2026年3月31日

はじめに

2026年2月、神奈川県某大学病院にてランサムウェアの被害があったことが公表されました。院内サーバへの不正アクセスにより患者情報が流出した可能性があると報じられています。
今回の事件では、医療機器の保守用VPN装置が侵入経路として悪用されていたことが確認されています。VPNは本来安全なリモート接続を提供する仕組みです。しかし同時に、内部ネットワークへの入口である以上、最も狙われやすいポイントの一つとも言えます。実際に警視庁が公開しているデータでも、VPN やリモートデスクトップ機器からの侵入が全体の８割以上を占めていると報告されており^※1、潜在的なリスクの高さがうかがえます。
昨今のリモートワークの普及に伴い、VPN利用がこれまで以上に拡大している中でのこのような事案は、医療機関に限らず多くの組織にとってセキュリティの見直しを促す重要な警鐘となりました。ランサムウェアへの対策においては、「侵入されないこと」が第一ですが、それと並んで重要なのが「侵入された後いかに早く気づき、対処できるか」という視点です。本コラムでは、近年被害の多い「VPNを起点としたランサムウェア攻撃」に対し、Flowmon ADSでどのような対策ができるのか、その優位性について解説いたします。

*1 参考：令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について – 警察庁サイバー警察局

拡大するランサムウェア被害の現実と狙われるVPN

ランサムウェアとは、標的の企業や組織のデータを不正に暗号化するマルウェアの一種です。データを暗号化して利用不可にすることで業務停止に追い込み、その復号と引き換えに身代金（ランサム）を要求するという手口に利用されます。さらに近年においては、単にデータを暗号化するだけではありません。暗号化の前にデータを窃取し、支払いに応じなければ公開すると脅迫する“ダブルエクストーション”型が主流になっています。
一般的な攻撃の流れは次の通りです。

• 1. 初期侵入
• 2. 内部ネットワークの偵察
• 3. 権限昇格と横展開
• 4. 外部C2サーバとの通信確立
• 5. データ窃取
• 6. ランサムウェアの一斉実行

攻撃の最初の段階である初期侵入にはメールや偽のWEBページを使ったフィッシングや、社内サーバの脆弱性を狙うものなど様々ありますが、VPN装置も狙われやすい侵入口の一つです。VPNやリモートアクセス機器は、業種問わず幅広く利用されていますが、保守用VPNのように利用頻度が少ない場合や、外出先や自宅からの一時的な接続にしか利用されないような場合には、メインのIT系統に比べて管理が後回しになりがちです。ファームウェア更新の滞りや、既知の脆弱性の放置、不十分な認証設定など、些細な“穴”でも非常に大きな危険を招く可能性があります。
また、こうしたランサムウェア攻撃で特に注意すべきなのは、侵入から暗号化実行までに一定の潜伏期間があるケースが多いことです。ファイアウォールで外部からの侵入を阻んだり、アンチウイルスでマルウェアを検出したりといった従来型のセキュリティ対策は、既知の脅威や端末単位の検知には有効な半面、正規アカウントを使った不正ログインや、シグネチャに一致しない未知の脅威は見落としやすい傾向にあります。こうして一度侵入・感染を見逃してしまうと、境界型防御やエンドポイントセキュリティでは攻撃に気づくことすら困難になります。

Flowmon ADSで検知可能なランサムウェアの”振る舞い”

ここで有効となるのが、ネットワーク全体の通信挙動を可視化し、異常を検知するNDR（Network Detection & Response）の考え方です。Flowmon ADS（以降ADS）はフローデータ（NetFlow/IPFIX）を用いてネットワーク全体を監視、通信の振る舞いから脅威を検知します。
ここでは、VPN装置が侵入口になったケースを想定し、段階ごとに見てみましょう。

フェーズ1：不審なVPN接続の検知

VPNを利用して不正なアクセスが発生した際、ADSは次のような異常を可視化できます。

• 業務時間外のVPN接続
• 通常と異なる地域からの接続
• 1セッション内での大量の内部通信

機械学習によるベースライン分析により、「普段の利用状況との違い」を検出できます。これにより、侵入直後の段階で気付ける可能性が高まります。

フェーズ2：横展開の兆候検知

侵入後、攻撃者は内部ネットワークを探索します。短時間に多数のIPへ接続する動きや、通常は通信しないセグメント間のアクセス増加は、典型的な横展開の兆候です。ADSでは次のような通信として検知することができます。

• 解放されているポート/ホストのスキャニング
• 多様な接続先/サービスへの通信
• ネットワーク内部での不審な大容量通信

フロー情報からこうした不自然な通信パターンを捉え、ランサムウェアによる暗号化前の段階で検知できれば、被害拡大を防ぐことができます。

フェーズ3：C2通信やデータ流出の検出

ランサムウェア攻撃では、外部サーバとの通信やデータ送信が行われます。ADSは、

• 周期的な外向き通信
• 通常業務では見られない通信先
• DNSトンネリングの疑い

といった挙動を検知できます。データ窃取段階で対応できれば、ダブルエクストーションのリスクを大きく低減できます。

フェーズ4：インシデント対応の支援

ADSはフロー分析機Flowmon Collectorにインストールする形のソフトウェアであることも大きな利点となっており、万が一インシデントが発生してしまった後でも、Collectorが保持するフローデータが通信の証跡として役立ちます。

• 通信証跡の保全
• 侵入経路・感染範囲の特定
• 感染端末のデータアクセスの追跡

Flowmon 1台で異常の検知から原因・影響範囲の調査まで一元的に支援できるため、インシデント後の対応を迅速に進めることができます。

おわりに

ランサムウェア被害で耳にすることの多いVPNですが、今やどのような組織にとっても欠かせないものとなっています。便利なVPNを安全に使い続けるために、機器の更新や設定強化はもちろん重要ですが、それだけでリスクをゼロにすることは難しいのが現状です。だからこそ、

• 侵入後の挙動を継続的に監視すること
• 横展開の兆候を早期に検知すること
• データ流出を未然に防ぐこと
• 被害後も迅速に原因を特定すること

といった多層的な視点が求められます。
振る舞い検知型NDR「Flowmon ADS」は、こうしたランサムウェア感染後の迅速な対応の実現に最適です。フローデータを用いてネットワーク全体を監視し、小さな異変の発見はもちろん、感染端末の追跡や侵入経路の特定まで、ランサムウェア対策を支える基盤としてお使いいただけます。侵入を完全に防ぐことが困難になっている現代において、「ネットワーク内の振る舞いを監視する仕組み」を持つことが、組織を守るための大きな一歩になるのではないでしょうか。

◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

Flowmon製品に関する
お問い合わせはこちらからどうぞ