知られている。新興。止められない？ランサムウェア攻撃は依然として防御を回避している

ランサムウェアは目新しいものでも、特別にエキゾチックなものでもないが、何年も攻撃を受け続けた結果、今日のグローバル企業が直面する最も破壊的な脅威の1つにランクされ続けている。

セキュリティチームが予防と検知の取り組みに多大なリソースを注いでも、攻撃者は依然として防御を迂回する方法を見つけ出している。二重の恐喝は既定のアプローチとなっており、グループはシステムを暗号化し、活用するために機密データを盗む。

攻撃者の中には、暗号化のステップを完全に省略し、データ窃盗と恐喝のみに集中することで、検知を回避し、取り組みを効率化する者も出てきています。

Picus Securityの「Blue Report 2025」は、サイバーセキュリティの防御がいかに簡単に抜け落ちているかを示すために、その幕を引いています。

1億6,000万件以上のBreach and Attack Simulation (BAS)の結果を基にした今年のBlue Reportでは、全体的な防止効果が2024年の69%から2025年には62%に低下していることが示されている。しかし、最も憂慮すべき結果はデータ流出で、防止率はわずか3%に低下し、すでに容認できないほど低かった昨年の9%から低下した。これは、まさにランサムウェアグループが最も悪用する段階で、組織がさらされていることを意味する。

つまり、思い込みは防御にはならず、検証されていない防御策は、最も重要なときに失敗し続けるということだ。

この結果を解析すると、ランサムウェアへの対策は想定できるものではないことがすぐにわかる。それは証明されなければならない。つまり、古くから知られているランサムウェア・ファミリーだけでなく、現在野放しになっている新種のランサムウェアに対しても、組織の防御力を継続的に検証する必要があるのです。

Breach and Attack Simulationはその証拠を提供し、防御が有効か無効かをリアルタイムで示します。

Table of contents

既知のランサムウェアと新興のランサムウェアの両方が重要な理由
防御における最大のギャップ
暗号化不要の恐喝時代におけるランサムウェア防御の強化
BASがランサムウェアへの備えを強化する方法
準備態勢のギャップを埋める
結論

既知のランサムウェアと新興のランサムウェアの両方が重要な理由

残念ながら、ランサムウェアの場合、慣れ親しんだ脅威が誤った信頼を生むことがあまりにも多い。セキュリティ・チームは、有名どころのランサムウェアからは守られていると信じているかもしれないが、放っておくと時間の経過とともに、設定が流れたり環境が変わったりするにつれて、その防御力は確実に弱まっていく。

一方、ランサムウェアの運営者は動き続けている。コードは再パッケージ化され、ローダーは更新され、攻撃が検知されないように回避テクニックが改良される。残念なことに、昨日のキャンペーンに対しては有効であったものが、今日のアップデートされた試みに対しては有効でないことが多い。

今年のBlue Reportは、このことをはっきりと示している。

最も未然に防がれたランサムウェアの上位10種類のうち、5種類は新種または新興のものでしたが、これらは古くから知られているランサムウェアと同様に効果的に防御を回避していました。

既知のファミリーは依然として成功を収めている。BlackByte（26%）は2年連続で最も防御が困難なランサムウェアであり、公開アプリケーションを悪用し、暗号化する前にデータを流出させます。BabLock（34%）は二重の恐喝で被害者に圧力をかけ続け、Maori（41%）はファイルレス配信と地域キャンペーンを活用しています。これらのランサムウェアの持続性は、現実の環境において防御がいかに簡単に侵食されるかを示しています。
新興のランサムウェアも同様に被害が大きい。FAUST」（44%）、「Valak」（44%）、「Magniber」（45%）は、レジストリの変更、モジュール式のペイロード、段階的な実行によって制御を回避します。全攻撃の半数近くが成功しており、新しい攻撃手法がすぐに有効な手段となることが証明されています。
確立された名前は適応します。BlackKingdom（48%）、Black Basta（49%）、Play（50%）は、盗んだ認証情報、プロセスの空洞化、リモートサービスの実行によって防御を回避します。何年も文書化された後でも、阻止することは困難です。
高度なランサムウェアの運営者は、依然として回復力があります。AvosLockerは、52%の阻止率しか達成できず、特権の昇格と高度な難読化を悪用して、特に標的を絞った防御にもかかわらず、重要なセクターを侵害しました。

これらの調査結果は、「既知の」ランサムウェアと「新興の」ランサムウェアの区別が意味を成さなくなってきているという重要な点を示しています。組織が防御の継続的なテストを怠れば、既知のランサムウェアも新興のランサムウェアも防御を回避することが可能であり、最終的には防御を回避することになるでしょう。

防御における最大のギャップ

ランサムウェアのグループは、単一の手口に依存することはほとんどない。その代わりに、彼らはキルチェーン全体で複数のテクニックを連携させ、防御のうち最も弱いものを利用します。

Blue Report 2025は、予防と検知における根強いギャップが、攻撃者にまさに彼らが探していた隙を与え続けていることを示しています。

マルウェアの配信防御率は60％に低下（2024年の71％から低下）。最も古い攻撃ベクトルの1つであるにもかかわらず、ローダーとドロッパーは依然として静的防御を回避している。
検知パイプライン： 54%がログに記録されているにもかかわらず、アラートを生成した攻撃はわずか 14%でした。このようなログからアラートへのギャップは、BlackByteのような確立されたファミリーとFAUSTやMagniberのような新しい亜種の両方に対して、防御者を容易に盲目にさせる可能性があります。
データ流出：データ流出を防止する効果は、2025年にはわずか3％（2024年の9％から低下）に低下し、あらゆる攻撃ベクトルの中で最悪のスコアとなった。この弱点が、盗まれたデータを流出させて被害者への圧力を強める二重の恐喝攻撃の急増を助長している。
エンドポイントプロテクション：エンドポイントは76％の攻撃をブロックしたが、横方向への移動と権限の昇格は4分の1のケースで有効だった。Black BastaやPlayのようなファミリーは、これらの弱点を悪用し、侵害されたネットワーク内で拡散した。

