EDRで検知できないサイバー攻撃は対処のしようがないという声が多くありますが、ランサム攻撃においてもEDRの検知回避は常套手段となりつつあり、つい最近出た注意喚起やレポートでもこれだけあります。辛く厳しい時代だと思います。
利用する製品や投入できるリソースに依る部分が多いですが利用者で検討できる対策としては以下でしょうか。

1⃣EDR回避/削除を念頭に置いた保護設定値見直し
2⃣現EDRのアラート対処状況の確認
3⃣EDR未導入ホスト、セグメントの洗い出し、導入
4⃣社内通信側での脅威検知
5⃣EDR以外の既存ログ収集と脅威洗い出し
6⃣センサー動作、通信状況の監視
7⃣導入済みEDR製品選定の再評価
8⃣EDR以外のホストセンサ追加導入
9⃣外部の監視サービス利用検討 December 12, 2025

ランサムの禁止を機に、MDにおけるM∀LICEの歴史をnoteにまとめました。

当時の環境の流れもあわせて整理しているので、
MALICEについて知りたい方はもちろん、MD環境に興味のある方もぜひ読んでください！

https://t.co/KDIy5OQoK6 December 12, 2025

アサヒさんのランサム事案の記者会見（QA含む約2時間）からセキュリティクラスタ的に気になるであろう箇所をピックしました。以下16項目でまとめています。

・2025年9月29日（月）午前7時頃システム障害が発生し被害確認。詳細な日時は未特定だが約10日ほど前に同社グループ内の拠点にあるNW機器を経由し侵入。その後主要なDCに入り込みパスワードの脆弱性を突いて管理者権限を奪取し移動を行い、主に業務時間外に複数サーバに偵察侵入し、アクセス権認証サーバからランサムウェアが一斉実行され起動中のサーバやパソコンが暗号化された。

・被害発覚の10日ほど前から侵入されていた可能性があるが、その間は導入していたEDRでは検知できなかった。攻撃が高度で巧妙であったため。EDRのレベルをより上げる課題がある。強化して監視の仕組みも見直す。

・侵入経路はNW機器。VPN機器かどうかはセキュリティの都合から明言出来ないが世間の想像とそう違いはないと思います、ということで留めたい。入口になり得る"脆弱性"の改善は完了済み（※この"脆弱性"という言葉は社長発言だが狭義の既知脆弱性＝CVEという意味では使ってなさそう）。VPN機器は存在していたが対応過程で廃止済み。

・被害が拡大しないよう安全性を確保しながら慎重に復旧を進めたため時間を要した。バックアップデータは取得しておりそれが生きていたことは幸いだった。バックアップは複数媒体で取得していた。大部分が健全な状態で保たれていた。

・明確な個人情報の漏洩は、従業員に貸与したPCの情報を確認しているが、システムからのデータ漏洩は未確認で可能性として考えている。

・社員の個人貸与PCに情報を残すことは許可しておらずクラウド保存をポリシーで定めていたが、一時的に保管していた個人の情報が残っておりそのタイミングで攻撃がきた。

・工場現場を動かすOT領域は一切影響を受けておらず無傷で、工場は通常稼働ができる状態だった。出荷関係のシステム被害により作っても持って行き先がないので製造に結果的に影響が出た。システムを使わないExcelなどで人力での出荷で対応していた。

・NISTフレームワークに沿った成熟度診断は実施しており一定以上のアセスメントが出来ていたため十分な対策を保持していると考えていた。外部のホワイトハッカーによる模擬攻撃も実施してリスク対処をしていたので、必要かつ十分なセキュリティ対策は取ってたと判断していた。しかし今回の攻撃はそれを超える高度で巧妙なものだった。

・被害範囲は主にDC内のサーバとそこから繋がってるパソコン。端末台数は37台。サーバ台数は明言できない。

・攻撃者に対する身代金は支払っていない。攻撃者と接触もしていない。脅迫も請求も直接は受けてない。

・身代金支払い要求への対応については障害早期では当然考えたが、バックアップあり自力復旧ができること、支払っても復旧できない事例があること、支払いが漏れた場合他の攻撃者からも狙われるリスクがあるため、慎重に捉えていた。反社会勢力への支払いのぜひもその前段階から相当ネガティブな懸念としてあった。復号キーがきたとしても復元にすごく時間がかかるという認識もしたので要求がきてもおそらく支払ってない。

