専門家レポート：美濃工業ランサムウェアインシデントの全貌 — 61分間の管理者権限奪取とSafePayグループの攻撃手法に関する詳細分析

第1部：セキュアゾーンの崩壊：美濃工業、61分間のシステム侵害

イントロダクション：リスクの新たな基準「ブレイクアウト・タイム」

サイバーセキュリティの領域において、「ブレイクアウト・タイム」は、攻撃者が初期侵入（ファースト・コンプロマイズ）を果たしてから、ネットワーク内部で横展開（ラテラル・ムーブメント）を開始するまでの決定的な時間枠を指します。この時間は、防御側が侵入を検知し、封じ込めるための猶予期間です。しかし、美濃工業の事例が示すように、この時間は急速にゼロに近づいています。

2025年10月、岐阜県中津川市に拠点を置くアルミダイカスト製品メーカー美濃工業は、壊滅的なランサムウェア攻撃を受けました ¹。同社が公表した調査の第4報は、業界に衝撃を与える事実を明らかにしました。攻撃者は、社内ネットワークへの最初の侵入からわずか61分で、システムの最高権限である管理者権限（ドメイン管理者権限に相当すると推察される）を奪取していたのです ¹。

この61分という時間は、従来のインシデント対応プロセスがもはや機能しないことを示しています。これは単一の脆弱性の問題ではなく、防御における3つの基本的な柱、すなわち「境界防御（アクセス制御）」「内部セグメンテーション（ゼロトラスト）」「リアルタイム監視（検知と対応）」のすべてにおけるシステマティックな失敗を露呈しています。本レポートでは、この美濃工業への攻撃、特に「SafePay」ランサムウェアグループによって実行されたとされるこの高速侵害 ² を詳細に解剖し、現代の組織が直面する脅威の本質と、そこから得られるべき戦略的な教訓を分析します。

「極小」から「相当量」へ：被害状況の変遷と二重脅迫

インシデント発生後の情報開示の変遷は、サイバー攻撃の混乱と、フォレンジック調査（デジタル証拠の収集・分析）の進展に伴う実態解明のプロセスを如実に示しています。

美濃工業が発表した初期の報告（第二報など）では、ランサムウェア感染の事実は確認されたものの、情報流出の影響については「確認が取れていない」という限定的なものでした ⁴。これは、インシデント直後の典型的な対応であり、システムの復旧と事業継続が最優先される中で、データ漏洩の全容は不明確なままでした。

しかし、2025年11月3日に公表された【第四報】において、状況は一変します ³。この報告書では、それまで「極小容量の通信の痕跡」と認識されていた情報漏洩の範囲が、「相当量の通信の痕跡」であったことが判明したと、大幅に修正されました ³。

この評価の劇的な変化は、調査の進展を反映しています。

1. 初期段階（第二報時点）⁴: システム停止という目に見える被害への対応に追われ、ログの解析は不十分。この段階で「流出は確認されていない」と発表するのは標準的だが、楽観的すぎる場合が多い。

2. 調査中間段階（第三報時点）³: フォレンジック調査（10月10日開始 ⁵）により、外部への不審な通信ログ（C2サーバとのビーコン通信など）が発見される。これは「極小容量」だが、侵害の証拠となる。

3. 調査詳細段階（第四報時点）³: ネットワークトラフィックの詳細な解析や復元されたログから、C2通信とは別に、大規模なデータ転送の痕跡が発見される。これが「相当量の通信」の正体である。

結果として、美濃工業は【第四報】で「顧客情報や個人情報の一部の流出を確認」したと正式に認めざるを得なくなりました ³。この流出データ量は約300GBに上ると推定されています ²。

このプロセスは、攻撃グループ「SafePay」が用いる「二重脅迫（Double Extortion）」モデルと完全に一致します ⁶。攻撃者はシステムを暗号化する前に、まず機密データを大量に窃取します。そして、身代金の支払いを拒否すれば、暗号化解除キーを提供しないだけでなく、窃取したデータ（顧客情報、個人情報、企業秘密）をダークウェブ上で公開すると脅迫します。美濃工業のケースでは、10月28日にダークサイトでの情報漏洩の事実が確認されています ³。

第2部：高速攻撃の解剖学：SafePay侵入のフォレンジック・タイムライン

美濃工業が【第四報】で公表した分刻みの時系列 ³ は、現代のサイバー攻撃がいかに迅速かつ計画的に実行されるかを示す貴重な資料です。このタイムラインを分析することで、攻撃を3つの明確なフェーズに分類できます。

1. フェーズ1：侵害と権限昇格（61分間）: 高度に自動化されたスクリプトとツールによる、電光石火の初期侵入と最高権限の奪取。

2. フェーズ2：潜伏とデータ窃取（約48時間）: 攻撃者（人間）による慎重な内部偵察と、検知を回避しながらのデータ窃取。

3. フェーズ3：破壊と脅迫（約6時間）: データの暗号化、バックアップの破壊、そして身代金要求の最終段階。

分析用タイムライン：美濃工業サイバー攻撃（2025年10月）

以下の表は、公表された情報 ³ に基づき、攻撃者の行動と美濃工業側の対応を時系列で再構成し、分析を加えたものです。

タイムライン分析：検知と対応のギャップ

この時系列は、2つの重大なギャップを明らかにしています。

第一に、「検知の致命的な遅れ」です。攻撃者は10月1日 19:31に侵入し、それから約3日後の10月4日 02:25まで、完全に検知されていませんでした ³。検知のきっかけは、システム破壊（10/3 20:58）やランサムノートの設置（10/4 01:21）といった、攻撃の最終段階で発生した「目に見える異常」であったと強く推察されます。これは、美濃工業が内部ネットワークにおける不審な「振る舞い」（権限昇格、内部偵察、データ転送）をリアルタイムで検知するメカニズム（EDRなど）を持っていなかったことを示しています。実際、EDRの新規導入はインシデント後の対策として挙げられています ⁵。

