アサヒ､アスクル…大企業に頻発するランサムウェア攻撃､何が起きているのか？現代ならでは｢被害が大きくなりやすい｣要因

攻撃者はさらにランサムウェアを強化してくる。標的は個人や単体のPCから企業システム、サーバーを狙うようになった。そのほうが高額の身代金を要求できるからだ。

10年代後半から20年代になると、ランサムウェア攻撃は、もっぱら企業向けの事例が多くなっていった。標的は、金融機関や病院、インフラ事業者など身代金による脅しが効果的なところに集中しだす。いつの時代も犯罪者は時代の変化に敏感であり柔軟に対応してくるものだ。

暗号化さえ不要とする暴露型ランサムウェアの台頭

攻撃者はさらに凶悪化する。暗号化によるシステムダウン、業務停止だけでは満足せず、標的の重要データを盗み出し、文字どおり人質として身代金を要求するようになった。

いわゆる「暴露型」「二重脅迫型」と呼ばれるランサムウェアの台頭だ。この変化が意味するところは、ランサムウェアは、標的のデータをすぐに暗号化するのではなく、警告を発する前に、侵入先のシステム内部を探索して重要なデータを盗み出しているということだ。

初期侵入は社員のPCなど（主にフィッシングメールが入り口）だが、その後外部との通信路（バックドア）を確保し、侵入したシステムに有効な武器（マルウェア）をダウンロードし、業務サーバーへと感染を広げる（横展開）。標的の財務データや機密情報、顧客名簿や取引情報など「金目」のものを抜き出したあと、データの暗号化を行い、脅迫に移る。

このような動きは、脅迫する部分を除くと、これまでAPTと呼ばれる高度な標的型攻撃（多くは国が関与するサイバー攻撃）に用いられていた手法だ。しかもこの攻撃では、重要データの窃取がポイントであり、暗号化は標的を動揺させるためのデモンストレーションでしかなくなっている。

アサヒHDやアスクルの事例は、業務データや機密データが一部流出したという情報もあり、詳細を各社・当局が調査をしている。おそらく暴露型ランサムウェアによる攻撃だったはずだ。ランサムウェア攻撃は新しい局面に入っているのである。

アサヒHDの攻撃では「Qilin」というランサムウェアグループが攻撃を行ったとされる。Qilinは麒麟の中国語読み（チーリン）のことだが、グループはロシア系とされる。このグループ、またはQilinランサムウェアによる攻撃は2025年9月以降だけでも世界中で被害が報告されている。

特定のグループが日本を集中的に攻撃している可能性を指摘する声もある。また、7月にSAP（ERPの世界的大手SIer）が脆弱性情報を公開したことを受けて、その脆弱性を利用した攻撃ではないかと分析する専門家もいる。

現時点では詳細は不明だが、原稿執筆時点で2社への攻撃の関連性を断定できる情報はない。日本で大規模な被害が連続した状況が特殊かというと、これもそうでもない。