断続的暗号化とは？進化するランサムウェア手口と企業がとるべき対策

企業の情報システム部門に携わる方であれば、ランサムウェアという言葉を耳にする機会は多いのではないでしょうか。特に昨今は、従来の暗号化手法ではなく、一部のデータのみを切り取って暗号化する「断続的暗号化（Intermittent Encryption）」という手口が注目されています。これは攻撃者にとって効率的であるうえに、セキュリティソリューションの検出をすり抜けやすくなるという厄介な特徴を持っています。
この記事では、断続的暗号化とは何なのか、どのような仕組みで行われるのか、そしてどのようなリスクや被害事例があるのかをわかりやすく解説します。あわせて、その対策として企業が実践すべきポイントを整理してみますので、ランサムウェア対策の一助としてお役立てください。

ランサムウェアは、ファイルを暗号化して身代金を要求するマルウェアとして知られています。もともとはファイル全体を暗号化する手口が一般的でしたが、セキュリティ対策が進むと攻撃者側もより巧妙な方法を模索するようになりました。その結果として登場したのが「断続的暗号化」です。

この手法では、ファイル全体ではなく、一部だけを細切れに暗号化します。これにより、暗号化処理が高速化しやすく、従来型の暗号化よりも検知されにくいとされています。加えて、すべてのファイルをまるごと暗号化してしまうと時間がかかるため、エンドポイントセキュリティツールなどに気づかれやすいのですが、部分的に行うことで監視をかいくぐりやすくなっているわけです。

通常の暗号化手法との違い

従来型のランサムウェアは、標的のファイルを丸ごと暗号化してしまうため、攻撃を受けた側がすぐに「被害」に気づくという特徴がありました。しかし断続的暗号化は、ファイルの必要最低限の領域だけを暗号化するため、暗号化による負荷が比較的軽く、検知やブロックが遅れる可能性があります。
また、部分的に暗号化されてもファイルの整合性は壊れているので、被害者にとっては結局ファイルを開くことができなくなります。一方で攻撃者にとっては、時間をかけずに多くのファイルを暗号化できるというメリットがあります。こうして、攻撃者は素早く犯行を終わらせ、身代金を要求する手口を加速させているのです。

ファイル分割型暗号化

断続的暗号化の代表的な手法として挙げられるのがファイル分割型暗号化です。あらかじめファイルを複数のセクションに分割しておき、特定の領域のみを集中して暗号化していきます。攻撃者はファイル構造の弱点をうまく利用することで、表面的には大きな変更を加えずにファイルを無力化できます。
これによって従来のアンチウイルスやエンドポイントセキュリティ製品が「ファイル全体が暗号化される異常動作」を検知しにくくなり、一部のみを書き換えるような形になるため、攻撃の気配をつかみにくくなるのです。

部分暗号化（インライン暗号化）

もう一つの手法として「部分暗号化」または「インライン暗号化」と呼ばれる方法があります。これは、ファイル全体を分割するのではなく、特定のバイト範囲や行のみを狙って暗号化する手段です。狙いとしては、システムに負担をかけず素早く攻撃を完了させることに加え、セキュリティツールが異常を検知する時間を与えない点にあります。
例えば、ファイルの先頭部分や重要なメタデータ領域だけを暗号化することで、ファイルは開けない状態になりますが、システム全体の動作には一見大きな変化が起こらないように見せられます。こうした工夫によって、被害者が「何かおかしい」と気づいたときには、すでに多くのファイルが手遅れになっている状況が生まれてしまいます。

セキュリティソリューションの検知回避

断続的暗号化の最も厄介な点は、多くのセキュリティソリューションにとって検知が難しいことです。従来のランサムウェアであれば、ファイル全体を乱暴に暗号化しようとする動作が、セキュリティツールのアラートを発生させる重要な手がかりとなっていました。しかし断続的暗号化の場合は、小出しに暗号化するため、異常とみなされる挙動が短時間・断続的に起こるだけになります。
検知率の高いツールを導入していても、ログの解析が十分でなかったり、リアルタイムでの監視体制が脆弱であったりすると、見過ごしてしまうリスクがあります。特に大規模な企業のシステムの場合、膨大なログの中から断続的な暗号化を見つけ出すのは難易度が高い作業といえます。

企業システムへの影響と被害事例

実際に断続的暗号化の手口による被害が報告されており、業務に深刻な支障が出るケースも増えてきました。復旧のために要する時間や費用が大幅にかさむだけでなく、顧客情報や従業員の個人情報が外部に流出するリスクもゼロではありません。
さらに、ランサムウェア攻撃者は「暗号化したファイルを元に戻したければ金銭を支払え」という手口に加え、「支払わなければ盗んだデータを公開する」と脅迫するケースもあります。こうした二重・三重の脅迫に対処するには、強固なバックアップ体制や事前のインシデント対応計画が不可欠になります。