第二に、「封じ込めの迅速さ」です。検知の遅れとは対照的に、攻撃を明確に確認（02:25）してからネットワークを遮断（02:49）するまでの時間はわずか24分です ³。これは、インシデント対応（IR）プランが（少なくとも部分的には）存在し、緊急時のエスカレーションと意思決定が機能したことを示しています。この迅速なネットワーク遮断は、データ暗号化の拡大を（すでに手遅れだった可能性は高いものの）阻止する上で極めて重要な行動でした。

第3部：開かれた扉：初期侵入経路（VPN）の分析

決定的な更新：脆弱性ではなく「正規ID」の悪用

第四報 ³ における最も重要な分析結果の一つは、侵入経路に関する訂正です。

当初、VPN機器（例：Ivanti, Citrix, Fortinetなど）の既知の脆弱性を悪用した攻撃が疑われるのが一般的です。しかし、美濃工業の調査はこれを明確に否定しました。侵入は「VPN機器の脆弱性を狙われたものではなく、正規IDとPASSの不正利用」によるものであったことが判明したのです ³。

これは、攻撃者がフィッシング、マルウェア（情報窃取型）、あるいはダークウェブでの認証情報売買を通じて、美濃工業の正規従業員のVPNアカウント情報を事前に入手していたことを意味します。

多要素認証（MFA）の欠如という「原罪」

この「正規IDとPASSの不正利用」³ という事実から、ほぼ確実に導き出される結論があります。それは、美濃工業の社員用VPNが多要素認証（MFA）によって保護されていなかったという重大な防御不備です。

1. 盗まれた認証情報（IDとパスワード）は、サイバー犯罪市場において最も安価で容易に入手可能な侵入手段です。

2. この脅威に対し、外部からの接続（VPN、RDP、クラウドサービスなど）を保護するための業界標準の防御策がMFAです。

3. もしMFAが導入されていれば、攻撃者はIDとパスワードだけでは認証を突破できず、追加の要素（スマートフォンアプリの確認、ワンタイムパスワード、物理キー）が必要になります。

4. 攻撃者がIDとパスワードの「み」で侵入に成功した ³ という事実は、MFAが存在しなかったか、あるいは極めて限定的な範囲でしか適用されていなかったことを論理的に示しています。

このMFAの欠如こそが、今回の侵入を許した「原罪」であり、攻撃者は正面玄関から堂々と社内ネットワークに侵入することができました。

「正規ユーザー」という名の隠れ蓑

この侵入方法は、脆弱性を突く攻撃よりも検知が困難です。なぜなら、従来のSIEM（セキュリティ情報イベント管理）システムにとって、この侵入は「異常な攻撃トラフィック」ではなく、「残業している正規の従業員」（10月1日 19:31 ³）のVPNログインとして記録されるからです。

攻撃者は最初の1秒から「信頼されたユーザー」として振る舞うことができ、防御システムのアラートを鳴らすことなく、内部偵察を開始するための完璧な隠れ蓑を手に入れたのです。

第4部：足場から完全掌握へ：61分間の権限昇格（19:31 -> 20:32）の解明

本インシデントの核心は、19:31のVPN侵入から20:32のシステム管理者権限の悪用まで ³、わずか61分 ¹ で攻撃者がネットワークの頂点に立ったという事実にあります。この「61分間」に何が起こったのか、2つの主要な仮説が考えられます。

仮説1：盗まれたIDが「すでに特権ID」だった

最も単純なシナリオは、攻撃者が盗んだ「正規ID」³ が、標準的な一般ユーザーのものではなく、システム管理者のアカウントそのものだったという可能性です。

これは、セキュリティのベストプラクティスに対する重大な違反を示唆します。システム管理者は、日常業務（メールチェック、Web閲覧、VPN接続）には一般ユーザー権限のアカウントを使用し、管理作業時のみ特権アカウントを使用する「権限分離」を徹底すべきです。

もし美濃工業のシステム管理者が、特権アカウントを日常のVPN接続に使用していた場合、そのアカウント情報が漏洩した時点で、攻撃者は即座に管理者権限を手にします。この場合、「61分」という時間は、権限昇格（Privilege Escalation）に費やされたのではなく、単に攻撃者がネットワークにログインし、Active Directory（AD）の構成を把握し、ドメインコントローラー（DC）の場所を特定するまでの「偵察時間」だったということになります。

仮説2：一般ユーザーからの「高速権限昇格」

より技術的に高度であり、現代の攻撃グループの典型的な手口に近いのが、一般ユーザーのアカウントから61分で権限昇格を果たしたというシナリオです。この場合、61分間は以下の自動化された攻撃シーケンスが実行されたと推察されます。

