概要:破壊型攻撃とは
Google Cloud / Mandiantは2026年3月、「Proactive Preparation and Hardening Against Destructive Attacks: 2026 Edition」を公開しました。本記事ではこのレポートの要点を日本語で解説します。
破壊型サイバー攻撃とは、データの破壊、証拠の隠滅、またはシステムを操作不能にすることを目的とした攻撃です。ランサムウェアのように金銭目的ではなく、ワイパー型マルウェアを使ってディスク上のデータを上書き・消去し、組織の事業継続そのものを破壊します。
地政学的な紛争が発生すると、サイバー攻撃は安価かつ即座に展開可能な「武器」として使われます。Mandiantは、紛争や国際的な緊張の高まりに伴い破壊型攻撃のリスクが増大すると警告しています。
ランサムウェアはデータを暗号化して身代金を要求しますが、復号の可能性があります。ワイパーはデータを完全に破壊・上書きし、復旧手段を意図的に排除します。ワイパーは身代金を装って配布されることもあり、被害はランサムウェアの比ではありません。
組織レジリエンスの確立
Mandiantは技術的な対策だけでなく、組織としての危機対応力(レジリエンス)を重視しています。
①帯域外(Out-of-Band)の指揮・通信手段の確保
社内のメールやTeamsが攻撃でダウンした場合に備えて、企業のIDプレーンとは完全に切り離された通信手段を事前に確立しておくことが推奨されています。例えば、別契約のメッセージングサービスや衛星電話など、主要システムに依存しない連絡経路です。
②業務継続・復旧計画の策定
重要業務について手動での暫定運用手順を整備し、アプリケーションの復旧優先順位と依存関係をマッピングしておくことが求められます。
③信頼できるサードパーティとの事前契約
インシデント対応、フォレンジック調査、法務支援、ランサムウェア交渉などの専門業者と事前に契約を締結しておくことで、有事に即座に支援を受けられる体制を構築します。
④復旧訓練の実施と改善
イミュータブル(変更不可能な)バックアップからのエンドツーエンドの復旧訓練を定期的に実施し、RTO(目標復旧時間)とRPO(目標復旧時点)が現実的であることを検証します。
外部公開資産の特定と防御
攻撃者は外部からアクセス可能な資産(VPN装置、Webアプリケーション、リモートアクセスサービス等)の脆弱性を突いて初期侵入を試みます。Mandiantは以下の対策を推奨しています。
- 攻撃対象領域(ASM)の把握:Mandiant ASMやクラウドプロバイダーの機能(Azure Defender EASM、GCP Security Command Center、AWS Inspector等)を活用して外部公開資産を継続的に発見・評価
- 脆弱性の迅速なパッチ適用:外部公開サービスの脆弱性は最優先でパッチを適用。特にVPN装置(FortiGate、Palo Alto、Ivanti等)は攻撃者の最重要ターゲット
- 侵害の痕跡の確認:パッチ適用だけでなく、既に不正アクセスの痕跡がないかログを確認
| クラウドプロバイダー | 攻撃対象領域の発見機能 |
|---|---|
| Google Cloud | Security Command Center |
| AWS | AWS Config / Inspector |
| Microsoft Azure | Defender External Attack Surface Management(EASM) |
MFA強化と認証方式のリスク
Mandiantは外部公開資産へのMFA適用を必須としつつ、MFA方式ごとのリスクを明確にランク付けしています。
MFA方式の安全性ランキング(最も安全→最も脆弱)
| 順位 | 方式 | リスク評価 |
|---|---|---|
| 1(最安全) | FIDO2/WebAuthn セキュリティキー・パスキー | フィッシング耐性あり。最も推奨 |
| 2 | ハードウェア/ソフトウェアOAuthトークン | 高い安全性 |
| 3 | 認証アプリ(Microsoft Authenticator等) | 良好。番号照合を推奨 |
| 4 | TOTP(ワンタイムパスワード) | シード漏洩時に複製されるリスク |
| 5 | プッシュ通知 | MFA疲労攻撃に脆弱。番号照合で軽減 |
| 6 | 電話/SMS認証 | SIMスワップ攻撃・傍受に脆弱 |
| 7(最脆弱) | メールベース認証 | メール侵害時にMFAごと突破される |
SMS認証は暗号化されておらず、SIMスワップ攻撃で攻撃者に転送されるリスクがあります。プッシュ通知は「MFA疲労攻撃」(大量のプッシュを送り続けてユーザーが誤って承認するのを待つ攻撃)に脆弱です。可能な限りFIDO2セキュリティキーへの移行を推奨します。
検知すべき認証異常
| 検知ユースケース | MITRE ATT&CK | 概要 |
