新年あけましておめでとうございます。
AIが隆盛のなか、ますます個人のセキュリティ対策が必要となっています。
12月にアスクル株式会社がに公表した「ランサムウェア攻撃によるシステム障害関連・第13報」(以下、第13報)から明らかになった構造的・人為的欠陥の連鎖を、Windows 11を利用する個人ユーザーのセキュリティ行動指針として記事にしました。
AIでセキュリティ突破は容易になり、「自分は狙われない」という前提を捨てた上で、侵入を前提としたセキュリティ対策をすることを目的としています。
第13報が否定した「高度で不可避な攻撃」という物語
第13報が示しているのは、国家レベルの特殊能力を持つ攻撃者による不可避な被害ではありません。確認された事実は、ID・パスワードの窃取、多要素認証が適用されていない例外アカウントの存在、管理者権限運用の甘さ、侵入検知体制の欠如、ランサムウェアを前提としないバックアップ設計という、基本設計と運用の欠陥が連鎖した結果でした。これは企業特有の問題ではなく、Windows 11を利用する個人環境でもそのまま再現可能な構造です。
実際に第13報では、業務委託先に付与されていた管理者アカウントのうち、例外的にMFAが適用されていなかったアカウントの認証情報が不正利用され、初期侵入が成立したと明示されています。
ここから導かれる教訓は明確で、「一部だけなら例外でよい」という発想自体が、システム全体を無力化するという事実です。
IDとパスワードは必ず漏洩する
Windows 11利用者が最初に受け入れるべき前提は、「IDとパスワードは必ず漏洩する可能性がある」という現実です。アスクルのように資金と人員を投じた企業環境ですら、この前提を崩せなかった以上、個人環境がそれ以上に安全であると考える根拠はありません。
したがって、アカウントにおける多要素認証は任意設定ではなく必須条件です。第13報が示す通り、例外アカウントが1つ存在するだけで、防御は破綻します。個人利用であっても、すべてのMicrosoftアカウントに例外なくMFAを適用しなければ意味を持ちません。
さらに踏み込むなら、パスキー(Passkeys)によるパスワードレス運用が理論上もっとも有効です。盗まれる対象そのものを消滅させるため、第13報で示された「認証情報窃取」という攻撃起点を無効化できます。ただし、対応サービスや運用制約が残る点は留意が必要です。
侵入後の横移動と権限奪取が示す設計ミス
第13報によれば、攻撃者は侵入後、内部ネットワークを偵察し、複数サーバーの認証情報を収集し、EDRを無効化した上で横移動を行い、最終的に複数種のランサムウェアを展開しました。この一連の流れは、侵入後に自由に行動できる構造が存在していたことを意味します。
Windows 11個人環境でこれを再現する最短ルートが、日常利用で管理者権限を使い続ける運用です。侵入後に管理者権限が即座に利用可能な状態では、被害拡大を止める術がありません。したがって、日常利用は標準ユーザーとし、必要時のみ管理者権限を使用する運用が不可欠です。
この文脈で、UAC(ユーザーアカウント制御)の緩和や無効化は、利便性向上ではなく防御線の放棄に等しい行為です。UACは常に最上位設定を維持する必要があります。
侵入検知の遅れとWindows Defenderの位置付け
第13報では、侵害されたデータセンターにEDRが未導入であり、24時間365日の監視体制も存在しなかったため、侵入検知が遅れたことが明確に示されています。その結果、攻撃者は十分な時間を確保し、バックアップ削除を含む破壊活動を実行できました。
個人ユーザーがSOCや商用EDRを常時運用するのは現実的ではありません。しかし、OS標準のWindows Defenderを最大限有効化し、無効化や例外設定を行わないことは、企業がEDRを導入する行為と同等の意味を持ちます。Defenderを軽視することは、「検知しない設計」を自ら選ぶことと同義です。
バックアップはネットワークから切断されて初めて意味を持つ
第13報の中で、最も重い教訓がバックアップ設計でした。
