ランサムウェアの外部通信 — 暗号化の前に起きていること

ランサムウェアの被害報道は「ファイルが暗号化され、業務が停止した」という結末から語られます。そのため対策の議論も「暗号化をどう防ぐか」「バックアップをどう守るか」に集中しがちです。しかし実際の侵害では、暗号化はプロセスの最後の一手であり、そこに至るまでに複数の段階——そして複数の外部通信——が存在します。この記事では、暗号化の「前」に何が起きているかを整理し、ネットワークの出口で何が見えるかを考えます。

被害が見えるのは最後の瞬間、進行はその前から

ランサムウェア攻撃は、感染した瞬間に暗号化が始まる単発のイベントではありません。多くの事例では、侵入から暗号化の実行まで数日から数週間の「潜伏期間」があり、その間に攻撃者は環境の調査と被害最大化の準備を進めます。

近年主流の**二重恐喝（ダブルエクストーション）**では、この準備段階がさらに重要になります。暗号化の前にデータを外部へ持ち出しておき、「復号の身代金」に加えて「公開しない見返り」を要求する手口です。つまり、暗号化される前の時点で、すでにデータ漏えいという被害が確定している可能性があるのです。

暗号化までの流れ — 各段階で外向き通信が発生する

典型的な進行を段階で整理すると、次のようになります（個別の手法ではなく構造の説明に留めます）。

段階	何が起きるか	外向き通信
① 侵入	メール添付・脆弱性・盗まれた認証情報などで足がかりを得る	追加マルウェアのダウンロード等
② C2確立	攻撃者の指令サーバと接続し、遠隔操作の経路を作る	定期的な beacon 通信
③ 内部偵察	環境内を調査し、重要データやバックアップの所在を探る	探索結果の報告・追加ツールの取得
④ データ持ち出し	二重恐喝の材料となるデータを外部へ送出する	まとまった量の外向き転送
⑤ 暗号化	準備が整った時点で一斉に実行される	（この段階ではほぼ不要）

注目すべきは、⑤以外のすべての段階で外向き通信が発生することです。②のC2通信は「内から外への定期通信」という特徴的なパターンを持ち（C2通信とbeacon検知の基本）、④の持ち出しはトンネルサービスやアップロード先など定番の経路を使うことが多くあります（情報持ち出しの典型経路）。

出口で見える・絞れる機会は複数ある

この構造が意味するのは、防御側にとって検知と妨害の機会が暗号化の前に複数回あるということです。

• C2の宛先に到達できなければ、攻撃者は遠隔操作の経路を確立できず、その先の段階へ進みにくくなります
• 持ち出しに使われやすい宛先（トンネル基盤・匿名アップロード先など）を出口で拒否しておけば、二重恐喝の材料集めに制約を課せます
• 遮断に至らなくても、見知らぬ宛先への接続試行や、初見ドメインへの通信が記録に残ること自体が、潜伏期間中に異変へ気づくきっかけになります

攻撃者にとって潜伏期間は「準備の時間」ですが、防御側にとっては「気づくための時間」でもあります。外向き通信の観測と制御は、この時間を防御側の味方にするための手段です。

出口対策の正しい位置づけ

誤解のないように明確にしておくと、出口の通信制御は感染そのものを防ぐ仕組みではありません。①の侵入を止めるのはメール対策・パッチ適用・認証強化の役割です。

出口対策の役割は、侵入が起きてしまった後に、(1) 被害の進行を妨げる——C2確立や持ち出しという「次の段階」への移行を難しくする、(2) 検知の機会を作る——異常な外向き通信という形で侵害を可視化する、という2点です。「防ぐ」ではなく「進行を遅らせ、気づく確率を上げる」ための層だと捉えてください。

正直な限界

• 出口対策単独でランサムウェア被害を防げるわけではありません。バックアップ（隔離された世代管理）・端末側の対策・パッチ適用・認証強化との併用が前提です
• 攻撃者が業務で許可済みの正規クラウドサービスを持ち出し先に使った場合、宛先の制御だけでは捕捉できません
• 内部偵察のうち、外部と通信しない純粋な内部活動は、出口の監視では見えません

まとめ

• ランサムウェア被害は「暗号化の瞬間」に見えるが、その前に侵入→C2確立→内部偵察→データ持ち出し→暗号化という段階がある
• 二重恐喝では、暗号化の前の持ち出しの時点で漏えい被害が確定しうる
• 暗号化以外のほぼすべての段階で外向き通信が発生する＝出口で見える・絞れる機会が複数ある
• 出口対策は感染を防ぐものではなく、進行を妨げ、検知の機会を作る層
• バックアップ・端末対策・パッチ適用との多層が前提

Tate（盾）は、回線に挟むだけで外向き通信の可視化と宛先制御を追加するアプライアンスです。導入の段階的な進め方は導入の流れをご覧ください。