1. 内部偵察（10-15分）: 19:31にVPNで侵入後、攻撃者は即座にPowerViewやBloodHoundのようなAD偵察ツールを実行します。これにより、ネットワーク構成、ドメインコントローラーの場所、アクティブな管理者セッション、特権サービスアカウントのリストを自動的に取得します。

2. 認証情報ハント（15-30分）: 次に、特権を得るための脆弱な認証情報を探します。一般的な手法には以下のようなものがあります。

3. Kerberoasting: 脆弱なパスワードが設定されているサービスアカウントのハッシュをADから要求し、オフラインで解読します。

4. 認証情報スキャン: メモリ内やスクリプトファイル内に平文で保存されたパスワードを探します。

5. LLMNR/NBT-NSポイズニング: ネットワーク内での名前解決要求を偽装し、ハッシュ（NTLMv2）を窃取します。

6. 横展開と実行（10-15分）: 有効な特権アカウントの認証情報（またはハッシュ）を入手すると、攻撃者は即座に横展開を実行します。SafePayグループのTTP（戦術・技術・手順）として、PsExec、WinRM、RDPといった「Living-off-the-Land」（環境寄生型）ツールを使用することが知られています ⁸。これらはWindows標準の管理ツールであるため、防御側での検知が困難です。

7. 完全掌握（5-10分）: ドメインコントローラーへのアクセスに成功（20:32 ³）。攻撃者はADデータベース（ntds.dit）をダンプして全ユーザーのパスワードハッシュを窃取し、将来のアクセスのために複数の「バックドア」管理アカウントを作成します。この時点で、ネットワークは完全に掌握されます。

このシナリオが61分で成功した背景には、美濃工業の内部ネットワークが「フラット（非セグメント化）」であり、「内部監視（EDR/XDR）が欠如」していたという、2つの深刻な防御不備があったと考えられます。

一般ユーザーがVPNでログインした直後にAD全体のスキャンを開始し、ドメインコントローラーにRDP接続を試みる、といった一連の「異常な振る舞い」を検知・ブロックする仕組み（ゼロトラスト・アーキテクチャ）が存在しなかったため、攻撃者は無抵抗のネットワーク内を自由に移動できたのです。

第5部：長い沈黙：48時間の潜伏期間とデータ窃取

48時間の「潜伏期間」の分析（10/01 20:32 〜 10/03 20:58）

タイムライン ³ は、攻撃者が管理者権限を掌握した10月1日 20:32から、システムの破壊（暗号化）を開始した10月3日 20:58まで、約48時間（2日間）の「潜伏期間」があったことを示しています。

これは、この攻撃が自動化されたワーム（例：WannaCry）のような「Smash and Grab（破壊して即撤退）」型ではなく、人間が操作する（Human-Operated）ランサムウェア攻撃であったことを示す決定的な証拠です。このモデルは、SafePayグループの「中央集権型オペレーション」⁶ の特徴とも一致します。

では、攻撃者はなぜ48時間も待機したのでしょうか？ その答えは【第四報】 ³ に記されています。この期間は、二重脅迫の根幹をなす「データ窃取」のために使われました。

攻撃者は管理者権..." (Response truncated due to length)# 専門家レポート：美濃工業ランサムウェアインシデントの全貌 — 61分間の管理者権限奪取とSafePayグループの攻撃手法に関する詳細分析

第1部：セキュアゾーンの崩壊：美濃工業、61分間のシステム侵害

イントロダクション：リスクの新たな基準「ブレイクアウト・タイム」

サイバーセキュリティの領域において、「ブレイクアウト・タイム」（$breakout\ time$）は、攻撃者が初期侵入（ファースト・コンプロマイズ）を果たしてから、ネットワーク内部で横展開（ラテラル・ムーブメント）を開始するまでの決定的な時間枠を指します。この時間は、防御側が侵入を検知し、封じ込めるための猶予期間です。しかし、美濃工業の事例が示すように、この時間は急速にゼロに近づいています。

2025年10月、岐阜県中津川市に拠点を置くアルミダイカスト製品メーカー美濃工業は、壊滅的なランサムウェア攻撃を受けました ¹。同社が公表した調査の第4報は、業界に衝撃を与える事実を明らかにしました。攻撃者は、社内ネットワークへの最初の侵入からわずか61分で、システムの最高権限である管理者権限（ドメイン管理者権限に相当すると推察される）を奪取していたのです ¹。

この61分という時間は、従来のインシデント対応プロセスがもはや機能しないことを示しています。これは単一の脆弱性の問題ではなく、防御における3つの基本的な柱、すなわち「境界防御（アクセス制御）」「内部セグメンテーション（ゼロトラスト）」「リアルタイム監視（検知と対応）」のすべてにおけるシステマティックな失敗を露呈しています。本レポートでは、この美濃工業への攻撃、特に「SafePay」ランサムウェアグループによって実行されたとされるこの高速侵害 ² を詳細に解剖し、現代の組織が直面する脅威の本質と、そこから得られるべき戦略的な教訓を分析します。

