サイバーセキュリティ

ランサムウェア対策 手順別ガイド④

ランサムウェアは侵入後に本格化し、Installation・C2通信・暗号化の各フェーズで被害が急拡大します。防御の鍵は「スピード」と「自動化」。EDR/XDRで不正変更を即検知、ゼロトラストで横展開阻止、AIで異常通信を遮断。SOARによる即時隔離と多層バックアップで復旧力を確保。OpenTextとMicrosoft連携でMTTD/MTTRを劇的短縮し、侵入前提の防御体制を強化します。

OpenText Japan profile picture
OpenText Japan

12月 09, 20251 min read

この投稿を x に共有します。 LinkedIn に共有します。 メール送信先

侵入後の攻撃を封じる!Cyber Kill Chain後半フェーズと最新防御戦略

ランサムウェア攻撃は、侵入後にこそ真価を発揮するものである。Cyber Kill Chainの後半フェーズ(Installation、Command & Control、Actions on Objectives)では、攻撃者がシステムを掌握し、データ暗号化や窃取を実行する。この段階での防御が遅れれば、被害は指数関数的に拡大し、事業継続に深刻な影響を与える。今回は、侵入後の攻撃を封じ込めるための最新戦略を、技術的背景と運用上の課題を交えて整理する。

Installationフェーズ:持続化の阻止

攻撃者は侵入後、バックドアやマルウェアを設置し、再起動後もアクセス可能な状態を構築する。この「永続化」は、攻撃者が長期的に環境を支配するための基盤である。典型的な手法としては、レジストリ改変、サービス登録、スケジュールタスクの追加などが挙げられる。対策の要点は以下である。

端末上での不正変更の即時把握(EDR/XDR):不審なプロセス生成や権限昇格の試みを即座に検出する。特に、PowerShellやWMIを悪用したスクリプト実行は要注意である。

アプリケーション制御:許可されたソフトウェアのみ実行可能にするホワイトリスト運用を徹底する。これにより、未知のマルウェア実行を防止できる。

ゼロトラストの適用:端末・ユーザー・アプリの認証を継続的に検証し、信頼を「一度きり」にしない。侵入後も認証強化を行うことで、攻撃者の横展開を阻止する。IDライフサイクル(作成・変更・削除)を自動化し、認証/権限管理を統一。放置IDや過剰権限を排除することは重要である。

C2通信フェーズ:外部との不正通信を遮断

攻撃者はC2サーバーと通信し、暗号化された指令を受け取る。この通信はHTTPSやDNSトンネリングなど、正規トラフィックに偽装されることが多い。防御の要点は以下である。

ネットワーク監視と暗号化トラフィック解析:TLS通信であっても、JA3フィンガープリントやSNI情報を活用し、異常なパターンを検知する。

DNSフィルタリング・プロキシ制御:不審なドメインやIPへの接続を遮断する。特に、生成型ドメイン(DGA)を利用する攻撃に対しては、AIによるドメイン分類が有効である。

AIによる異常検知:通常の通信パターンから逸脱した挙動をリアルタイムで分析し、従来のシグネチャベースでは検知できない未知の脅威を捕捉する。

Actions on Objectives:暗号化・窃取を防ぐ

最終フェーズでは、データ暗号化や窃取が行われる。攻撃者はファイルサーバーやクラウドストレージにアクセスし、重要情報を圧縮・暗号化して外部に送信する。防御の要点は以下である。

SOARによる自動封じ込め:検知後、即座に端末隔離・アカウント無効化を自動化する。手動対応では数分の遅れが致命的となるため、プレイブックによる即応が不可欠である。

バックアップ戦略の強化:オフライン・イミュータブルバックアップで復旧を確保する。クラウドバックアップも、攻撃者による削除を防ぐために多層防御を施すべきである。暗号化やデータ破壊の被害から事業を回復し脅迫に屈しない復旧基盤構築。

脅威ハンティング:攻撃者の痕跡を継続的に探索し、潜伏を防止する。特に、ログ改ざんや痕跡消去を試みる高度な攻撃に対しては、UEBA(ユーザー・エンティティ行動分析)が有効である。

