侵害は避けられない時代に必要なサイバー攻撃対策とは？

Googleから医療大手まで：侵害が制御不能に陥るとき
1. 「誰としてでもログイン可能」にしてしまう脆弱性
想像を絶する医療分野での侵害
通信業界への攻撃
Googleですら安全ではなかった
OTに対する3,300億ドルの警鐘
ラテラルムーブメントが共通の糸である理由
次にできること
最新のColorTokens Threat Advisoryにアクセス

Googleから医療大手まで：侵害が制御不能に陥るとき

ランサムウェアのグループは、ネットワーク内のすべてのドアをこじ開ける必要はありません。

必要なのは1つだけです。

そして一度内部に入れば、彼らは横方向に移動し、システムからシステムへと静かに渡り歩き、最終的に大当たりを見つけます。

この横方向移動（ラテラルムーブメント）こそが、今月いくつかの孤立した侵害を大きな見出しに変えた要因です。

ColorTokensのThreat Advisoryチームは、最新の脅威インテリジェンス・ブリーフで、攻撃者が自由に動き回れると何が起きるのかを強調しています。

Google Adsのデータ漏えいから記録的な医療分野での侵害まで、侵入を封じ込められるかどうかが被害の規模を左右するのです。

それでは、数字、見逃し、そして教訓を整理していきましょう。

「誰としてでもログイン可能」にしてしまう脆弱性

セキュリティツールはあなたを守るためのものです。

しかし時折、1つの欠陥が大混乱を引き起こすことがあります。

まさにそれがFortinetのWebアプリケーションファイアウォール、FortiWebで起きました。

研究者たちは、認証バイパスの重大な脆弱性（CVE-2025-52970、皮肉を込めて“Fort-Majeure：不可抗力”と名付けられた）を発見しました。

これにより攻撃者はログインをスキップし、任意のユーザーになりすますことができます。

考えてみてください。

本来はWebアプリケーションを守るために販売されている製品が、特定のバージョンでは攻撃者に「正しいクッキーを調整すれば使えるマスターキー」を与えてしまう可能性があるのです。

「このバグは、本来起こるはずのなかった静かな失敗を表しています――システムが守るために作られたのに、すべてを信頼せず何も守れなくなってしまうのです」と発見した研究者は述べています。

悪用は簡単ではありません。

ハッカーは検証番号を総当たりで突破し、かつアクティブなユーザーセッション中に狙う必要があります。

しかし、もし成功すれば、攻撃者は即座に管理者の椅子に座ることができるのです。

教訓：1つの制御に依存してはいけません。そして、防御が攻撃のベクトルになる可能性が「絶対にない」と思い込んではいけません。

想像を絶する医療分野での侵害

データ侵害においては、規模が重要です。そして今月、新たに深刻な記録が打ち立てられました。

UnitedHealth / Change Healthcare：米国保健福祉省（U.S. Department of Health and Human Services）は、Change Healthcareへのランサムウェア攻撃が1億9,270万人に影響を与えたことを確認しました。米国人口の約3分の2が、医療または保険データの一部を漏えいされたことになり、米国史上最大級の医療関連データ侵害の1つとなりました。
Sanderling Healthcare：再びランサムウェアが襲いかかり、社会保障番号、保険記録、さらには支払い情報までもが漏えいしました。訴訟がすでに動き始めています。
Michigan Medicine：1,000人以上の患者が、研究調査のためのハガキが封筒なしで送付されたことにより個人情報をさらされました。単純な郵送ミスがコンプライアンス上の悪夢となったのです。

医療分野は人命に直結しています。

だからこそ、ここでのラテラルムーブメントは単なるデータ喪失にとどまりません。

治療の遅延、手術や処置の中止、さらには財務的・評判的な損失を意味するのです。

通信業界への攻撃

被害を受けたのは病院だけではありません。欧州の通信事業者も深刻な打撃を受けました。

Bouygues Telecom（フランス）：侵害により640万人の顧客の個人データと銀行データが漏えいしました。パスワードは盗まれませんでしたが、IBAN（国際銀行口座番号）が流出しました。これにより詐欺やフィッシングの扉が開かれました。
Colt Technology Services（英国）：WarLockランサムウェアがサービス停止の責任を主張し、攻撃者は100万件の内部文書を20万ドルで販売すると申し出ました。研究者は侵入経路がMicrosoft SharePointのゼロデイ脆弱性であると考えています。