「極小」から「相当量」へ：被害状況の変遷と二重脅迫

インシデント発生後の情報開示の変遷は、サイバー攻撃の混乱と、フォレンジック調査（デジタル証拠の収集・分析）の進展に伴う実態解明のプロセスを如実に示しています。

美濃工業が発表した初期の報告（第二報など）では、ランサムウェア感染の事実は確認されたものの、情報流出の影響については「確認が取れていない」という限定的なものでした ⁴。これは、インシデント直後の典型的な対応であり、システムの復旧と事業継続が最優先される中で、データ漏洩の全容は不明確なままでした。

しかし、2025年11月3日に公表された【第四報】において、状況は一変します ³。この報告書では、それまで「極小容量の通信の痕跡」と認識されていた情報漏洩の範囲が、「相当量の通信の痕跡」であったことが判明したと、大幅に修正されました ³。

この評価の劇的な変化は、調査の進展を反映しています。

1. 初期段階（第二報時点）⁴: システム停止という目に見える被害への対応に追われ、ログの解析は不十分。この段階で「流出は確認されていない」と発表するのは標準的だが、楽観的すぎる場合が多い。

2. 調査中間段階（第三報時点）³: フォレンジック調査（10月10日開始 ⁵）により、外部への不審な通信ログ（C2サーバとのビーコン通信など）が発見される。これは「極小容量」だが、侵害の証拠となる。

3. 調査詳細段階（第四報時点）³: ネットワークトラフィックの詳細な解析や復元されたログから、C2通信とは別に、大規模なデータ転送の痕跡が発見される。これが「相当量の通信」の正体である。

結果として、美濃工業は【第四報】で「顧客情報や個人情報の一部の流出を確認」したと正式に認めざるを得なくなりました ³。この流出データ量は約300GBに上ると推定されています ²。

このプロセスは、攻撃グループ「SafePay」が用いる「二重脅迫（$Double\ Extortion$）」モデルと完全に一致します ⁶。攻撃者はシステムを暗号化する前に、まず機密データを大量に窃取します。そして、身代金の支払いを拒否すれば、暗号化解除キーを提供しないだけでなく、窃取したデータ（顧客情報、個人情報、企業秘密）をダークウェブ上で公開すると脅迫します。美濃工業のケースでは、10月28日にダークサイトでの情報漏洩の事実が確認されています ³。

第2部：高速攻撃の解剖学：SafePay侵入のフォレンジック・タイムライン

美濃工業が【第四報】で公表した分刻みの時系列 ³ は、現代のサイバー攻撃がいかに迅速かつ計画的に実行されるかを示す貴重な資料です。このタイムラインを分析することで、攻撃を3つの明確なフェーズに分類できます。

1. フェーズ1：侵害と権限昇格（61分間）: 高度に自動化されたスクリプトとツールによる、電光石火の初期侵入と最高権限の奪取。

2. フェーズ2：潜伏とデータ窃取（約48時間）: 攻撃者（人間）による慎重な内部偵察と、検知を回避しながらのデータ窃取。

3. フェーズ3：破壊と脅迫（約6時間）: データの暗号化、バックアップの破壊、そして身代金要求の最終段階。

分析用タイムライン：美濃工業サイバー攻撃（2025年10月）

以下の表は、公表された情報 ³ に基づき、攻撃者の行動と美濃工業側の対応を時系列で再構成し、分析を加えたものです。

タイムライン分析：検知と対応のギャップ

この時系列は、2つの重大なギャップを明らかにしています。

第一に、「検知の致命的な遅れ」です。攻撃者は10月1日 19:31に侵入し、それから約3日後の10月4日 02:25まで、完全に検知されていませんでした ³。検知のきっかけは、システム破壊（10/3 20:58）やランサムノートの設置（10/4 01:21）といった、攻撃の最終段階で発生した「目に見える異常」であったと強く推察されます。これは、美濃工業が内部ネットワークにおける不審な「振る舞い」（権限昇格、内部偵察、データ転送）をリアルタイムで検知するメカニズム（EDRなど）を持っていなかったことを示しています。実際、EDRの新規導入はインシデント後の対策として挙げられています ⁵。

第二に、「封じ込めの迅速さ」です。検知の遅れとは対照的に、攻撃を明確に確認（02:25）してからネットワークを遮断（02:49）するまでの時間はわずか24分です ³。これは、インシデント対応（IR）プランが（少なくとも部分的には）存在し、緊急時のエスカレーションと意思決定が機能したことを示しています。この迅速なネットワーク遮断は、データ暗号化の拡大を（すでに手遅れだった可能性は高いものの）阻止する上で極めて重要な行動でした。

第3部：開かれた扉：初期侵入経路（VPN）の分析

決定的な更新：脆弱性ではなく「正規ID」の悪用

第四報 ³ における最も重要な分析結果の一つは、侵入経路に関する訂正です。

当初、VPN機器（例：Ivanti, Citrix, Fortinetなど）の既知の脆弱性を悪用した攻撃が疑われるのが一般的です。しかし、美濃工業の調査はこれを明確に否定しました。侵入は「VPN機器の脆弱性を狙われたものではなく、正規IDとPASSの不正利用」によるものであったことが判明したのです ³。

