も少なくありません。 　しかし、これらの高額な投資が攻撃の瞬間に機能しなければ、全てが無駄になってしまうという現実があります。 ## 2\. 攻撃成功のカギは「防御の無効化」 　最近、ある企業がランサムウェア攻撃により深刻な被害を受けました。基幹システムが全面停止し、データが暗号化され、外部への情報流出も発生. 業務は完全にストップし、復旧には多大な時間とコストを要しました。 　この事例で特に注目すべきは、攻撃の成功要因です。攻撃者は最初から防御を突破したわけではありませんでした。正規の認証情報を使って侵入した後、検知される前に防御ツールそのものを無効化したのです。 ### 第1段階：初期侵入 　攻撃者は業務委託先のアカウントを悪用し、正規の認証情報を使って侵入。仮想私設網（VPN）やリモートデスクトップなど、正規のアクセス経路を通じたため、初期段階では異常として検知されにくい状態でした。 ### 第2段階：偵察活動 　ネットワーク内部で数週間にわたり潜伏。この間、攻撃者は組織のネットワーク構造を把握し、重要なサーバーや管理者権限を持つアカウントを特定しました。 ### 第3段階：防御の無効化【重要】 　攻撃者はEDRやEPPなどのセキュリティソフトウェアを強制停止またはアンインストール。管理者権限を悪用し、セキュリティツールのプロセスを終了させ、サービスを無効化したのです。 ### 第4段階：横展開と破壊 　防御機能が停止した状態で、攻撃者は複数のサーバーに侵入を拡大。バックアップサーバーを含む全システムを一斉に暗号化し、身代金要求メッセージを残しました。 　この攻撃で最も重要なのは、第3段階の「防御の無効化」です。いくら高額なセキュリティツールを導入していても、それが動作していなければ何の意味もありません。攻撃者はこの単純な事実を突いたのです。 ## 3\. 業界全体で標準化する「EDR無効化」手法 　この手法は決して特殊なケースではありません。世界の主要なランサムウェアグループの多くが、攻撃チェーンの標準プロセスとして「セキュリティツール無効化」を組み込んでいます。 - Akiraグループ：EDRが導入されていない機器（unmanaged device）から侵入し、BYOVD（Bring Your Own Vulnerable Driver）手法でEDRプロセスを停止 - LockBit 3.0/Green：専用の無効化ツールを開発・配布し、グループポリシー（GPO）を悪用して、ドメイン全体に一斉展開 - DragonForce：改変された「Terminator」ツールで主要なEDR製品を無効化 - Qilinグループ：Active DirectoryのGPOを悪用し、EPPの設定を無効化 　これらは全て、「防御ツールが動作していなければ、どれほど高額なセキュリティ投資も無意味になる」という攻撃者の認識に基づいています。 [PAGE 2](https://japan.zdnet.com/article/35241858/2/) ## 4\. データが示す「見えないリスク」の実態 　さらに衝撃的なのは、攻撃時だけでなく平常時においても、防御ツールが正常に動作していないケースが多いという事実です。 　Absolute Softwareの「Resilience Risk Index 2025」によると、 - EPP/EDR全体で平均23%の時間、機能が正常に動作していない - カバー率の低いツールでは60%もの時間、ポリシーに準拠していない状態 - カバー率が高いツールでも、約11%の時間しか完全には機能していない 「非準拠」状態の具体例 - アプリケーションが存在しない、またはバージョンが古い - サービスやプロセスが停止している - ファイルが改ざんされている、または署名が無効になっている 　管理コンソール上では「導入済み」「稼働中」と表示されていても、実際のエンドポイントでは防御機能が停止している――この「見えないリスク」こそが、攻撃成功の温床となっているのです。 ## 5\. 大規模環境における運用課題 　前述の被害企業の事後報告書でも、「対策を適用すべきPC・サーバーの台数が多かった」ことが被害拡大の要因として挙げられています。 　数千、数万台のエンドポイント全てで、セキュリティツールが正常に動作しているかを人手で確認することは現実的ではありません。特に以下のような課題があります。これらの課題は、自動的な稼働監視と復旧の仕組みが必要になります。 ## 6\. NISTフレームワークも求める「継続的な監視」 　この考え方は、決して新しいものではありません。米国国立標準技術研究所（NIST）のサイバーセキュリティフレームワークでも、「検知能力強化（AU-2）」として「資産の整合性監視の強化」が重要な要件として位置づけられています。 　組織が定めた重要なアプリケーションが「あるべき状態」であることを常時監視・維持することは、国際的なセキュリティ標準においても求められているのです。今後のセキュリティ戦略においては、以下の取り組みが重要です。 - 短期: 防御ツールの継続的な稼働を担保する仕組みの導入 - 中期: 監視・復旧プロセスの自動化と運用効率化 - 長期: セキュリティ対策の継続的アップデートとガバナンスの徹底 　このようなロードマップで、防御策の「持続性」と「耐性」に投資することが、未来の攻撃に対する最良の備えとなります。 ## まとめ：投資を無駄にしないために 　日本企業のランサムウェア被害から学ぶべき教訓は明確です。 1. 攻撃者は防御ツールを無効化することを標準戦術としている 2. 平常時でも、多くの防御ツールが正常に動作していない時間が存在する 3. 大規模環境では、手動での監視・管理には限界がある 4. セキュリティ投資を守るためには、ツールの稼働継続性を担保する仕組みが不可欠 　多層防御、ゼロトラスト、EDR、XDR――企業はさまざまなセキュリティソリューションに投資しています。しかし、これら全ての投資は「エンドポイントで防御ツールが確実に動作している」という前提の上に成り立っています。 　いくら高度な防御ツールを導入しても、それが停止していれば砂上の楼閣です。アプリケーションの稼働状況を継続的に監視し、自動的に復旧する「レジリエンス」こそが、セキュリティ投資を守る堅牢な基盤となります。 　次回では、世界の最高情報セキュリティ責任者（CISO）500人への調査結果を基に、AI時代における新たなセキュリティリスクと、なぜ83％のCISOが「レジリエンス」を従来のセキュリティより重要視しているのかを探ります。 **藤田平（ふじた・たいら）** Absolute Software シニアセールスエンジニア Absolute Softwareでシステムエンジニアとして、Absolute Secure Endpointのエンドユーザー向け提案活動の支援、PoC支援、およびパートナー向けの技術支援に携わる。1998年から現在に至るまで、⻑年にわたり複数のセキュリティ製品提供企業において、システムエンジニア、プリセールスエンジニア、技術支援、担当営業、ソリューションアーキテクト、ソリューションエンジニアとして従事。 エンタープライズ向けの大規模導入支援や販売パートナー・エンドユーザー向け拡販・提案・技術支援、新規プロダクトの事業立ち上げ支援などに幅広く従事。また、エンドユーザーコンピューティングやセキュリティ分野全般において、アーキテクト、エバンジェリスト、コンサルタント、ソリューション開発等、多岐にわたる任務を担当。各種セキュリティセミナーにスピーカーとして登壇経験があり、主な所有資格としてCISSP、公認情報システム監査人（CISA）、公認情報システムマネージャー（CISM）を保有。 - - [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35241858%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35241858%2F&hashtags=ZDNET) ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。 ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。