🟢監視システム強化と早期検知

断続的暗号化を阻止するうえで重要になるのは、異常をできるだけ早く検知して対処する体制づくりです。具体的には、EDR（Endpoint Detection and Response）やSIEM（Security Information and Event Management）など、リアルタイムで端末やログを監視する仕組みを導入し、ちょっとした異変でも見逃さないようにしておく必要があります。
また、検知した異常をチーム内で迅速に共有し、対応策をスピーディに実行できるような運用体制も求められます。定期的なサイバー演習や訓練を実施し、万が一ランサムウェアに感染した際の対応フローをシミュレーションしておくことも大切です。

🟢データバックアップとDR（ディザスタリカバリ）対策

部分的に暗号化されたファイルは使いものにならなくなってしまいますが、直近のバックアップがしっかり存在すれば復元できます。したがって、普段からバックアップを複数の場所や媒体で行い、オフラインでもアクセス可能な形で管理しておくことが基本となります。
さらに、災害やランサムウェア攻撃によってシステム全体がダウンしても、素早く復旧できるようDR（ディザスタリカバリ）対策を整備しておくと安心です。クラウドベースのバックアップや定期的なリストアテストを実施することで、バックアップデータがきちんと使える状態なのかを常に確認しておきましょう。

🟢社内教育と標的型攻撃への備え

ランサムウェア攻撃の多くは、電子メールなどを通じて侵入経路を確保するのが一般的です。したがって、従業員一人ひとりが標的型フィッシングメールに注意し、不審なリンクや添付ファイルを開かないようにする啓発活動は欠かせません。
また、万が一感染が広がってしまった場合にも、どのように切り分けを行い、被害を最小化するかという対応策を事前にシミュレーションしておくと、被害を大きく抑えることができます。セキュリティは技術面だけでなく、人や組織がどのように動くかも重要な要素です。

断続的暗号化は、ランサムウェアの進化形として近年注目を集めています。ファイル全体を暗号化するのではなく、一部だけを断続的に暗号化することで、セキュリティソリューションの目をかいくぐりやすくなり、多くのファイルが短時間で人質に取られる可能性が高まっています。企業としては、単にアンチウイルスやファイアウォールを導入するだけでなく、EDRやSIEMといった監視体制の強化、堅牢なバックアップ・DR対策、そして社内教育を組み合わせた多層的な対策が求められます。
ランサムウェア攻撃は企業の重要データを失うリスクにとどまらず、業務停止や信頼失墜といった大きな損失を招きかねません。最新の脅威として注目される断続的暗号化を十分に理解し、セキュリティ対策を見直すことが、これからの企業にとっては急務といえるでしょう。

✅未知の攻撃にも対応できるセキュリティツールの導入

サイバー攻撃に対処するためには、最新のセキュリティツールの導入が不可欠です。特に、ランサムウェアやゼロデイ攻撃に対しては、従来のウイルス対策ソフトでは不十分であり、AIを活用したEDR（Endpoint Detection and Response）や次世代ファイアウォールの導入が効果的です。これらのツールは、未知の脅威にも迅速に対応でき、攻撃が発生する前にシステムを保護することが可能です。

✅セキュリティについて従業員教育を行う

サイバー攻撃対策を効果的に実行するためには、技術的なツールの導入だけでなく、従業員一人ひとりのセキュリティ意識を高めることも重要です。多くのサイバー攻撃は、従業員の不注意や不正な操作によって引き起こされるケースが少なくありません。特に、フィッシングメールや悪意のあるリンクをクリックしてしまうことによる情報漏えいは防止可能なものです。定期的なセキュリティ研修やシミュレーションを行うことで、従業員が最新の攻撃手法を理解し、適切な対応を取れるようになります。

✅セキュリティ対策のガイドラインを策定する

効果的なセキュリティ対策を実施するためには、企業ごとに具体的なセキュリティガイドラインを策定することが求められます。このガイドラインでは、データの取扱い方法、アクセス権の設定、アプリケーションの使用制限など、業務に関連するセキュリティポリシーを明確に定義します。従業員が守るべきセキュリティ基準を文書化することで、全員が一貫したセキュリティ対策を実施できる環境を構築します。

また、ガイドラインを定期的に見直し、最新のサイバー攻撃手法に対応するために必要な変更を加えることも重要です。企業の業務内容や使用する技術の変化に応じて、適切にセキュリティポリシーを更新することで、サイバー攻撃に対する防御力を維持できます。