病院が停止し、ブラウザが不正に動き出すとき
ベルギーのある病院は午前6時32分、自らのサーバーの電源を落としました。
既に何かがネットワーク内に侵入しており、それがどこまで広がっているのか誰にも分かりませんでした。
午前の半ばまでに、予定されていた処置は中止されました。
重症患者は赤十字の支援を受けて他施設へ搬送されました。
スタッフは紙ベースの業務に戻りました。
救急サービスは対応能力を縮小して運用されました。
通常は目に見えないシステムが、突如として問題の中心となりました。
最新のColorTokens Threat Advisoryのブリーフは、このようなパターンが医療、金融、そして接続されたインフラ全体で繰り返されていることを示しています。
攻撃者はラテラルムーブメントを行い、停止時間が人命、信頼、そして資金に直接影響を及ぼす組織を標的にしています。なり、人間による対応を前提とした従来の検知ツールでは追いつけなくなります。
医療分野への攻撃は想像以上に長く潜伏している
米国では、AllerVie Healthが1週間以上続いた不正アクセスを発見しました。
Artemis Healthcareは、検知されるまで攻撃者がほぼ1か月間アクセスしていたことを確認しました。
Central Maine Healthcareは、攻撃者が排除されるまで2か月以上にわたりシステム内に留まっていたと報告しました。
いずれのケースでも、攻撃者は患者記録、社会保障番号、治療内容、保険情報を保持するシステムに到達していました。
一部のグループはデータを窃取し、別のグループは身代金要求が失敗した後にそれを公開しました。
重要だったのはマルウェアの種類や身代金要求文ではなく、攻撃者がどれだけ長く自由に動き回る時間を持っていたかという点でした。
医療ネットワーク内に侵入している日数が1日増えるごとに、被害範囲は拡大します。
攻撃者がシステム間を移動できるようになると、問題は「医療提供が妨害されるかどうか」ではなく、「その影響がどれほど深刻になるか」へと変わります。
病院は見出しから消えた後も長期間にわたり復旧作業を続けます。
患者は長期的な個人情報リスクに直面します。
スタッフは日常的に依存しているシステムへの信頼を失います。
被害はさらに積み重なっていきます。
メールとブラウザが静かに攻撃者の侵入を助けている
Microsoftは、組織内部から送信されたように見えるフィッシングキャンペーンの急増を報告しました。
メールルーティングの設定不備により、攻撃者は内部ドメインを偽装でき、本物ではないにもかかわらず正規のメッセージのように見せることが可能になります。
これらのメールは、請求書詐欺、偽の人事通知、ドキュメント共有、認証情報を盗むトラップを届けます。
ユーザーがクリックすると、信頼されたチャネルを通じて届くため、正当なものと感じられる形で攻撃者にアクセスを許してしまいます。
別の側面では、研究者がChrome、Edge、Firefoxにおいて880万人以上のユーザーに感染したブラウザベースの攻撃を発見しました。
これらの拡張機能は無害に見え、場合によっては何年もの間クリーンな状態を保った後に活動を開始していました。
マルウェアは画像ファイルの中に隠れ、実行まで数日待機し、ページロードのごく一部でのみ発動しました。
防御側が気づいた時には、すでにインフラは構築されていました。
攻撃者はこのパターンを理解しています。使い慣れたツールは疑われにくく、その安心感を利用する方法を知っています。
金融機関とベンダーが被害範囲を拡大させている
金融サービスもこのサイクルから逃れることはできませんでした。
フランスの国営郵便および銀行サービスは、大規模なネットワーク攻撃によって停止し、全国でデジタル決済やオンラインアクセスが混乱しました。
中核サービスは維持されましたが、顧客向けプラットフォームは停止しました。
米国では、単一のソフトウェアベンダーの侵害により、複数の銀行のデータが流出しました。
各銀行のシステム自体は侵害されていなかったにもかかわらず、顧客に影響が及びました。
氏名、社会保障番号、口座情報が第三者を経由して外部へ流出しました。
攻撃者が共有プラットフォームを通じてラテラルムーブメントを行うと、自社環境と他者環境の境界は、多くのチームが想定するよりも速く崩れていきます。
IoTおよびOTへの攻撃は持続性を前提に設計されている
RondoDoxボットネットは、この傾向がどこへ向かっているのかを示しています。
攻撃者は最新のWebフレームワークに存在する重大な脆弱性を悪用し、大規模にIoTデバイスやサーバーを侵害しました。
侵入後、マルウェアは競合する脅威を排除し、持続性を確立し、競合による再感染を積極的に防止しました。
一部の感染システムは、排他的な支配を維持するために45秒ごとにクリーンアップされていました。
IoTやOT環境は、可視性、一貫したパッチ適用、セグメンテーションが不足していることが多く、一度侵害されると一時的な被害者ではなく、攻撃者にとって長期的なインフラとなります。
これらのシステムが企業ネットワークに接続されると、ラテラルムーブメントは自然に発生します。
なぜラテラルムーブメントが主なリスクなのか
初期侵入は単なる最初の一手にすぎません。
影響は、その後に何が起きるか、そして攻撃者が環境内に侵入した後どこまで移動できるかによって決まります。
本レポートにおける多くの侵害は、内部での移動を阻止するものがなかったため、数週間にわたって継続しました。
認証情報は引き続き有効であり、ネットワーク経路は開かれたままでした。システムはデフォルトで相互に信頼していました。
攻撃者はすべてにアクセスする必要はありません。
価値のあるものに到達するために十分な範囲にアクセスできればそれで十分です。
この閾値を超えると、封じ込めは遅く困難なものになります。
これらの攻撃の封じ込めに実際に有効な対策とは何か
パッチ適用、メール認証、監視はいずれも重要です。
しかし、それらはいずれも、すでに内部に侵入している攻撃者のラテラルムーブメントを止めることはできません。
封じ込めが結果を変えます。
ワークロードが必要な相手とのみ通信するようにネットワークを分割することで、攻撃者の移動は大幅に制限されます。
医療機器、IoTシステム、サードパーティプラットフォームを分離することで、被害の波及を抑えることができます。
東西トラフィックをデフォルトで遮断することで、開かれた経路は行き止まりへと変わります。
ラテラルムーブメントが止まると、滞留時間は短縮されます。影響は限定され、復旧は管理可能なものになります。
攻撃が異なっていてもパターンは明確である
業界やツールが異なっていても、攻撃者の行動は一貫しています。
彼らは忍耐強く移動し、信頼された経路に依存し、障害の封じ込めを前提として設計されていないフラットなネットワークから利益を得ます。
本レポートにおけるインシデントは、ラテラルムーブメントが制御されない場合に何が起こるかを示す前兆です。
最も早く復旧できる組織は、侵害を前提とし、移動を見越して計画し、次の早朝の停止を余儀なくされる前に封じ込めを設計している組織です。
これらのインシデントのタイムライン、指標、技術的詳細を知りたい場合は、完全版の脅威アドバイザリブリーフをご確認ください。
これらのリスクが自社環境にどのように当てはまるかをより明確に把握したい場合は、ぜひColorTokens(カラートークンズ)日本語公式サイトからお問い合わせください。
翻訳元記事
「When Hospitals Go Dark and Browsers Turn Rogue」
公開日:2026/1/27
著者:Tanuj Mitra
※本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています
※記事は掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。上記の公開日をご参考ください
この記事の著者:電巧社セキュリティブログ編集部