オンラインバックアップを含むバックアップファイルがランサムウェアによって暗号化され、復旧が長期化した事実が明記されています。これは「ネットワークにつながっているバックアップはバックアップではない」ことを、一次情報として公式に証明した事例です。
個人環境においても、外付けストレージなどを用い、取得後は物理的に切断するオフラインバックアップが不可欠です。常時接続型のバックアップのみで安心している場合、それはアスクルと同じ失敗構造を内包しています。
「完全復旧」ではなく「環境の作り直し」という判断
アスクルが最終的に選択したのは、侵害された可能性のある環境を部分的に修復することではなく、安全性が確認された新環境をゼロから構築する判断でした。これは、侵入後の環境を完全に信頼できる状態に戻すことが極めて困難であるという現実を、企業自身が認めた行動です。
個人環境でも同様であり、「侵入されない」ことを前提にするのではなく、侵入後に守れる情報を最小化する設計が必要です。重要情報を平文で常時保存する運用は、合理性を失っています。
“`html
【厳格版】個人で今すぐ実行できるセキュリティ対応一覧
個人が実際に手を動かして設定できるセキュリティ項目だけを選んでいます。かなり厳格な対応になるので、無理なものはスキップして大丈夫ですが、セキュリティ強度が下がります。
① Microsoftアカウントの入口対策(侵入起点を物理的に潰す)
- ブラウザで https://account.microsoft.com/security にアクセスする。
- 「追加のセキュリティオプション」からAuthenticatorアプリを追加する。
- SMS認証は削除する。
- 回復コードを発行し、紙に印刷してPC外(自宅金庫または実家)に保管する。
- 回復コードをPC内、クラウド、スマートフォンに保存しない。
② Windows 11の管理者権限分離(侵入後の横移動を止める)
- 日常利用に標準ユーザーアカウントを使用する。
- 設定変更専用にローカル管理者アカウントを1つだけ新規作成する。
- 既存アカウントが管理者の場合、必ず標準ユーザーに降格する。
- 管理者アカウントのパスワードは20文字以上とし、記憶しない。
UAC(ユーザーアカウント制御)は常に通知(最上位)に固定します。緩和や無効化は不可です。
③ Windows Defenderの最大化(検知遅れを防ぐ)
- リアルタイム保護:有効。
- クラウド提供の保護:有効。
- 改ざん防止:有効。
- SmartScreen(アプリ・Edge):有効。
- 例外フォルダ・例外プロセス:原則ゼロ。
追加で以下を必ず設定します。
- ランサムウェア防止機能を有効化。
- コントロールされたフォルダーアクセス:有効。
- 保護対象フォルダ:Documents、Desktop、Pictures。
④ バックアップ設計(同時破壊を防ぐ)
- 外付けSSDまたはHDDを1台用意する。
- 外付けストレージはBitLockerを有効化する。
- バックアップ取得頻度:週1回。
- コピー完了後、必ず物理的にUSBを抜く。
- 普段は引き出し等に保管し、常時接続しない。
OneDriveは重要フォルダのみ同期し、オフラインバックアップの代替にはしない。
⑤ メール・ブラウザの踏み台対策(初期侵入の確率を下げる)
- ブラウザ拡張機能は5個以下に制限する。
- 用途不明の拡張機能は即削除する。
- PDFのブラウザ内表示を無効化する。
- メールのHTML画像表示を既定でオフにする。
- 添付zipファイルは原則開かない。
⑥ 侵入を前提とした被害最小化
- 契約書、身分証、重要個人情報はVeraCryptコンテナ内に保存する。
- ブラウザのパスワード保存機能は使用しない。
- パスワード管理は専用パスワードマネージャーのみ使用する。
必ず漏洩することが前提
IDは漏れる。PCには侵入される。
この前提に立ち、MFAで入口を塞ぎ、権限管理で被害を限定し、オフラインバックアップでデータを守る。これを例外なく徹底することが、唯一現実的な防衛戦略です。
出典・根拠
・アスクル株式会社「ランサムウェア攻撃の影響調査結果および安全性強化に向けた取り組みのご報告(第13報)」2025-12-12
コメント