バックアップごと破壊する新種ランサムウェアが登場、Azureが被害

サイバー攻撃の世界で、ランサムウェアの戦術が恐ろしい変化を遂げている。これまで主流だったエンドポイントのファイルを暗号化する手口から、クラウド環境そのものを人質に取る新たな手法へと移行しつつあるのだ。

米時間2025年8月27日にマイクロソフトが発表した、金銭目的の攻撃者グループ「Storm-0501」が仕掛けたAzure環境への攻撃は、この進化を象徴する事件といえる。

彼らは、もはや単なるマルウェアを送り込むだけではない。Azureに組み込まれた正規の機能を悪用してデータを大規模に窃取し、バックアップごと破壊した上で、Microsoft Teamsを通じて身代金を要求するという、より迅速で破壊的な攻撃を実行した。これは、従来の防御策が通用しなくなりつつある現実を突きつけている。

本記事では、クラウド環境そのものを人質に取る「クラウドベース型」のランサムウェアと従来のランサムウェアの違い、攻撃の手口、対策を紹介する。

参考記事：Storm-0501: Ransomware attacks expanding to hybrid cloud environments

オンプレからクラウドへ侵食する、攻撃手口

Storm-0501の攻撃は、複数の段階を経て実行される計画的かつ巧妙なものだ。その手口は、もはや単一のマルウェアに依存するのではなく、環境内に存在するツールや機能を悪用する「環境寄生型（Living Off the Land）」のアプローチをハイブリッドクラウド環境全体に拡張している。

フェーズ1：初期侵入と足場の確立

攻撃の起点となるのは、多くの場合、保護が手薄になりがちなオンプレミス環境である。攻撃者は、VPNアプライアンスの既知の脆弱性を突くか、フィッシングや情報漏洩によって窃取した認証情報を利用して、組織のネットワークへの最初の侵入口を確保する。

一度内部に侵入すると、彼らはすぐには目立った活動を起こさず、潜行しながら内部の状況を偵察する。

フェーズ2：内部偵察と権限昇格

ネットワーク内に足場を築いた攻撃者は、Active Directoryの構造を偵察し、権限昇格の機会をうかがう。彼らの主な標的は、オンプレミスとクラウド環境のIDを同期する役割を担う「Microsoft Entra Connect Sync」サーバーである。

このサーバーの管理者権限を奪取することが、クラウド環境へ侵攻するための最重要目標となる。

フェーズ3：クラウドへの横展開（ピボット）

攻撃の転換点は、Microsoft Entra Connect Syncサーバーの掌握にある。このサーバーを乗っ取った攻撃者は、同期プロセスを悪用し、Azure環境に対する強力な権限を持つアカウントを作成、あるいは既存のアカウントを乗っ取る。

多要素認証（MFA）が設定されていない特権アカウントは、格好の標的となる。この段階で、攻撃者はオンプレミスの侵入者から、正当な権限を持つクラウドユーザーへと姿を変える。

攻撃者が用いる具体的な戦略

攻撃者が用いた具体的な戦術を表にまとめると、以下のようになる。

攻撃フェーズ	戦術	技術
初期アクセス	認証情報の窃取	有効なアカウントの悪用（盗難されたVPN認証情報）
権限昇格	防御回避	セキュリティソフトウェアの無効化
横展開	横展開	リモートサービス（RDP）、ドメインコントローラへのアクセス
クラウドへのピボット	権限昇格	Microsoft Entra Connect Syncサーバーの掌握、特権アカウントの作成・乗っ取り
クラウドでの活動	データの収集と破壊	Azure Storage Explorerなど正規ツールを用いたデータ窃取、AzureネイティブAPIによるデータとバックアップの削除
影響	データ破壊、恐喝	仮想マシンの削除、ストレージアカウントの削除、Teamsチャネル経由での身代金要求

「従来型」と「クラウドベース型」、2つのランサムウェアの違い

ランサムウェアは、かつて「データを人質に取る」行為だったものが、クラウド時代を迎え、「事業基盤そのものを破壊する」脅威へと変貌を遂げた。従来型ランサムウェアとクラウドベース型のランサムウェアは、似て非なるものだ。

従来型とクラウドベースのランサムウェアは、標的から復旧方法に至るまで、あらゆる側面で異なるアプローチを取る。主な違いは以下の通りである。

観点	従来型ランサムウェア	クラウドベースランサムウェア（Storm-0501型）
主たる標的	PCやサーバー上に存在する「ファイル」	クラウド基盤そのもの（ストレージ、VM、バックアップ）
攻撃手法	マルウェアを実行させ、データを「暗号化」する	クラウドのAPIを悪用し、リソースを「破壊・削除」する
影響範囲	ファイルが読めなくなるが、インフラは残存する	データとインフラ（VM、バックアップ含む）が完全に消去される
検知の焦点	EDRやアンチウイルスによるマルウェアの検知	ID管理やクラウドAPIの異常な振る舞いの監視
復旧の鍵	隔離されたバックアップからのデータリストア	クラウドアカウントの奪還とインフラ全体の再構築
攻撃者の最終目的	データの復号と引き換えの身代金	事業継続能力の完全な破壊を盾にした二重恐喝