これは、攻撃者がフィッシング、マルウェア（情報窃取型）、あるいはダークウェブでの認証情報売買を通じて、美濃工業の正規従業員のVPNアカウント情報を事前に入手していたことを意味します。

多要素認証（MFA）の欠如という「原罪」

この「正規IDとPASSの不正利用」³ という事実から、ほぼ確実に導き出される結論があります。それは、美濃工業の社員用VPNが多要素認証（$Multi-Factor\ Authentication$, MFA）によって保護されていなかったという重大な防御不備です。

1. 盗まれた認証情報（IDとパスワード）は、サイバー犯罪市場において最も安価で容易に入手可能な侵入手段です。

2. この脅威に対し、外部からの接続（VPN、RDP、クラウドサービスなど）を保護するための業界標準の防御策がMFAです。

3. もしMFAが導入されていれば、攻撃者はIDとパスワードだけでは認証を突破できず、追加の要素（スマートフォンアプリの確認、ワンタイムパスワード、物理キー）が必要になります。

4. 攻撃者がIDとパスワードの「み」で侵入に成功した ³ という事実は、MFAが存在しなかったか、あるいは極めて限定的な範囲でしか適用されていなかったことを論理的に示しています。

このMFAの欠如こそが、今回の侵入を許した「原罪」であり、攻撃者は正面玄関から堂々と社内ネットワークに侵入することができました。

「正規ユーザー」という名の隠れ蓑

この侵入方法は、脆弱性を突く攻撃よりも検知が困難です。なぜなら、従来のSIEM（セキュリティ情報イベント管理）システムにとって、この侵入は「異常な攻撃トラフィック」ではなく、「残業している正規の従業員」（10月1日 19:31 ³）のVPNログインとして記録されるからです。

攻撃者は最初の1秒から「信頼されたユーザー」として振る舞うことができ、防御システムのアラートを鳴らすことなく、内部偵察を開始するための完璧な隠れ蓑を手に入れたのです。

第4部：足場から完全掌握へ：61分間の権限昇格（19:31 -> 20:32）の解明

本インシデントの核心は、19:31のVPN侵入から20:32のシステム管理者権限の悪用まで ³、わずか61分 ¹ で攻撃者がネットワークの頂点に立ったという事実にあります。この「61分間」に何が起こったのか、2つの主要な仮説が考えられます。

仮説1：盗まれたIDが「すでに特権ID」だった

最も単純なシナリオは、攻撃者が盗んだ「正規ID」³ が、標準的な一般ユーザーのものではなく、システム管理者のアカウントそのものだったという可能性です。

これは、セキュリティのベストプラクティスに対する重大な違反を示唆します。システム管理者は、日常業務（メールチェック、Web閲覧、VPN接続）には一般ユーザー権限のアカウントを使用し、管理作業時のみ特権アカウントを使用する「権限分離」を徹底すべきです。

もし美濃工業のシステム管理者が、特権アカウントを日常のVPN接続に使用していた場合、そのアカウント情報が漏洩した時点で、攻撃者は即座に管理者権限を手にします。この場合、「61分」という時間は、権限昇格（$Privilege\ Escalation$）に費やされたのではなく、単に攻撃者がネットワークにログインし、Active Directory（AD）の構成を把握し、ドメインコントローラー（DC）の場所を特定するまでの「偵察時間」だったということになります。

仮説2：一般ユーザーからの「高速権限昇格」

より技術的に高度であり、現代の攻撃グループの典型的な手口に近いのが、一般ユーザーのアカウントから61分で権限昇格を果たしたというシナリオです。この場合、61分間は以下の自動化された攻撃シーケンスが実行されたと推察されます。

1. 内部偵察（10-15分）: 19:31にVPNで侵入後、攻撃者は即座にPowerViewやBloodHoundのようなAD偵察ツールを実行します。これにより、ネットワーク構成、ドメインコントローラーの場所、アクティブな管理者セッション、特権サービスアカウントのリストを自動的に取得します。

2. 認証情報ハント（15-30分）: 次に、特権を得るための脆弱な認証情報を探します。一般的な手法には以下のようなものがあります。

3. Kerberoasting: 脆弱なパスワードが設定されているサービスアカウントのハッシュをADから要求し、オフラインで解読します。

4. 認証情報スキャン: メモリ内やスクリプトファイル内に平文で保存されたパスワードを探します。

5. LLMNR/NBT-NSポイズニング: ネットワーク内での名前解決要求を偽装し、ハッシュ（NTLMv2）を窃取します。

6. 横展開と実行（10-15分）: 有効な特権アカウントの認証情報（またはハッシュ）を入手すると、攻撃者は即座に横展開を実行します。SafePayグループのTTP（戦術・技術・手順）として、PsExec、WinRM、RDPといった「Living-off-the-Land」（環境寄生型）ツールを使用することが知られています ⁸。これらはWindows標準の管理ツールであるため、防御側での検知が困難です。

7. 完全掌握（5-10分）: ドメインコントローラーへのアクセスに成功（20:32 ³）。攻撃者はADデータベース（ntds.dit）をダンプして全ユーザーのパスワードハッシュを窃取し、将来のアクセスのために複数の「バックドア」管理アカウントを作成します。この時点で、ネットワークは完全に掌握されます。