全体として、ランサムウェアが繁栄しているのは、最先端のテクニックによるものではなく、重要なポイントで防御が失敗し続けているためです。

このレポートで取り上げた10種類のランサムウェアファミリーのうち5種類は、古くから存在する系統でありながら、新しい脅威や出現したばかりの脅威と同じくらい効果的に防御を回避しています。攻撃者に必要なのは目新しい突破口ではなく、すでに壊れているものを悪用する能力だけなのだ。

a.fl_button { background-color：#border：1px solid #3b59aa; color：#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin：4px 2px; cursor: pointer; padding：12px 28px; } .fl_ad { background-color：#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border：1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color：color: #333; line-height: 24px; font-family：font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding：10px 0 10px 10px; } .fl_rig { padding：10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding：0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

暗号化不要の恐喝時代におけるランサムウェア防御の強化

Picus Blue Report 2025は、1億6,000万件以上の攻撃シミュレーションに基づき、ランサムウェアが依然として防御をすり抜ける理由を明らかにしています。

完全な調査結果を入手し、継続的な検証によって重要なギャップを埋める方法をご覧ください。

今すぐダウンロード

BASがランサムウェアへの備えを強化する方法

PicusBreach and Attack Simulation（BAS）は、ランサムウェアに対する防御力と実際の性能のギャップを埋めるのに役立ちます。

定期的かつ手作業で行われる従来の侵入テストとは異なり、BASは継続的かつ自動化されたチェックを提供し、お客様独自のダイナミックな環境において、実際の攻撃行動に対して防御がどこまで耐えうるか、またどこが耐えられないかを示します。

BASの主なメリットは以下のとおりです：

継続的なランサムウェア・シミュレーション。BASは、最初の侵害から暗号化、データ盗難に至るまで、実際に見られるランサムウェアのTTPを安全にシミュレートしてエミュレートし、境界制御とエンドポイントセキュリティのどこで防御が破られるかを正確に示します。
既知および新ファミリーに対する検証。Picusは、確立されたランサムウェアと新しい亜種の両方に関するインテリジェンスを備えたBAS脅威ライブラリを毎日更新しているため、企業は、勧告に記載されているものと同じファミリーや、初めて野生化したものに対するテストを行うことができます。
実行可能な修正。攻撃がシミュレーションで成功した場合、BASはベンダー固有またはベンダーに依存しない実践的な修正ガイダンスを提供します。
準備の証拠。BAS は、ランサムウェアの防御率、検出率、緩和状況など、ランサムウェアの回復力に関する測定可能なデータを生成するため、セキュリティチームは、指導者や監査役に示すことができる具体的なデータを得ることができます。

準備態勢のギャップを埋める

ランサムウェア対策における最も危険な信念の1つは、これまでうまくいっているから、あるいは「適切な」製品を導入しているから、防御が機能していると思い込んでいることです。

Blue Report 2025は、この2つの思い込みがいかに誤解を招きやすいかを示しています。ランサムウェアの試みの50%近くが防御を回避し、アラートをトリガーしたのはわずか14%でした。

BASは、最も重要な質問に答えることで、仮定を証明に変えます：

あなたのDLPシステムは、実際に機密データがネットワークから流出するのを阻止できますか？
ランサムウェアがエンドポイントの制御をすり抜けた場合、SIEMは時間内にアラームを発するだろうか？
メールゲートウェイは、BabLockやPlayが使用するフィッシングペイロードをブロックするのに十分なチューニングが施されているでしょうか？
FAUSTやMagniberのような新しいファミリーは気づかれずに通過するでしょうか？

BASを使えば、セキュリティ・チームは推測する必要はありません。彼らは知っているのです。

結論

結局のところ、Blue Report 2025は1つのことを明らかにしている。ランサムウェアが繁栄しているのは、攻撃者がプレイブックを刷新しているからではなく、防御策が実際にテストされることがほとんどないからである。毎年同じセキュリティの弱点が再浮上し、予防は遅れ、検知は遅れ、データの盗難はほとんどチェックされない。

侵害と攻撃のシミュレーションは、その欠落した部分です。初期侵害、クレデンシャル・アクセス、横移動、データ盗難など、エンドツーエンドのランサムウェア攻撃を安全にエミュレートすることで、BASは防御が機能している箇所と機能していない箇所を正確に特定し、修正が機能しているかどうかを確認します。BASは、準備態勢を信頼や仮定から証明へとシフトさせ、防御者が日々測定、改善、実証できるものを提供します。

ランサムウェアへの備えは、「保護されているか」を問うことをはるかに超えている。それは、回復力の証明を継続的に実証することであり、BASはそこに到達するための唯一の持続可能な方法なのです。

Blue Report 2025をダウンロードして 、ランサムウェアやデータ流出から、業界ごとのパフォーマンス、地域格差、MITRE ATT&CK の戦術とテクニックのギャップ、攻撃者が今まさに悪用している脆弱性まで、全体像を把握してください。また、なぜ継続的な検証が必要なのかについても解説します。

主催・執筆：Picus Security