「バックアップがあれば安心」は過去の常識

クラウドベースランサムウェアの登場から浮かび上がる最も重要な変化は、「バックアップ」の価値が相対的に低下したことだ。

従来型ランサムウェア攻撃においては、オフラインや別系統で保管されたバックアップは、まさに切り札だった。攻撃を受けたとしても、バックアップからデータを復元すれば事業を再開できた。

しかし、Storm-0501のようなクラウドベースの攻撃者は、その復旧プロセスそのものを破壊する。彼らは管理者権限を奪取した後、本番環境のデータだけでなく、クラウド上に存在するスナップショットやバックアップデータも、API経由でまとめて削除してしまう。こうなると、復旧は単なる「リストア」では済まない。ゼロからインフラを再構築し、窃取されたデータが公開されないことを祈るしかなくなる。

攻撃者は、もはやデータを暗号化する手間すら不要なのだ。クラウドのコントロールパネルを乗っ取り、削除ボタンを押すだけで、より迅速かつ壊滅的なダメージを与えられることを知ってしまったのである。

クラウドベースランサムウェアの対策

クラウドベースのランサムウェアは、もはやデータ暗号化という生ぬるい手法を取らない。彼らはクラウドの管理権限そのものを奪い、事業基盤であるインフラを根こそぎ破壊する。

この新たな脅威に対して、従来のエンドポイントセキュリティやファイアウォールといった境界防御は、もはや気休めにしかならない。今求められるのは、「侵入されること」を前提とした、ID中心の多層的な防御戦略である。

攻撃の連鎖を断ち切るための、具体的アプローチ

Storm-0501の攻撃チェーンを振り返ると、防御の要点が自ずと見えてくる。それは、オンプレミスからクラウドへの侵入経路を塞ぎ、たとえ侵入されても被害を最小限に食い止め、そして万が一の事態から確実に復旧する能力を持つことだ。これらを実現するための具体的な対策を以下に示す。

防御領域	具体的な対策	目的
IDとアクセス管理	全ての特権アカウントへの多要素認証（MFA）を強制する。Microsoft Entra Connectサーバーを要塞化し、物理的・論理的にアクセスを厳格に制限する。	クラウドへの最初の侵入口となりうるIDの乗っ取りを防ぎ、攻撃の起点そのものを排除する。
権限の最小化	最小権限の原則を徹底し、ユーザーやサービスには必要最低限の権限のみを付与する。Just-In-Time（JIT）アクセスやPrivileged Identity Management（PIM）を活用し、恒久的な管理者権限をなくす。	万が一アカウントが侵害されても、攻撃者が実行できる操作を限定し、被害範囲（ブラスト半径）を極小化する。
監視と検知	クラウドネイティブなセキュリティツール（Microsoft Defender for Cloudなど）を活用し、APIの異常な呼び出し、予期せぬ場所からのアクセス、大量のデータ転送（AzCopyなど）といった不審なアクティビティを常時監視する。	正規のツールを悪用した攻撃活動を早期に検知し、自動化された対応（アカウントの無効化など）によって被害が拡大する前に対処する。
バックアップ戦略	バックアップデータをイミュータブル（不変）ストレージに保管し、設定された期間中は管理者権限を持つアカウントでも削除・変更ができないようにする。可能であれば、完全に別のテナントや別クラウドにバックアップを退避させる。	攻撃者によるバックアップの破壊を防ぎ、インフラが完全に破壊された後でも事業を復旧できる「最後の砦」を確保する。

ゼロトラストの実践

これらの対策の根底に流れる思想が「ゼロトラスト」である。これは「何も信頼せず、全てを検証する」という考え方だ。社内ネットワークだから安全、正規のツールだから問題ない、といった従来の思い込みを捨て去る必要がある。

攻撃者は、我々が日常的に利用するツールやアカウントを悪用して内部から攻撃を仕掛けてくる。だからこそ、防御の境界線をネットワークの入口から個々のIDやデータ、デバイスへとシフトさせなければならない。全てのアクセス要求をその都度検証し、振る舞いを監視し、権限を最小化すること。これこそが、クラウドインフラを破壊しようとする現代の攻撃者に対する唯一にして最も効果的な処方箋なのだ。