目次
1.ランサムウェアによる攻撃の多発
それは本当に「信頼できるメール」ですか?
最近、国内大手企業のランサムウェア被害が相次ぎ、サプライチェーン全体に影響が及ぶような深刻な事態が発生しています。
たとえば、 アサヒグループホールディングスでは、2025年9月29日に発生したサイバー攻撃により国内の出荷・受注・コールセンター業務を停止せざるを得ない状況となりました。
この攻撃ではロシア語圏のランサムウェア集団 Qilin が関与を主張しています。
QilinはRaaS(Ransomware-as-a-Service)型のサイバー犯罪組織で、SaaSのようにランサムウェアをサービス提供しています。
彼らの侵入経路の手口の一つとして、フィッシングメールがあります。
攻撃者は、取引先や上司など、怪しまれない送信元を装ったメールを送ります。
多くの企業では、従業員へのセキュリティ教育を実施したり、こういったメールへの注意喚起を促しているかと思いますが、近年では生成AIによる自然な文章や乗っ取りアカウントを用い、本物のメールと見分けがつかないなりすましメールが激増しています。
「いつもやりとりしているメール・知っている相手からのメール」は、もはや信頼できるメールとは限らないのです。
2. 内部の整備も必要
「社内にいる人」=「信頼できる人」ではありません
内部不正もまた、外部脅威と同様に組織に深刻な損害を与えるリスクです。
たとえば、退職予定者による情報持ち出しや、悪意のない誤送信・誤共有といったヒューマンエラーがあります。
クラウド環境やテレワークが一般化した今、「社内=安全」「社員=信頼できる」とはいえません。
誤送信や誤共有、あるいはアクセス権を悪用した持ち出しといった事案が、情報損失の主因となることも少なくありません。
また、外部攻撃のケースでも、被害が深刻化する本質は 「内部に侵入された後のふるまいを止められないこと」 にあります。
メールを通じて侵入した攻撃者が、正規のユーザーを装い、内部ネットワークやシステムに侵入・横展開します。外部から侵入→内部で展開、あるいは内部起点→外部流出という双方向の脅威構造が存在しており、単一の防御軸では対応が困難になっています。
いま企業に求められているのは、外部攻撃と内部脅威の両方に備える視点です。
ご相談はこちらから
3. 攻撃をサイバーキルチェーンで見る
以下では、サイバーキルチェーンの流れに沿って「どの段階で何が起こり、どこを守るべきか」を紐解き、最後に現実的な対策モデルをご紹介します。
キルチェーン前半:メールから始まる“静かな侵入”
攻撃は次のような流れで始まります。
| キルチェーン | 攻撃者の狙い |
| 偵察(Reconnaissance) | 標的組織・メールアドレス・役職を調査 |
| 武器化(Weaponization)/投入(Delivery) | フィッシングメール、添付、URL、偽ログイン画面を準備・送信 |
| 悪用(Exploitation) | 認証情報窃取、マルウェア実行 |
なぜメールが狙われ続けるのか?
それは “人の判断”が介在する唯一の攻撃ベクトルであり、MFAを導入していても突破口となり得るからです。
さらに近年は標的型、BEC、生成AIを悪用した高品質な文面など、偵察段階から非常に巧妙化しています。
この段階で重要なのは、不審な攻撃に“気づける組織”になること。さらに攻撃や侵入を検知・遮断できればなお良いですが、まずは、誰が・どのような・どの程度の攻撃を受けているかを可視化し、自組織の脆弱性を把握することが重要です
しかし——ここで終わりではありません。
キルチェーン後半:被害を深刻化させる“内部のふるまい”
侵入後、攻撃者は次の行動をとります。
| キルチェーン | 内部で起きること |
| インストール(Installation) | バックドア/ツール設置 |
| C2(Command & Control) | 外部との通信開始 |
| 横展開(Lateral Movement) | AD、共有サーバ、重要データへ侵攻 |
| 目的実行(Actions on Objectives) | データ窃取・暗号化・恐喝 |
実は 内部不正と外部侵害は“内部でのふるまい”が酷似しています。
だからこそ、攻撃者の横展開と内部不正は同じ視点で対策する必要があります。
4. 結論:ランサム被害は“両輪で守る”以外に現実解はない
近年の被害事例が示す教訓は明確です。
- 入口(メール)だけ守っても侵入はゼロにはならない
- 内部が見えていなければ被害は必ず拡大する
- だから、キルチェーン全体像で守る必要がある
そのためにSTechIが推奨する製品がこちらです。
| 脅威 | 対応領域 | 有効なソリューション |
| 外部攻撃(入口) | 偵察〜投入 | Proofpoint Email Protection・Prime |
| 内部侵害/内部不正 | 横展開〜情報窃取 | Proofpoint ITM / Endpoint DLP |
外部攻撃対策:
Proofpoint Email Protection・Targeted Attack Protetionは偵察〜投入までの攻撃を入口で検知・遮断し、攻撃を可視化します。また、攻撃を多く受けているアカウント(VAP:Very Attacked People)の確認も可能です。
特に、Proofpoint Email Protectionが含まれた複数のソリューションモデルであるProofpoint Primeでは、アカウント侵害の検知や対策ができるATOや、チャット上のURLリンククリックにも対応できるCollab Protectionが含まれており、ランサムの侵害経路対策となります。
内部侵害・内部不正対策:
EDRは「侵入後の検知」に強みはあるものの、“人の行動とデータの動き” を深く追跡し制御する領域は守備範囲外です。
そこで役割を持つのが ITM(Insider Threat Management)やEndpoint DLP です。
これらは ユーザーのふるまいを可視化し、データ持ち出し・異常操作・大量コピー・横展開の兆候を検知/遮断 することで、キルチェーン後半を抑止することができます。
“キルチェーン全体の最適化”が、事業停止リスクを最小限に抑える現実的な対策です。
この記事を書いた人