通信業界がつまずけば、その波及効果は甚大です。

顧客は信頼を失い、企業は接続性を失い、攻撃者はデータと身代金の交渉材料の両方を手にするのです。

Googleですら安全ではなかった

そうです、Googleでさえも。

攻撃者――具体的にはShinyHuntersグループ――はGoogle Adsに関連する企業向けSalesforce環境を侵害し、約250万件の記録を漏えいさせました。

侵入はコード経由だけではありません。

攻撃者はvishing（音声フィッシング）を使って従業員をだまし、悪意あるSalesforceアプリを承認させたのです。

一度内部に入ると、このグループはSalesforceのData Loaderを使ってデータを持ち出しました。

この侵害は1億9,200万件の医療記録と比べると小規模に聞こえるかもしれません。

しかし、重要な変化を示しています。

それは攻撃者がソーシャルエンジニアリングと横方向移動を組み合わせ、SaaSエコシステム内部を攻撃しているということです。

OTに対する3,300億ドルの警鐘

サイバーリスクはデジタルの世界だけに存在すると考えがちですが、DragosとMarsh McLennanのレポートは厳しい現実を突きつけています。

もしオペレーショナル・テクノロジー（OT）が停止すれば、現実世界に即座に影響が及ぶのです。

彼らのモデルによると、壊滅的なサイバーイベントが発生した場合、世界全体で3,300億ドルの損失が生じ、その半分以上はダウンタイムによるものでした。

食品の廃棄、製造の停止、出荷スロットの喪失、安全性違反による罰金――そうしたコストの連鎖は、身代金要求が小銭に見えるほどの規模になります。

しかし、このレポートではリスクを劇的に削減する3つの基本的な対策も明らかにしています。

継続的な監視：トラフィックの基準を設定し、異常を検知し、すべてをログ化する――脆弱なシステムを妨害することなく実施する。

OT専用のインシデント対応計画：生産ラインを隔離し、バックアップをオフラインに保ち、安全にシャットダウンする方法を訓練する。

防御可能なセグメンテーション：ITとOTのゾーンを分離し、ベンダーアクセスを制限し、東西（内部）の移動を制御する。

ラテラルムーブメントが共通の糸である理由

業界が違っても、攻撃ベクトルが違っても、同じ物語が繰り返されています。

攻撃者が侵入する（ゼロデイ、フィッシングの電話、あるいは単なるずさんな郵送手続きによって）
横方向に移動する（アプリ、データベース、OTネットワークをまたいで横展開する）
影響を拡大させる（データ窃取、ダウンタイム、あるいは本格的なランサムウェア攻撃）

その2番目のステップ――横方向移動こそが増幅要因なのです。

そこで止めることができれば、壊滅的な事態を封じ込め可能なインシデントへと変えられます。

しかし放置すれば、1億9,200万人に対してなぜ身元盗難保護が必要になったのかを規制当局に説明しなければならない事態に陥るのです。

次にできること

要点は以下の通りです。

マイクロセグメンテーションを導入し、ネットワークを小さく制御可能なセグメントに分割して、攻撃者が自由に動き回るのを防ぎましょう。これにより内部トラフィックをきめ細かく制御でき、横方向移動の脅威を大幅に低減できます。
迅速にパッチを適用しましょう。特にFortiWebのバイパスやMicrosoft GDI+の脆弱性のような重大な欠陥に対しては迅速な対応が必要です。
誰がシステム上でどこに移動できるのかを監査しましょう。侵害が発生することを前提とし、攻撃者が横方向に移動できないようにネットワークを設計してください。
インシデント対応の訓練はITだけでなく、OTやクラウド環境でも実施しましょう。

なぜなら、これまでのすべての事例において、被害は単なる侵入そのものからではなく、その後に攻撃者が自由に動けてしまったことから生じたからです。