このシナリオが61分で成功した背景には、美濃工業の内部ネットワークが「フラット（非セグメント化）」であり、「内部監視（EDR/XDR）が欠如」していたという、2つの深刻な防御不備があったと考えられます。

一般ユーザーがVPNでログインした直後にAD全体のスキャンを開始し、ドメインコントローラーにRDP接続を試みる、といった一連の「異常な振る舞い」を検知・ブロックする仕組み（ゼロトラスト・アーキテクチャ）が存在しなかったため、攻撃者は無抵抗のネットワーク内を自由に移動できたのです。

第5部：長い沈黙：48時間の潜伏期間とデータ窃取

48時間の「潜伏期間」の分析（10/01 20:32 〜 10/03 20:58）

タイムライン ³ は、攻撃者が管理者権限を掌握した10月1日 20:32から、システムの破壊（暗号化）を開始した10月3日 20:58まで、約48時間（2日間）の「潜伏期間」（$Dwell\ Time$）があったことを示しています。

これは、この攻撃が自動化されたワーム（例：WannaCry）のような「Smash and Grab（破壊して即撤退）」型ではなく、人間が操作する（$Human-Operated$）ランサムウェア攻撃であったことを示す決定的な証拠です。このモデルは、SafePayグループの「中央集権型オペレーション」⁶ の特徴とも一致します。

では、攻撃者はなぜ48時間も待機したのでしょうか？ その答えは【第四報】 ³ に記されています。この期間は、二重脅迫の根幹をなす「データ窃取」のために使われました。

攻撃者は管理者権限を使い、この48時間で以下の行動を慎重に実行しました ³：

1. 組織内探索: どこに最も価値のあるデータ（顧客情報、個人情報、設計図、財務データ）が保存されているかを徹底的に調査します。

2. クライアント端末の制御権搾取: データを外部に転送するための中継地点（出口）となる端末を複数特定し、制御下に置きます。

3. データ搾取: 窃取するデータを収集・圧縮し、制御下に置いた「複数の端末を出口にして」³ 外部のサーバに送信します。

この「48時間の潜伏」は、攻撃者がいかに冷静かつ計画的に行動していたかを示しています。彼らの第一目標はシステムの暗号化ではなく、脅迫材料となる300GBのデータを確実に手に入れることだったのです ²。

第2の防御不備：データ流出（Egress）監視の欠如

この分析は、美濃工業における第2の、そして同様に致命的な防御不備を浮き彫りにします。それは、外部へのデータ流出（$Egress\ Filtering$）に対する監視の欠如です。

300GB ² という膨大な量のデータを社内ネットワークから外部へ送信する行為は、非常に「ノイジー（騒々しい）」な活動です。通常の業務トラフィックとは明らかに異なる、大容量かつ長時間の異常なアウトバウンド通信が発生したはずです。

攻撃者はこの検知を回避するために、「複数の端末を出口にした」³ とされています。これは、1台の端末から300GBを転送するのではなく、例えば30台の端末から各10GBずつ転送するなど、トラフィックを分散させる手口です。これにより、単純な「1端末あたりの通信量」に基づく閾値監視を回避しようとしました。

しかし、この手口を使ったとしても、組織全体として外部に送信される総データ量が異常に増加した事実は変わりません。データ損失防止（DLP）ソリューションや、高度なネットワーク監視（NDR）が導入されていれば、この異常なデータ流出を検知し、自動的にアラートを発し、さらには接続を遮断できた可能性があります。

VPNのMFA欠如が「侵入」を許可したとすれば、Egress監視の欠如は「情報資産の盗難」を許可したと言えます。

第6部：脅威アクター分析：「SafePay」ランサムウェアグループ

美濃工業を襲った攻撃者は「SafePay」を名乗るグループであることが確認されています ²。このグループのプロファイリングは、今回の攻撃手法を理解し、今後の脅威を予測するために不可欠です。

起源と活動地域

SafePayは、2024年後半（9月または10月）に初めて観測された、比較的新しいながらも極めて活発なランサムウェアグループです ⁹。

彼らの出自を示す強力な証拠が、マルウェアのコード内に存在します。SafePayのランサムウェア実行ファイルには、システムのデフォルト言語がロシア語またはその他（キリル文字圏）である場合、暗号化プロセスを実行しないようにする「キルスイッチ」が組み込まれています ¹⁰。これは、攻撃者がロシアまたはCIS（独立国家共同体）諸国に拠点を置いているか、少なくともその地域の法執行機関との問題を避ける意図があることを示す、一般的な兆候です。

彼らは政治的動機ではなく「金銭のみを目的とする」と明言しており ¹⁰、そのターゲットは米国、英国、ドイツなどの西側諸国に集中しています ⁸。

オペレーションモデル：RaaSではなく「中央集権型」

多くのランサムウェアグループ（例：LockBit）が「RaaS（$Ransomware-as-a-Service$）」モデルを採用しているのとは対照的です。RaaSでは、開発者（オペレーター）がマルウェアを「アフィリエイト」と呼ばれる攻撃実行犯に提供し、利益を分配します。

しかし、SafePayはアフィリエイトに依存せず、攻撃の実行、インフラ管理、被害者との交渉まで、すべてを自ら管理する「中央集権型」のオペレーションを行っていると見られています ⁶。