・現場対応は非常に負担が大きく長時間労働等を懸念していた。リーダとして社員の健康が一番大事で命を削ってまで対応しなくて良いということをトップから繰り返し全社発信していた。対応を支援してくれた外部ベンダにも伝えていた。

・自然災害含む経営リスクに関して10個のリスクを定めてサイバーリスクも含めて十分な対策を取っていたと思っていたがより高度化しないといけない教訓となった。他のリスク項目も対策を見直す。

・他社には、経験からの教訓として、全体を広く見て対策を最新に保つことの必要性を伝えたい。結果的に全体として脆弱性を見れてなかったので、ないと思ったところにあったので侵入されたし、対策も最新、最強でなかったので障害が発生したので、それを裏返ししてほしい。

・経営者はテクノロジーやITに興味を持ってるというだけでは済まない。全てに気を配り対策に踏み込めるようなところまで入っていくべきということを実感した。知見を高めガバナンスに活かしていくべき。

・セキュリティの都合で開示できない情報は多々あるが、社会のために情報をより公開すべきというのは認識しており状況が整ったら検討したい。

記者会見動画リンク

https://t.co/2bG06AK1pH December 12, 2025

新制限合わせでマリス使ってる人も多いけど、逆に５日までしかランサム使えないんだから今の内に使いたいって思う人もいるだろって思う December 12, 2025

怖い…

アスクル、ランサム被害で売上高が大幅減　11月度は“前年対比4.9％”　343億円→17億円に - ITmedia NEWS https://t.co/mfdFC5acWz December 12, 2025

@kabunushi_rider ランサム被害と決算延期のダブルパンチでの急落は痛いですが

利回り2.7％＋優待4000円の総合利回りを見ると“逆に注目ゾーン”になってきました

事業リスクはあるものの、復旧次第で見直される余地も十分

この水準、長期なら買いと見てます December 12, 2025

まだランサムもクリスティアも生きてるんだねえ……（今日両方食らってる）（なんなら初めてクリスティア見たかも） December 12, 2025

今マリス使ってる奴絶対レッドランサム入ってる。
こいつら未来を見てない。今を見てる。 December 12, 2025

@itmedia_news ランサム被害で売上95%減って、「復旧すればOK」じゃないってこれ見たら分かる。
物流・受注・請求・顧客離脱まで全部止まったら、数字より大きい損失になるよな…。 December 12, 2025

やばい、マスター帯レッドランサム送別会が大開催されてる December 12, 2025

新制限でランクマ配信楽しかったな
対面のM∀LICEは全員ランサム入っててパワーの差を感じました December 12, 2025

月が変わると同時に制限改定も実施して欲しいなー
早くさよなランサムしてちょ December 12, 2025

ランサム消えてもマリス強かったらもうマリスよりサイバーギミックが悪いだろ December 12, 2025

レート行くからランサム投入したら強すぎてびっくりした December 12, 2025

優一さんの名前で検索したら「人生の着替えかた」もやってた！思ったより特撮に強いのもあるけどアマプラより本数多い！（あとアマプラ、出てなくない？ってタイトルもあって、おそらく関連のも出てきてるっぽい？）ランサムもあるーー！！復讐の同窓会と交互に観たら悪役めっちゃ楽しめるじゃん！💚 https://t.co/4jKKG0fTJx December 12, 2025

@paipotoon 今はランサム使い納めでM∀LICE多いってのも影響してそうですけど超融合に波動感じますよね December 12, 2025

ランサム分解ボーナス確認してたら20pt欠損を発見して悲しい https://t.co/yAo1taAwD4 December 12, 2025

ランサムが禁止にされた結果、除外メタビート型M∀LICEとか言う最悪のデッキが誕生してて草 December 12, 2025

内容とても同意できました。払うな、は基本方針だとしても、経営全体での合理性が重要であり、組織の状況と攻撃の内容如何では画一的な結論や対策に帰結出来ないのが(ランサムに限らず)セキュリティであり、影響する変数を最大限考慮した上で説明責任を果たせるか、なのかなと。難しいんですけどね泣 https://t.co/IXiCKp5ZW9 December 12, 2025

@FugaPoke ありがとうございます！
ランサムなくてもデッキパワー高くて快適てした！ December 12, 2025