サイバーセキュリティ

ランサムウェア対策 手順別ガイド④

ランサムウェアは侵入後に本格化し、Installation・C2通信・暗号化の各フェーズで被害が急拡大します。防御の鍵は「スピード」と「自動化」。EDR/XDRで不正変更を即検知、ゼロトラストで横展開阻止、AIで異常通信を遮断。SOARによる即時隔離と多層バックアップで復旧力を確保。OpenTextとMicrosoft連携でMTTD/MTTRを劇的短縮し、侵入前提の防御体制を強化します。

OpenText Japan profile picture
OpenText Japan

12月 09, 20251 min read

この投稿を x に共有します。 LinkedIn に共有します。 メール送信先

侵入後の攻撃を封じる!Cyber Kill Chain後半フェーズと最新防御戦略

ランサムウェア攻撃は、侵入後にこそ真価を発揮するものである。Cyber Kill Chainの後半フェーズ(Installation、Command & Control、Actions on Objectives)では、攻撃者がシステムを掌握し、データ暗号化や窃取を実行する。この段階での防御が遅れれば、被害は指数関数的に拡大し、事業継続に深刻な影響を与える。今回は、侵入後の攻撃を封じ込めるための最新戦略を、技術的背景と運用上の課題を交えて整理する。

Installationフェーズ:持続化の阻止

攻撃者は侵入後、バックドアやマルウェアを設置し、再起動後もアクセス可能な状態を構築する。この「永続化」は、攻撃者が長期的に環境を支配するための基盤である。典型的な手法としては、レジストリ改変、サービス登録、スケジュールタスクの追加などが挙げられる。対策の要点は以下である。

端末上での不正変更の即時把握(EDR/XDR):不審なプロセス生成や権限昇格の試みを即座に検出する。特に、PowerShellやWMIを悪用したスクリプト実行は要注意である。

アプリケーション制御:許可されたソフトウェアのみ実行可能にするホワイトリスト運用を徹底する。これにより、未知のマルウェア実行を防止できる。

ゼロトラストの適用:端末・ユーザー・アプリの認証を継続的に検証し、信頼を「一度きり」にしない。侵入後も認証強化を行うことで、攻撃者の横展開を阻止する。IDライフサイクル(作成・変更・削除)を自動化し、認証/権限管理を統一。放置IDや過剰権限を排除することは重要である。

C2通信フェーズ:外部との不正通信を遮断

攻撃者はC2サーバーと通信し、暗号化された指令を受け取る。この通信はHTTPSやDNSトンネリングなど、正規トラフィックに偽装されることが多い。防御の要点は以下である。

ネットワーク監視と暗号化トラフィック解析:TLS通信であっても、JA3フィンガープリントやSNI情報を活用し、異常なパターンを検知する。

DNSフィルタリング・プロキシ制御:不審なドメインやIPへの接続を遮断する。特に、生成型ドメイン(DGA)を利用する攻撃に対しては、AIによるドメイン分類が有効である。

AIによる異常検知:通常の通信パターンから逸脱した挙動をリアルタイムで分析し、従来のシグネチャベースでは検知できない未知の脅威を捕捉する。

Actions on Objectives:暗号化・窃取を防ぐ

最終フェーズでは、データ暗号化や窃取が行われる。攻撃者はファイルサーバーやクラウドストレージにアクセスし、重要情報を圧縮・暗号化して外部に送信する。防御の要点は以下である。

SOARによる自動封じ込め:検知後、即座に端末隔離・アカウント無効化を自動化する。手動対応では数分の遅れが致命的となるため、プレイブックによる即応が不可欠である。

バックアップ戦略の強化:オフライン・イミュータブルバックアップで復旧を確保する。クラウドバックアップも、攻撃者による削除を防ぐために多層防御を施すべきである。暗号化やデータ破壊の被害から事業を回復し脅迫に屈しない復旧基盤構築。