この違いは重要です。RaaSモデルではアフィリエイトのスキルにばらつきが出ますが、中央集権型のSafePayでは、攻撃を実行するのが熟練したコアチーム自身である可能性が高くなります。美濃工業の事例で見られた61分間の高速権限昇格や、48時間にわたる慎重なデータ窃取は、まさにこの熟練したオペレーターの存在を示唆しています。

技術的ツールキット：巨人の肩の上に立つ

SafePayは、ゼロからマルウェアを開発したのではありません。セキュリティリサーチャーの分析によれば、彼らの使用するマルウェアは、過去にソースコードが流出したLockBit 3.0（2022年後半のバージョン）と顕著な類似性を持っています ⁶。さらに、ALPHV（BlackCat）やINC Ransomといった他のグループが使用する要素も取り入れています ⁹。

彼らは、実績のある強力なコードベース（LockBit）を基盤としながら、検知を回避するために独自の改良を加えています ⁶。例えば、暗号化にはChaCha20アルゴリズムを使用し ¹¹、実行時には特定のパスワード（-pass=）を引数として要求するなど、分析を困難にする手法を用いています ⁶。

SafePayのTTPs（戦術・技術・手順）と美濃工業の事例

SafePayの一般的なTTPは、美濃工業のインシデントと驚くほど一致しています。

• 初期アクセス: VPNおよびRDP（リモートデスクトップ）の脆弱な認証情報を悪用して侵入する ⁶。

• 美濃工業の事例: 「正規IDとPASSの不正利用」によるVPN侵入 ³ と完全に一致。

• 横展開（Lateral Movement）: PSExec、WinRM、RDPといった「Living-off-the-Land」（環境寄生型）の正規ツールを使用し、ネットワーク内を静かに移動する ⁸。

• 美濃工業の事例: 61分間の権限昇格において、これらのツールが使用された可能性が極めて高い。

• 防御回避: 回復メカニズム（シャドウコピーなど）を無効化する ¹¹。

• データ窃取: データを暗号化する前に、FileZillaなどのツールを使用して外部にデータを転送する ¹²。

• 美濃工業の事例: 48時間の潜伏期間中に300GBのデータを窃取 ²。

• 影響: ChaCha20 ¹¹ またはAESとRSAの組み合わせ ⁶ でファイルを暗号化し、「.safepay」という拡張子を追加する ¹¹。ランサムノート「readme_safepay.txt」を設置する ¹¹。

• 美濃工業の事例: 10月4日 01:21にランサムノートが保存された ³。

SafePayは、Ingram Micro ⁶ や Microlise ⁹ といったグローバル企業への大規模攻撃にも関連しており、美濃工業への攻撃は、彼らがグローバルなサプライチェーンを標的とする、高度に組織化された脅威アクターであることを裏付けています。

第7部：戦略的インペラティブ：高速脅威アクターに対する防御戦略

美濃工業のインシデントは、一企業の不幸な出来事ではなく、すべての組織が直面しうる「新たな現実」です。61分というブレイクアウト・タイムは、従来の「検知したら対応する」というリアクティブ（事後対応型）なセキュリティ体制が、もはや時間的に破綻していることを示しています。この教訓から、我々は以下の3つの戦略的インペラティブ（必須の行動原則）を導き出す必要があります。

教訓1：境界防御の失敗（予防）

• 美濃工業の失敗: VPNに多要素認証（MFA）が導入されていなかった（正規IDとPassのみで侵入を許可 ³）。

• 戦略的インペラティブ: 「侵入は防げない」のではなく「侵入のコストを最大化する」。フィッシング耐性のあるMFAを、VPN、RDP、クラウドポータル、特権アカウントなど、すべての外部インターフェースおよび内部の重要資産へのアクセスに無条件で強制すること。これだけで、今回のような認証情報窃取型の攻撃の99%以上を阻止できたはずです。

教訓2：内部監視の盲目（検知）

• 美濃工業の失敗: 侵入後の61分間の権限昇格、および48時間にわたる300GBのデータ窃取 ² に全く気付かなかった。内部ネットワークが「フラット」で、内部の異常な振る舞いを監視していなかった。

• 戦略的インペラティブ: 「侵入を前提とする（$Assume\ Breach$）」アーキテクチャへの移行。

• ゼロトラスト・セグメンテーション: ネットワークを「信頼できる内部」と「信頼できない外部」に二分するのをやめる。VPNの着地点からドメインコントローラーやファイルサーバーへは、直接アクセスできないように厳格にセグメント化（マイクロセグメンテーション）する。

• EDR/XDRの導入: 美濃工業が事後に対策したEDR ⁵ は、まさにこのために存在します。アンチウイルス（AV）が「既知のマルウェア」を検知するのに対し、EDR（$Endpoint\ Detection\ and\ Response$）は「不審な振る舞い」を検知します。VPNユーザーが直後にPowerViewを実行し、PsExecでDCに接続しようとする行為 ⁸ は、EDRにとっては明確な攻撃シグナルです。

