ランサムウェア対策　特設ページ

アンチウィルスやEDRは、不審なファイル（マルウェア）やプロセスの振る舞いを検知するのが得意です。 しかし、攻撃者が正規の認証情報（ID/PW）を使ってログインし、OS標準機能や正規ツール（Living off the Land）で横展開・権限昇格・情報探索を進めると、 「マルウェアらしい挙動」が少なく、検知が難しくなります。

例えばアサヒグループホールディングス（アサヒGHD）の公表では、攻撃者はグループ拠点に設置されたネットワーク機器を経由してデータセンターネットワークへ不正アクセスし、 その後にランサムウェアを同時展開して複数サーバ/一部PCを暗号化したとされています。 つまり「入口突破」段階では、ネットワーク機器側の侵害（または認証突破）を起点に、正規の通信・正規の管理操作に見える形で攻撃が進む可能性があります。

ご指摘のように、現場でよく起きる流れは次のとおりです（概念図として理解してください）:

1. VPN/リモートアクセスのアカウント情報が別経路で漏えい（フィッシング、情報窃取型マルウェア、使い回しPWの流出など）
2. 攻撃者が正規のVPNログインで侵入（ログ上は「正しいユーザーの正しいログイン」に見える）
3. 社内で認証情報の窃取/再利用（例：AD連携アカウント、管理者資格情報、チケット/トークン）→ 横展開
4. 十分に準備できた段階で暗号化（ランサムウェア）を一斉実行＋情報公開を盾に恐喝（場合により）

この「1〜3」の段階では、攻撃者がPowerShell/標準管理ツール/RDP/SMBなどを使っていると、 AV/EDRは「明確なマルウェア実体」を起点に止めづらいことがあります。 そのため、入口（VPN/IdP/MFA）・認証（AD）・権限（特権ID）・横展開（内部移動）を跨いだ対策と、 ログ監視（不審なログイン、権限昇格、横展開の兆候）が不可欠になります。

※参考：アサヒGHDは、攻撃者がネットワーク機器経由でデータセンターに不正アクセスし、ランサムウェアにより複数サーバ等が暗号化されたと公表しています（2025/11/27）。

この特設サイトでは、ランサムウェア対策に必要な情報を「すぐ引ける形」に整理しています。 その中で、Aufense Technologiesは次の考え方で、お客様が取るべき対策を明確にします。

• 「インシデント一覧」に、国内中心にランサムウェア関連のインシデント情報を取りまとめ、 何が起きたか・どのような被害が出たかを俯瞰できるようにします。
• 「攻撃グループ＆攻撃キット一覧」に、攻撃グループや、彼らが用いる攻撃手法（初期侵入・横展開・認証情報窃取など）を整理し、 どのようなやり方で侵入・被害拡大が進むかを理解できるようにします。
• Aufense Technologiesが提供する「サイバー装備図」により、 「装備図の構成要素と攻撃の関係性」を提示し、 お客様がどの構成要素（VPN/ID/MFA/AD/サーバ/バックアップ等）に、どの対策を講じれば良いかを明記します。