サイバーセキュリティナビ

最新のサイバーセキュリティニュースサイトです。日本サイバーセキュリティ株式会社がお届けします。

アスクルへの二度目のデータ公開—RansomHouseの執拗な攻撃戦術から学ぶ現代のサイバーセキュリティ対策

セキュリティニュース

2025年10月末にアスクルへのサイバー攻撃で犯行声明を出したランサムウェアグループRansomHouse。そして11月上旬、彼らは再び動きました。今度は2回目となるデータ公開を実施したのです。

この事案は、現代のサイバー攻撃がいかに執拗で計画的であるかを如実に示しています。私たちはこの事例から何を学ぶべきなのでしょうか。今回は、RansomHouseという特異なグループの手口と、企業が取るべき対策について深く掘り下げていきます。

2回目のデータ公開が示す新たな脅威の形

11月上旬に公開された2回目のデータには、社員のメールアドレスリスト、社内フォルダの構造情報、サポート関連の資料などが含まれていたとされています。これは単なる「公開」ではありません。段階的に情報を小出しにする戦術は、被害企業に対する心理的圧力を最大化する狙いがあるのです。

1回目の公開で企業側の反応を見て、2回目でさらに圧力をかける。この手法は近年のサイバー攻撃者たちが好んで使う「二重恐喝」の進化形とも言えるでしょう。被害企業は身代金を支払うか、さらなる情報公開のリスクを受け入れるか、究極の選択を迫られることになります。

RansomHouseという異色のグループの正体

2022年3月に登場したRansomHouseは、ランサムウェアグループの中でも極めて異質な存在です。なぜなら、彼らは「データを暗号化しない」という特徴を持っているからです。

通常のランサムウェア攻撃では、侵入後にシステム内のデータを暗号化し、その復号化と引き換えに身代金を要求します。しかしRansomHouseは暗号化を行わず、盗んだデータの公開を脅迫材料にする「恐喝専門」のグループなのです。セキュリティ企業SentinelOneもこの点を指摘しており、多面的な恐喝脅威として分類しています。

彼らの侵入手法は多岐にわたります。フィッシングメールによる初期侵入、標的型攻撃メール、そしてサードパーティシステムの脆弱性を突く手法など。日本企業を標的にするケースは比較的稀ですが、2024年には元旦ビューティ工業への攻撃、そして2025年10月にも別の日本企業への攻撃を主張しています。

このグループの恐ろしさは、暗号化という痕跡を残さずに静かに情報を持ち出す点にあります。システムが正常に動作しているように見えても、実は裏で大量のデータが流出している可能性があるのです。

データ公開型攻撃がもたらす深刻な影響

RansomHouseのような「データ公開型」の攻撃は、従来のランサムウェアとは異なる深刻さを持っています。

暗号化型のランサムウェアであれば、バックアップからシステムを復旧できれば業務継続は可能です。しかし、データが外部に流出し公開されてしまった場合、その影響は取り返しがつきません。顧客情報、取引先情報、社内の機密文書などが一度インターネット上に拡散されれば、完全に削除することは事実上不可能なのです。

社員のメールアドレスリストが公開されることの意味を考えてみましょう。これらのアドレスは次なる攻撃の起点になり得ます。標的型フィッシングメールの送信先として悪用されたり、パスワードリスト攻撃の対象になったりする可能性があるのです。

社内フォルダ構造の情報も同様です。企業のどこにどんな情報が保管されているかが外部に知られることで、組織の内部構造そのものが丸裸にされてしまいます。これは競合他社による産業スパイ活動に悪用されるリスクもあります。

企業が今すぐ実施すべき多層防御策

では、RansomHouseのような攻撃からどのように企業を守ればよいのでしょうか。

まず基本となるのはゼロトラストの考え方です。社内ネットワークだからといって無条件に信頼しない。すべてのアクセスを検証し、必要最小限の権限のみを付与する。この原則を徹底することで、侵入者の横展開を防ぐことができます。

次に重要なのは異常なデータ移動の検知です。RansomHouseは暗号化を行わないため、従来のランサムウェア検知ツールでは見逃される可能性があります。しかし、大量のデータが外部へ転送されるという異常な通信パターンは必ず存在します。EDRやSIEMなどのツールを活用し、こうした異常を早期に検知する体制を整えましょう。

従業員教育も欠かせません。フィッシングメールや標的型攻撃メールを見抜く力を養うことは、侵入の入り口を塞ぐ最も効果的な手段です。定期的な模擬訓練を実施し、セキュリティ意識を高く保つことが大切です。

そして、もし攻撃を受けてしまった場合のインシデントレスポンス計画を事前に策定しておくこと。誰が何をするのか、どの機関に報告するのか、顧客や取引先への通知はどのタイミングで行うのか。これらを事前に決めておくことで、混乱を最小限に抑えられます。

サードパーティシステムの脆弱性管理も見逃せません。自社のシステムは堅牢でも、連携している外部サービスが攻撃の入り口になることがあります。取引先や利用しているクラウドサービスのセキュリティ状況も定期的に確認しましょう。

まとめ

アスクルへの攻撃は、決して他人事ではありません。規模の大小を問わず、すべての企業が標的になり得る時代です。RansomHouseのような新しいタイプの脅威に対しては、従来の対策だけでは不十分。多層防御の考え方に基づき、技術的対策と人的対策を組み合わせた総合的なセキュリティ体制の構築が求められています。

今回の事案を教訓として、自社のセキュリティ対策を今一度見直してみてはいかがでしょうか。攻撃者たちは常に進化しています。私たちの防御も、それに合わせて進化し続けなければならないのです。

説明

Japan Cyber Security Inc. All Rights Reserved.