サイバー攻撃は高度化しているだけでなく、攻撃者側で「ビジネスとして成立している」ことが脅威です。愉快犯ではなく、投資対効果(ROI)を計算し、分業と外部サービスを使って効率よく収益化しています。
この結果、単に最新の防御製品を入れるだけでは守り切れません。攻撃者は「侵入しやすい入口」「止めると高くつく業務」「復旧できない組織」を合理的に選び、成功確率が高い相手を狙います。
情シスとしては、侵入ゼロを目標にするよりも「攻撃者が儲からない状態」を作る視点が重要です。停止コストと復旧難易度を下げ、侵入後の横展開とデータ持ち出しを困難にし、交渉の余地を減らすことが実務的なゴールになります。
攻撃が儲かる理由は「低コスト・高回収・低リスク」です。既製ツール、テンプレート化された手口、クラウド基盤の悪用で攻撃をスケールでき、熟練者でなくても成果が出ます。
初期侵入の典型は、フィッシング、認証情報の漏えい・使い回し、MFA未導入、VPNや公開サーバの既知脆弱性悪用です。さらに侵入済みネットワークのアクセス権(Initial Access)が売買され、購入側は「最初から内部にいる」状態で攻撃を開始できます。
侵入後は権限昇格と横展開で支配範囲を広げ、ランサムによる暗号化に加えて情報窃取とリーク予告を組み合わせる多重恐喝が一般化しています。盗んだデータは転売され、取引先や社員への二次フィッシング、なりすまし、請求書詐欺(BEC)にも再利用されます。
攻撃者は支払い能力と停止コストが高い組織を優先して狙います。24時間止められない業務、社会的説明責任が重い企業、サプライチェーンの中核企業は「交渉材料」が増えるため標的になりやすいです。
企業側でバックアップや復旧訓練が不足していると、暗号化だけで業務停止に追い込まれ、支払い圧力が高まります。さらに情報流出が絡むと、復旧できても「公開を止める対価」を追加で要求され、被害が長期化します。
対策が場当たり的だと、侵入→横展開→窃取→恐喝までのサイクルを短縮され、同じ攻撃者に再侵入されることもあります。逆に、復旧可能性と検知・封じ込め能力が高い組織は、攻撃者の成功確率が下がり「割に合わない相手」になります。
明日から着手すべきことは、攻撃者の利益構造を崩す優先順位付けです。まずは復旧(バックアップの不変化・オフライン化、RTO/RPOの現実設定、復旧訓練)で身代金の効き目を下げます。
次にIDと露出資産の管理を最優先にします。MFAの必須化(可能ならフィッシング耐性の高い方式)、特権IDの分離、パスワード運用、外部公開資産の棚卸し、悪用実績のある脆弱性から潰す運用を固定します。
加えて、横展開と持ち出し対策としてネットワーク分離、管理端末分離、最小権限、ログ整備と監視(EDR/相関分析)を進めます。最後に、連絡体制・意思決定・外部支援(IR/法務/広報)を事前に決め、攻撃者の交渉余地を減らすことが現実的な防御になります。
