製品資料 お問い合わせ

ランサム攻撃は止められないのか
鍵を握るのは「認証」での対策

 株式会社ネットワークバリューコンポネンツ

ランサム攻撃は年々高度化し、多くの組織にとって現実的な脅威となっています。EDRの導入やバックアップ対策など、何らかの対策を講じている組織も少なくありません。

それでもなお、「侵入は検知できたが止めきれなかった」「被害の拡大を防げなかった」「EDRで検知できなかった」といった声が後を絶たないのも事実です。多くのランサム対策が“検知と対応”を前提としている以上、「完全に止める」ことが難しいのは、ある意味では当然とも言えます。

では、ランサム攻撃を防御する効果的な方法は、本当に存在しないのでしょうか。

実は、これまであまり注目されてこなかったものの、攻撃の進行そのものを止められる可能性を持つ領域があります。それがアイデンティティ(ID)」、特に「認証」です。

本記事では、なぜランサム攻撃が止まりにくいのかを整理したうえで、ID対策、とりわけActive Directory(AD)認証を軸とした考え方が、なぜ防御の観点で重要なのかを解説します。

なぜランサム攻撃は「止めきれない」のか

ランサム攻撃の特徴の一つは、必ずしも「派手な侵入」だけで進行するわけではない点にあります。脆弱性の悪用やマルウェア感染などによって内部に侵入した後、攻撃者は環境内で目立った挙動を避けながら活動を継続します。

その際に多く用いられるのが、正規IDの悪用です。攻撃者はマルウェアをばらまくのではなく、正規ユーザーや管理者になりすまし、時間をかけて本命のランサム攻撃に向けた下準備を進めていきます。これが、いわゆるラテラルムーブメントと呼ばれる行動です。

unstoppable-ransomware-attacks-01-1

内部に侵入した攻撃者は、より高い権限を得て攻撃範囲を拡大するため、次のような行動を段階的に行います。

  • 正規アカウントを用いたログイン
  • 通常業務と区別のつきにくい操作による横展開
  • より高い権限を獲得し、Active Directory(AD)を侵害

これらの行動は、形式上は「正規の認証を経た操作」であるため、EDRやログ監視の観点では不正と判断しにくいケースも少なくありません。検知できたとしても、その時点ではすでに攻撃が進行している、という状況に陥りがちです。

つまり、多くのランサム対策は「侵入後に気づく」「被害を最小化する」ことはできても、攻撃の進行そのものを止めることが難しい構造になっています。

では、攻撃者がどのような手法を用いたとしても、必ず通過しなければならないポイントはどこにあるのでしょうか。

【ソリューション概要】アイデンティティの可視化と追加の認証制御を実現するSilverfort
The Identity Underground Report

認証に注目すると、なぜ“止める”が成立するのか

一つの答えが「認証」です。
攻撃者であっても、内部で活動を継続するためには、何らかの形で認証を通過し続ける必要があります。この構造に着目すると、認証に介入できるかどうかが、防御の成否を分ける重要な分岐点になると言えるでしょう。

特に多くの組織で課題となっているのが、オンプレミス環境におけるActive Directory(AD)認証です。

クラウド環境では、MFAや条件付きアクセスといったセキュリティ機能が標準的に活用されるようになっています。一方で、オンプレミス環境のAD認証には、そうした仕組みが標準では備わっていません。その結果、現代の脅威レベルに見合った追加のセキュリティ対策が十分に施されないまま運用され、攻撃者にとって利用しやすい“抜け道”になっているケースも少なくありません。

unstoppable-ransomware-attacks-02

ADは組織の中核となる認証基盤であるにもかかわらず、認証時の不審な挙動を検知し、その場で制御する仕組みを標準では提供していません。そのため、AD認証に対して防御を実装できていない状態では、ランサム攻撃の進行を途中で止めることは極めて困難になります。

逆に言えば、認証プロセスに介入し、不審な認証を通過させない仕組みを実装できれば、ランサム攻撃を「侵入後であっても止める」という選択肢が現実的になります。

まとめ

ランサム攻撃対策に、万能な解決策は存在しません。
しかし、どこを防御の中心に据えるかという優先順位を見直すことで、対策の実効性は大きく変わります。
検知や復旧に加えて、「そもそも攻撃を進めさせない」ためのポイントとして、ID、特に認証を防御の対象として捉えることは、今後ますます重要になるでしょう。

ランサム攻撃を「検知する」「被害を最小化する」だけでなく、「途中で止める」ことを本気で考えるのであれば、ID対策、とりわけAD認証の在り方を見直すことは、有力な選択肢の一つと言えます。

「ランサム攻撃を本当に止めたい」「ADを含めたID対策を見直したい」「どこから手を付けるべきか悩んでいる」といった課題をお持ちの場合、認証対策を軸にしたアプローチを一度検討してみてはいかがでしょうか。

弊社では、AD認証に介入し、不審な認証に対する防御まで実現可能な統合アイデンティティセキュリティプラットフォームとして、Silverfortをご提案しています。ご興味がございましたら、お気軽にお問い合わせください。
Active Directory認証への多要素認証(MFA)実現方法~Silverfortで簡単に実現~

RECENT POST「ネットワーク」「セキュリティ対策/リスク管理」の最新記事

Cato SASE Cloudが実現する「集約」と「統合」の運用モデル

2026.03.11

Cato SASE Cloudが実現する「集約」と「統合」の運用モデル
Shift leftがうまく回らない本当の理由―Orcaで実現する分断されないセキュリティ運用

2026.03.06

Shift leftがうまく回らない本当の理由―Orcaで実現する分断されないセキュリティ運用
持続可能なネットワークインフラ運用の鍵は「集約」と「統合」にあり

2026.03.06

持続可能なネットワークインフラ運用の鍵は「集約」と「統合」にあり
本当に「VPN」は悪者?昨今のサイバー攻撃被害から考えるVPN対策まとめ

2026.02.26

本当に「VPN」は悪者?昨今のサイバー攻撃被害から考えるVPN対策まとめ
【ソリューション概要】アイデンティティの可視化と追加の認証制御を実現するSilverfort

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング

TOPICトピック一覧

State of Cloud Security Report クラウド環境の深層に潜むリスクを解明