検索
ニュース

「PowerShell」がランサムウェア攻撃に悪用? 正規ツールを“凶器”にする手口と対策2025年のランサムウェア動向 “正当”を装う手口が主流に

Cisco Talosが2025年のランサムウェア動向を分析したレポートを公開した。攻撃者は「PowerShell」など、企業が日常的に使うツールや機能を悪用しているという。その具体的な手口と、有効な対策とは。

Share
Tweet
LINE
Hatena

 Cisco Systemsの脅威インテリジェンス組織「Cisco Talos」は2026年3月31日(米国時間、以下同じ)、2025年のランサムウェア(身代金要求型マルウェア)攻撃の傾向を公表した。同月23日公開のセキュリティレポート「Talos 2025 Year in Review」の分析結果を基にしている。

 レポートによると、ランサムウェアを開発/運営する攻撃者グループの勢力図が変化している。被害企業情報を掲載するデータリークサイトの投稿量に基づく活動ランキングでは、前年(2024年)に1位だった「LockBit」が、35位に順位を落とした。法執行機関による取り締まりの影響だとレポートは指摘する。

 代わって1位となったのが「Qilin」だ(図)。レポートによるとQilinは2025年、1月を除く全ての月で40社超を標的にしていた。2026年も引き続きQilinは脅威になるとCisco Talosはみる。

画像
図 データリークサイトの投稿量に基づく、ランサムウェアを開発/運用する攻撃者グループの活動ランキング(出典:Cisco Talosの公式ブログ)《クリックで拡大》

PowerShellがまさかの“凶器”に――「正当」を装うその手口

 近年のランサムウェア攻撃では、攻撃者は標的企業内で日常的に使われているツールや機能を使い、ネットワーク内を横展開して被害範囲を広げる「ラテラルムーブメント」を試みるという。

 レポートによると、ランサムウェア攻撃者が主に悪用するのは、リモートデスクトップ接続機能の「RDP」(Remote Desktop Protocol)とコマンド実行ツール「PowerShell」、リモート実行ツール「PsExec」の3種だ。これらは企業のシステム管理用途で広く使われている。攻撃者は、これらをラテラルムーブメントに悪用することがあると、レポートは注意を促す。

 RDPやPowerShell、PsExecを使った攻撃への対策として、レポートはIT資産インベントリの整備や、通常時のネットワーク挙動であるベースラインの把握、定常的な異常監視などの重要性を指摘する。特に通常とは異なる利用パターンや不審なアクセス要求を監視/検知することが重要だという。

 IDなどの認証情報の保護強化も重要だと、レポートは指摘する。ランサムウェア攻撃者は、正規の認証情報を悪用して正規ユーザーや管理者を装う。

 認証情報は、初期アクセスやラテラルムーブメント、ランサムウェアの展開・実行など、攻撃のほぼ全ての段階で悪用されており、攻撃全体で重要な役割を果たしているという。具体的な強化策として、レポートはフィッシング対策やソーシャルエンジニアリング対策に関するユーザートレーニングを推奨する。

 レポートはその他のランサムウェア対策として、バックアップ/リカバリーやEDR(Endpoint Detection and Response)、ネットワークセグメンテーション、ログ管理の強化を挙げる。ランサムウェアへの対処手順を定期的にテストすることも重要だという。

製造業が引き続き主要な標的に

 ランサムウェア攻撃の主要な標的は、引き続き製造業だ。製造業では、さまざまな業務プロセスを支える複数のシステムが混在しており、システム全体を綿密に監視しにくいことが背景にあるという。生産への影響が大きいことからシステムを止めにくいことも、攻撃を受けやすい要因になっているとレポートは指摘する。

 製造業に次いで標的となりやすいのが、コンサルティングや技術サービスなどを提供する専門サービス業だ。これらの業種では、複数の組織を横断して業務を進める傾向があり、利用するシステムも多岐にわたることから、製造業と同様のリスクが生じやすいという。

 2025年は月別に見ると、1月のランサムウェア活動が2年連続で比較的少なかった。レポートはその要因について、年末年始に伴う業務縮小や東欧の祝日の影響だと分析。実際のインシデントの発生や対処と重なりにくいことから、この時期にランサムウェア対策のテストを実施することを推奨する。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る