|---|---|---|
| ブルートフォース | T1110 | 単一ユーザーに対する外部IPからの大量のログイン失敗 |
| パスワードスプレー | T1110.003 | 同一IPから多数のアカウントへのログイン試行 |
| MFA連続失敗(同一ユーザー) | T1110 / T1078 | 認証情報が漏洩している可能性 |
| MFA連続失敗(同一ソース) | T1110.003 | 複数アカウントの認証情報が漏洩している可能性 |
| 特権アカウントの外部認証 | T1078 | 管理者アカウントは内部の特権アクセスワークステーションからのみアクセスすべき |
| AiTMセッショントークン窃取 | T1557 | MFA成功後、過去のセッションと異なるIP/ASNからのアクセス |
Active Directoryの保護
Mandiantのレポートでは、破壊型攻撃の多くがActive Directory(AD)の侵害を経由していると指摘しています。攻撃者はADのドメイン管理者権限を取得した後、グループポリシー(GPO)を使ってワイパーマルウェアを全端末に配布するパターンが典型的です。
- 特権アカウントの最小化:Domain Adminsグループのメンバーを最小限に制限
- 特権アクセスワークステーション(PAW):管理者はインターネットアクセスのない専用端末から管理操作を実施
- LAPS(Local Administrator Password Solution):ローカル管理者パスワードを端末ごとに一意化し、ラテラルムーブメントを防止
- Kerberoasting対策:サービスアカウントのパスワードを長く複雑にし、定期的に変更
- GPOの監視:グループポリシーの変更を監視し、不審な変更を即座に検知
バックアップと復旧戦略
破壊型攻撃に対する最後の防衛線はバックアップです。Mandiantは以下の原則を推奨しています。
- イミュータブルバックアップ:攻撃者がバックアップデータを改変・削除できない「変更不可能な」バックアップの確保
- ネットワーク分離:バックアップサーバーを本番環境とは異なるネットワークセグメントに配置し、管理用の認証情報を分離
- 3-2-1ルールの徹底:3つのコピー、2種類のメディア、1つは遠隔地(オフサイトまたはクラウド)
- 定期的な復旧テスト:バックアップからの復旧が実際に機能するかを定期的にテスト。RTOとRPOが現実的であることを検証
- ADの復旧手順:Active Directoryの復旧は最優先。ADが復旧しなければ他のシステムも認証できない
検知の仕組み
Mandiantは破壊型マルウェアの具体的な検知ルールを公開しています。以下は代表的なものです。
| 検知ルール | 検知対象 |
|---|---|
| BABYWIPER File Erasure | ワイパーマルウェアによるファイル消去 |
| Overwrite Disk Using DD Utility | ddコマンドによるディスク上書き |
| Bcdedit Modifications Via Command | ブート設定の改変(復旧妨害) |
| Disabling Crash Dump For Drive Wiping | クラッシュダンプ無効化(証拠隠滅) |
| Suspicious Wbadmin Commands | Windowsバックアップの削除 |
| Multiple Exclusions Added To Windows Defender | Defenderの除外設定追加(マルウェア回避) |
| Fsutil File Zero Out | ファイルのゼロフィル(データ破壊) |
これらの検知ルールはMITRE ATT&CKフレームワークと紐づけられており、Google Security Operations(SecOps)で利用可能です。自社のSIEM/EDRでも同様の検知ルールを実装することを推奨します。
まとめ:今すぐ取り組むべき5つの対策
| 優先度 | 対策 | 効果 |
|---|---|---|
| 1 | 外部公開資産の棚卸しと脆弱性パッチ適用 | 初期侵入の防止 |
| 2 | 全ユーザーへのMFA適用(FIDO2推奨) | 認証情報の窃取による侵入の防止 |
| 3 | Active Directoryの特権アカウント最小化とLAPS導入 | ラテラルムーブメントの抑止 |
| 4 | イミュータブルバックアップの確保と復旧テスト | 破壊からの復旧保証 |
| 5 | 帯域外の通信手段と復旧計画の事前整備 | 有事の組織対応力の確保 |
破壊型攻撃は発生頻度こそ低いものの、一度発生すると事業そのものが壊滅的な被害を受けます。Mandiantのレポートが示す対策は、破壊型攻撃に限らず、ランサムウェアや標的型攻撃への防御にも有効です。まずは外部公開資産の棚卸しとMFAの強化から着手しましょう。