教訓3：データ流出の無防備（保護）

• 美濃工業の失敗: 300GBの機密データ（顧客・個人情報）が、48時間をかけて外部に流出するのを止められなかった ²。

• 戦略的インペラティブ: 「出口（$Egress$）管理」の徹底。

• Egressフィルタリング: 通常業務で必要ない限り、内部から外部へのアウトバウンド通信は原則すべてブロックする（$Default\ Deny$）。

• DLP（データ損失防止）とNDR（ネットワーク検知・対応）: 300GBものデータが「複数の端末から」³ 流出する行為は、組織全体のトラフィックとしては巨大な異常値です。機密データの流れを監視し、異常な大量送信を検知した時点で、自動的にアラートを発し、当該接続を遮断する仕組みが必要です。

結論：リアクティブ（事後対応）からプロアクティブ（事前予測）へ

美濃工業のインシデント対応は、攻撃検知から24分でネットワークを遮断する ³ という「リアクティブな対応」においては、迅速であった側面もあります。

しかし、攻撃者が61分でネットワークを掌握した ³ という事実は、人間のオペレーターがアラートに気づき、状況を判断し、対応を決定するというリアクティブなプロセスが、もはや攻撃者の自動化されたスピードに追いつけないことを決定的に示しています。

防御は、人間の対応速度に依存する体制から脱却しなければなりません。MFAによる予防、ゼロトラストによる侵入範囲の限定、EDR/NDRによる異常行動の自動検知と遮断。これら「侵入を前提とした」プロアクティブな防御体制の構築こそが、美濃工業の61分間の悪夢から我々が学ぶべき唯一の道です。

引用文献

1. システム侵入後、1時間で管理者権限を奪取 美濃工業、ランサ... - ITmedia NEWS, 11月 11, 2025にアクセス、 https://podcasts.apple.com/pa/podcast/%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E4%BE%B5%E5%85%A5%E5%BE%8C-1%E6%99%82%E9%96%93%E3%81%A7%E7%AE%A1%E7%90%86%E8%80%85%E6%A8%A9%E9%99%90%E3%82%92%E5%A5%AA%E5%8F%96-%E7%BE%8E%E6%BF%83%E5%B7%A5%E6%A5%AD-%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2%E8%A2%AB%E5%AE%B3%E3%81%AE%E8%AA%BF%E6%9F%BB%E5%86%85%E5%AE%B9%E5%85%AC%E9%96%8B-%E6%99%82%E7%B3%BB%E5%88%97%E3%81%A7%E6%89%8B%E5%8F%A3%E3%82%92%E7%B4%B9%E4%BB%8B/id1458834509?i=1000735376526

2. 侵入→情報流出、およそ1時間で300GB分のデータ被害か ..., 11月 11, 2025にアクセス、 https://cybergymjapan.com/%E4%BE%B5%E5%85%A5%E2%86%92%E6%83%85%E5%A0%B1%E6%B5%81%E5%87%BA%E3%80%81%E3%81%8A%E3%82%88%E3%81%9D1%E6%99%82%E9%96%93%E3%81%A7300gb%E5%88%86%E3%81%AE%E3%83%87%E3%83%BC%E3%82%BF%E8%A2%AB%E5%AE%B3/

3. 美濃工業株式会社がランサムウェア攻撃により顧客情報や個人情報 ..., 11月 11, 2025にアクセス、 https://www.gate02.ne.jp/lab/incident-news/mino-industry-20251107/

4. 美濃工業株式会社がシステム障害に関する続報を発表、調査の結果ランサムウェアに感染していたことが判明か | サイバーセキュリティラボ - USEN GATE 02, 11月 11, 2025にアクセス、 https://www.gate02.ne.jp/lab/incident-news/mino-industry-20251010/

5. 美濃工業がランサムウェア被害を公表情報流出の可能性も調査継続中, 11月 11, 2025にアクセス、 https://digitaldata-forensics.com/column/ransomware/news/30357/

6. SafePay ransomware: The fast-rising threat targeting MSPs - Acronis, 11月 11, 2025にアクセス、 https://www.acronis.com/en/tru/posts/safepay-ransomware-the-fast-rising-threat-targeting-msps/

7. システム侵入後、1時間で管理者権限を奪取 美濃工業、ランサム ..., 11月 11, 2025にアクセス、 https://www.itmedia.co.jp/news/articles/2511/05/news107.html

8. SafePay ransomware explained: IOCs, TTPs, and defense strategies | ThreatLocker Blog, 11月 11, 2025にアクセス、 https://www.threatlocker.com/blog/safepay-ransomware-explained-iocs-ttps-and-defense-strategies

9. SafePay Ransomware: An Emerging Threat in 2025 - Check Point Software, 11月 11, 2025にアクセス、 https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/safepay-ransomware/

10. SafePay: Email bombs, phone scams and really big ransoms | Barracuda Networks Blog, 11月 11, 2025にアクセス、 https://blog.barracuda.com/2025/07/25/safepay--email-bombs--phone-scams--and-really-big-ransoms

11. Weak Passwords Led to (SafePay) Ransomware…Yet Again - NCC Group, 11月 11, 2025にアクセス、 https://www.nccgroup.com/research-blog/weak-passwords-led-to-safepay-ransomware-yet-again/

SafePay ランサムウェア：MSPをターゲットに急増している脅威 - アクロニス - Acronis, 11月 11, 2025にアクセス、 https://www.acronis.com/ja/tru/posts/safepay-ransomware-the-fast-rising-threat-targeting-msps/