OpenTextの最新ソリューションとMicrosoft連携

OpenTextが提供するSecurity Operationソリューション(ArcSight)やApplication Securityソリューション (Fortify) 、最新の脅威検知・対応機能を統合した Threat Detection & Response(TDR)は、侵入後の攻撃を迅速に可視化・封じ込める体制を強化することができる。さらに、Microsoft Security Copilotとの連携により、調査・対応の生産性を大幅に高めることが可能だ。

この連携により、従来は専門知識を要した複雑なクエリやスクリプト作成が不要となり、SOC担当者は直感的な操作で高度な防御を実現できる。結果として、MTTD(平均検知時間)とMTTR(平均復旧時間)は劇的に短縮される。

侵入後の防御は「スピード」と「自動化」が鍵である。ゼロトラスト、AI、XDR、SOARを組み合わせ、攻撃者の行動を先読みする体制を構築すべきである。OpenTextとMicrosoftの連携は、その実現を強力に後押しする。

企業規模を問わず、侵入前提のサイバー攻撃に備える体制づくりが急務である。持続可能な防御戦略こそが、組織の競争力を守る。

【参考情報】

OpenText、Microsoftとの緊密な統合によりCore Threat Detection and Responseの機能を拡大

ランサムウェア対策 手順別ガイド①― Cyber Kill Chainで読み解く攻撃プロセスと防御策(アサヒGHD事例より)―

ランサムウェア対策 手順別ガイド②― 攻撃実行を阻止するAI脅威検知とふるまい分析 ―

ランサムウェア対策 手順別ガイド③― アプリを“踏み台”にさせないための攻撃パターンと最新防御アプローチ ―

Share this post

この投稿を x に共有します。 LinkedIn に共有します。 メール送信先
OpenText Japan avatar image

OpenText Japan

OpenText™ は、情報管理ソフトウェアおよびサービスのグローバル・リーディングカンパニーです。 ビジネスクラウド、ビジネスAI、ビジネステクノロジーの包括的なスイートを提供し、企業が複雑化するグローバルな問題を解決できるよう支援しています。 オープンテキスト(NASDAQ/TSX: OTEX)の詳細については、https://www.opentext.com/ja-jpをご覧ください。

See all posts

著者の他の記事

RISE with SAP 導入を成功に導く鍵:ERP プロセスのモダナイズにコンテンツが不可欠な理由
エンタープライズコンテンツ管理

RISE with SAP 導入を成功に導く鍵:ERP プロセスのモダナイズにコンテンツが不可欠な理由

RISE with SAP を成功させるには、非構造化コンテンツの近代化が不可欠です。請求書や契約書などの文書管理を放置すると、移行範囲拡大や手作業負荷、コンプライアンスリスクの増加を招き、RISEの効果を阻害してしまうことにもなります。OpenText はコンテンツをSAPコアから切り離し、安全なクラウドで統合管理し、移行効率化・コスト削減・ガバナンス強化・プロセス自動化・AI活用を支援します。これによりクリーンコア実現とS/4HANA移行の加速を可能にするのです。

1月 20, 2026

1 min read

AIの成果はコンテンツ次第:2026年の5つの予測
エンタープライズコンテンツ管理

AIの成果はコンテンツ次第:2026年の5つの予測

AIの成果は高速化よりも、信頼できるコンテンツ基盤の整備が左右します。2026年には、企業はAIをツールではなくコンテンツ基盤の課題として捉え、メタデータやガバナンスを重視するようになるでしょう。AIアシスタントは検索から業務遂行へ進化し、エージェント型AIの台頭には強固な安全装置が不可欠になります。マルチクラウド環境ではゼロコピーで統合ガバナンスが求められ、IDPは非構造データをAI活用可能な情報へ転換する基盤となるでしょう。

1月 16, 2026

1 min read

EDRだけでは守れない現実 ― インシデント対応力が企業を左右する理由
サイバーセキュリティ

EDRだけでは守れない現実 ― インシデント対応力が企業を左右する理由

企業はEDRで脅威を検知できても、侵入経路や影響範囲など「説明責任」を十分に果たせない課題が残ります。高度化する攻撃やサードパーティ経由の侵害に対し、原因究明・証拠保全・影響評価を行うDFIRが不可欠です。EDRは初動、DFIRは調査と再発防止を担い、両者を組み合わせることでSOCのレジリエンスは向上します。OpenText Endpoint Forensics & Responseは可視化・自動調査・証拠管理を統合し、説明できる組織への進化を支援します。

1月 08, 2026

1 min read