はじめに

近年、ランサムウェアによる被害は増加の一途をたどっています。

特に2025年は、Akiraランサムウェア（Akira ransomware） をはじめとしたランサムウェアが活発化し、企業規模や業種を問わず被害が報告されています。

「もし自社が感染したらどうなるのか」
「どの時点で気づけるのか」
こうした疑問を持つ方も多いのではないでしょうか。

現在、ランサムウェア対策として有効とされているのが、EDR（Endpoint Detection and Response）製品です。
端末レベルでの不審な挙動検知、感染端末の隔離など、有効な対策を取り入れることができます。

しかし予算の都合で導入が難しいなどの理由でEDRが未導入の場合は、対策はできないのでしょうか？

結論から言うと、FW（ファイアウォール）やUTMのみでも、ログを観察し、兆候を検知することで、Akiraの侵入を捕捉し、対応へつなげる事が可能です。

本記事では、Akiraを例に、実際の検知ログをベースにした“現実的な気づき方”と対策を解説します。

INDEX

はじめに

Akiraランサムウェアの特徴

攻撃の流れ：Akiraはどう広がるのか

【実例】Palo Alto NetworksのFWでの検知内容

FWの検知からでもランサムウェアの兆候は確認できる

SIEMによる相関分析の重要性

まとめ
┗関連サービスの紹介

Akiraランサムウェアの特徴

Akiraは2023年頃から活動が確認されているランサムウェアで、以下の特徴を持ちます。

• Windows / Linuxの両環境を標的
• データ暗号化＋情報窃取の「二重脅迫型」
• ダークウェブ上でのリーク公開

感染後には、以下のような痕跡が確認されるケースが一般的です。

• ファイル拡張子が「.akira」に変更される
• 「akira_readme.txt」による身代金要求
• 暗号化実行ファイル（例：w.exe）の展開

攻撃の流れ：Akiraはどう広がるのか

Akiraの特徴のひとつは、内部ネットワークでの横展開（Lateral Movement）です。
典型的な流れは以下のようになります。

• 端末侵入
• 認証情報の取得
• 管理者権限での横展開
• サーバ群への感染拡大
• 一斉暗号化

重要なのは、暗号化の前段階で「怪しい挙動」が必ず発生することです。

【実例】Palo Alto NetworksのFWでの検知内容

ここでは一例として、Palo Alto Networks のFWで実際に検知されたシグネチャをもとに、Akiraの挙動を見ていきます。

●横展開の兆候（初期フェーズ）

以下のようなシグネチャが連続して検知されます。

• Impacket WMIExec Detection：Impacket社製のエクスプロイトツール「WMIExec」の実行を検知
• Impacket PSExec Detection : ：Impacket社製のエクスプロイトツール「PSExec」の実行を検知
• Microsoft Windows Registry Read / Write Attempt：レジストリの読み書きの試行
• Windows Service Enum      ：リモートでWindowsのシステム情報の取得

●検知回避・異常通信の検知

さらに進むと、以下のような挙動も確認されます。

• SMB Data Segmented Across TCP Evasion：SMB通信を分割してIPSなどの検知回避を行います
• SMB Fragmentation RPC Request        ：SMBセッションにおいて、RPCリクエストが分割されたことの検知

攻撃者が検知を回避しながら通信を行っている兆候。

●マルウェア実行（Akira特有の検知）

Akiraに関連する明確なシグネチャも確認されます。

• Ransom/Win64.akira  ：「w.exe」ファイルの検知
• Virus/Win32.WGeneric.eptrqq ：「.akira」拡張子のファイルを検知

このタイミングで初めて、明確に「ランサムウェアの可能性が高い」通信が検知されます。

●被害顕在化のサイン

最終的には、以下のファイルが検知されます。

• akira_readme.txt：こちらも「SMB Fragmentation RPC Request」シグネチャで検知しています。

この段階ではすでに暗号化が完了し、資産情報も外部に流出している可能性が非常に高く、重大な被害を出してしまいます。

FWの検知からでもランサムウェアの兆候は確認できる

今回のようなケースでも、FWログから以下のポイントは把握可能です。

• 短時間での異常なアラート増加
• 異常な内部通信（特にSMB）の急増
• 管理系ツールの不審な使用

EDRが導入されていない環境でも異常の兆候は確認できますが、初期フェーズの各シグネチャ単体だと、確証のある判断が難しく、見過ごす可能性が高くなります。
端末内部の挙動の確認や、端末隔離の実施など、根本的な予防策を実施するにはEDR製品などが不可欠であり、ネットワーク＋エンドポイントの多層防御の構成をとるのが理想的です。

SIEMによる相関分析の重要性

多層防御を構成するにあたり重要なのは、すべての検知ログから侵害の兆候を見逃さないことです。
しかし実際の運用では、膨大なアラートの中から本当に対処すべき脅威を見極めることは容易ではなく、対応の遅れや見逃しが発生しがちです。

弊社で導入実績のあるSIEM製品（Sentinel、Splunk）では、先ほども述べたとおり、単体では判断の難しいシグネチャであっても、FWログ・認証ログ・端末ログなどを横断的に相関分析することで、攻撃の兆候を“点”ではなく“線”として捉えることが可能です。さらに、今回のような一連の挙動を検知する脅威ハンティングルールの整備や、SOARとの連携による端末隔離などの自動対応までを一元的に管理できます。

また、SOC（Security Operation Center）による継続的な監視・分析体制を組み合わせることで、ログの監視からインシデント対応までを一貫してカバーし、脅威の早期発見と迅速な対処を実現します。これにより、「ログは取得しているが活用できていない」「アラートは出ているが判断できない」といった課題の解消にもつながります。

まとめ

ランサムウェア対策において、「EDRがないと何もできない」と思われがちですが、本記事で見てきた通り、FWのログからでも侵入や横展開といった“前兆”を捉えることは可能です。

しかし実際には、それらの兆候は断片的で判断が難しく、見逃されてしまうケースも少なくありません。

重要なのは、検知できるかではなく「脅威を認識・判断できるか」です。

そのためには、端末の挙動を把握できるEDRや、複数ログを相関分析できるSIEMを組み合わせ、兆候を“点”ではなく“線”として捉える仕組みが必要になります。

被害が発生してからでは遅いため、まずは自社のログ活用状況や監視体制を見直すことが、現実的な第一歩です。

関連サービスのご紹介

SOC（セキュリティオペレーションセンター）サービス

SIV-SOCサービス

SOCは、セキュリティ機器やログを監視し、インシデントの検知や対応を行う運用体制です。
MISPのような脅威インテリジェンスを活用する場合、SOCによるログ監視やインシデント対応と組み合わせることで、より実践的なセキュリティ運用が可能になります。