脅威ハンティング:攻撃者の痕跡を継続的に探索し、潜伏を防止する。特に、ログ改ざんや痕跡消去を試みる高度な攻撃に対しては、UEBA(ユーザー・エンティティ行動分析)が有効である。

OpenTextの最新ソリューションとMicrosoft連携

OpenTextが提供するSecurity Operationソリューション(ArcSight)やApplication Securityソリューション (Fortify) 、最新の脅威検知・対応機能を統合した Threat Detection & Response(TDR)は、侵入後の攻撃を迅速に可視化・封じ込める体制を強化することができる。さらに、Microsoft Security Copilotとの連携により、調査・対応の生産性を大幅に高めることが可能だ。

この連携により、従来は専門知識を要した複雑なクエリやスクリプト作成が不要となり、SOC担当者は直感的な操作で高度な防御を実現できる。結果として、MTTD(平均検知時間)とMTTR(平均復旧時間)は劇的に短縮される。

侵入後の防御は「スピード」と「自動化」が鍵である。ゼロトラスト、AI、XDR、SOARを組み合わせ、攻撃者の行動を先読みする体制を構築すべきである。OpenTextとMicrosoftの連携は、その実現を強力に後押しする。

企業規模を問わず、侵入前提のサイバー攻撃に備える体制づくりが急務である。持続可能な防御戦略こそが、組織の競争力を守る。

【参考情報】

OpenText、Microsoftとの緊密な統合によりCore Threat Detection and Responseの機能を拡大

ランサムウェア対策 手順別ガイド①― Cyber Kill Chainで読み解く攻撃プロセスと防御策(アサヒGHD事例より)―

ランサムウェア対策 手順別ガイド②― 攻撃実行を阻止するAI脅威検知とふるまい分析 ―

ランサムウェア対策 手順別ガイド③― アプリを“踏み台”にさせないための攻撃パターンと最新防御アプローチ ―

Share this post

この投稿を x に共有します。 LinkedIn に共有します。 メール送信先
OpenText Japan avatar image

OpenText Japan

OpenText™ は、情報管理ソフトウェアおよびサービスのグローバル・リーディングカンパニーです。 ビジネスクラウド、ビジネスAI、ビジネステクノロジーの包括的なスイートを提供し、企業が複雑化するグローバルな問題を解決できるよう支援しています。 オープンテキスト(NASDAQ/TSX: OTEX)の詳細については、https://www.opentext.com/ja-jpをご覧ください。

See all posts

著者の他の記事

IDCは、Multi-Enterprise Supply Chain Commerce Network MarketscapeでOpenTextをリーダーに選出
Business Network

IDCは、Multi-Enterprise Supply Chain Commerce Network MarketscapeでOpenTextをリーダーに選出

なぜOpenText Business Networkは、4度目のリーダーに選ばれたのか

12月 10, 2025

1 min read

◆◆DevOpsあれもこれも<第11回>◆◆
DevOps

◆◆DevOpsあれもこれも<第11回>◆◆

OpenText™ Software Delivery Platformの「Model-Based Testing」は、テストをユニット単位で構造化し、モデル化されたワークフローから効率的にシナリオを生成する機能です。ビジネスプロセスモデルのインポートや条件分岐による複数パスの自動生成でカバレッジを管理し、クラウドやCI環境で継続的テストを実行できます。

12月 05, 2025

1 min read

ランサムウェア対策 手順別ガイド③
サイバーセキュリティ

ランサムウェア対策 手順別ガイド③

ビジネスアジリティ向上のためにアプリケーション内製化が進む一方、セキュリティ対策は後回しになりがちです。しかし、IPA「情報セキュリティ10大脅威2025」では、サプライチェーン攻撃がランサム攻撃に次ぐ脅威とされ、アプリケーションレイヤーへの攻撃は従来の境界防御では防げません。 本記事では、Cyber Kill Chainの視点から代表的な攻撃パターンと対策を整理します。安全なアプリを迅速にリリースするために、今こそ開発プロセスにセキュリティを組み込む重要性を考えてみましょう。

11月 28, 2025

1 min read