Storm-1175とは何者か──中国系APTグループの実態
Storm-1175は、Microsoftが追跡する中国系脅威アクターグループだ。従来は情報窃取を主目的としていたが、2025年後半からランサムウェア「Medusa」の展開を開始し、金銭目的の攻撃に活動領域を拡大している。
このグループの特徴は、ゼロデイ脆弱性とN-day脆弱性を組み合わせた「高速侵入」にある。ゼロデイ(パッチ未提供の脆弱性)で初期アクセスを確保し、N-day(パッチは公開済みだが未適用の脆弱性)で内部の横展開を行う。パッチ適用の遅い組織を狙い撃ちにする戦術であり、中小企業が格好の標的になっている。
Medusaランサムウェアの特徴
Medusaは2023年頃から活動が確認されているRaaS(Ransomware as a Service)型のランサムウェアだ。Storm-1175によるMedusa展開には、以下の特徴がある。
| 項目 | 内容 |
|---|---|
| 暗号化方式 | AES-256 + RSA-2048のハイブリッド暗号。復号は事実上不可能 |
| 脅迫手法 | 二重脅迫(暗号化+データ公開)。専用リークサイトで被害組織名を公表 |
| 侵入から暗号化までの時間 | 最短48時間。従来のランサムウェアグループ(平均5〜10日)と比較して極めて高速 |
| 標的選定 | 医療、教育、金融、専門サービス業を優先的に狙う |
| 身代金要求額 | 数百万〜数千万円。組織規模に応じて金額を調整 |
ゼロデイ+N-dayの「高速攻撃チェーン」
Storm-1175の攻撃は、以下のステップで進行する。
ステップ1:ゼロデイによる初期アクセス
VPN機器、ファイアウォール、メールゲートウェイなどのネットワーク境界デバイスのゼロデイ脆弱性を悪用し、外部から組織内ネットワークへの足掛かりを得る。特にFortiGate、Pulse Secure、Citrix ADCなどのアプライアンスが狙われている。
ステップ2:N-dayによる横展開
Active Directory、Exchange Server、ファイルサーバーなど、パッチ適用が遅れがちな内部システムの既知の脆弱性を悪用して権限昇格と横展開を行う。ドメイン管理者権限の奪取が最終目標だ。
ステップ3:データ窃取
暗号化の前に、機密データを外部のC2(Command and Control)サーバーに送信する。これが二重脅迫の材料となる。
ステップ4:Medusa展開・暗号化
ドメイン管理者権限を使い、グループポリシー経由でMedusaを全端末に配布・実行する。バックアップサーバーやシャドウコピーも同時に削除される。
なぜ医療・教育・金融が狙われるのか
Storm-1175が特定業種を優先する理由は明確だ。
| 業種 | 狙われる理由 |
|---|---|
| 医療 | 電子カルテの停止が人命に関わるため、身代金を払いやすい。個人情報の価値も高い |
| 教育 | IT予算が少なく、パッチ適用が遅れがち。学生・保護者の個人情報が大量にある |
| 金融 | 顧客の金融データの窃取価値が高い。規制対応のプレッシャーから早期解決を求めやすい |
| 専門サービス | 顧問先・クライアントの機密情報を扱うため、情報公開の脅迫が有効 |
防御策5つ──中小企業が今すぐ実行すべきこと
1. VPN・ネットワーク機器のパッチ即時適用
Storm-1175の初期アクセスはネットワーク境界デバイスの脆弱性を経由する。VPN機器、ファイアウォール、ロードバランサーのファームウェアアップデートは、ベンダーの公開後48時間以内に適用することを社内ルール化すべきだ。特にCISA KEV(Known Exploited Vulnerabilities)カタログに掲載された脆弱性は最優先で対応する。
2. EDR導入と24時間監視
侵入から暗号化まで48時間という速さに対応するには、エンドポイントでの異常検知と即時対応が必要だ。EDR(Endpoint Detection and Response)を導入し、不審なプロセスの起動やラテラルムーブメントを即座に検知・隔離する体制を構築する。自社で24時間監視が難しい場合は、MDR(Managed Detection and Response)サービスの利用を検討する。
3. ネットワークセグメンテーション
フラットなネットワーク構成では、1台の侵害が全体に波及する。業務ネットワーク、サーバーセグメント、バックアップセグメントを分離し、セグメント間の通信を最小限に制限する。特にバックアップサーバーは独立したネットワークセグメントに配置すべきだ。
4. Active Directoryの強化
ドメイン管理者アカウントへのMFA適用、特権アカウントの最小化、Tier モデルによるアクセス制御を実施する。Storm-1175はActive Directoryの掌握を最優先目標としているため、ここを守ることが被害範囲の縮小に直結する。
5. オフラインバックアップの確保
ネットワーク接続されたバックアップは暗号化される前提で考える。イミュータブルストレージ(変更不可のバックアップ)またはオフラインバックアップを最低1世代は確保し、月1回のリストアテストで復元可能性を確認する。
よくある質問(FAQ)
Q. Storm-1175は日本企業も標的にしていますか?
Storm-1175の活動は北米・欧州を中心に確認されているが、日本企業も例外ではない。中国系APTグループは日本の製造業やハイテク企業を継続的に標的としており、Medusaのリークサイトには日本企業の名前も掲載されている。「うちは関係ない」という認識は危険だ。
Q. ゼロデイ攻撃はパッチで防げないのでは?
その通り、ゼロデイ自体をパッチで防ぐことはできない。しかし、Storm-1175の攻撃チェーン全体を見れば、内部のN-day脆弱性を速やかに塞ぐことで横展開を阻止できる。初期侵入を許しても、暗号化に至る前に検知・封じ込めることが現実的な防御戦略だ。
Q. 身代金を支払えばデータは復元できますか?
保証はない。FBIの統計では、身代金を支払った組織のうち完全にデータを復元できたのは約8%に過ぎない。さらに、一度支払った組織は「払う組織」として再攻撃のリストに載るリスクがある。
Q. 中小企業でEDRやMDRを導入する予算がない場合はどうすべきですか?
IPA「サイバーセキュリティお助け隊サービス」は月額1万円以内でEDR相当の監視・検知サービスを提供している。IT導入補助金のセキュリティ対策推進枠(最大100万円、補助率1/2)も活用できる。
まとめ──「侵入前提」の防御体制を構築する
Storm-1175の脅威は、従来のランサムウェア対策の前提を覆す。ゼロデイによる初期侵入を完全に防ぐことは困難であり、侵入されることを前提に、暗号化に至るまでの時間を稼ぎ、被害を最小化する体制が求められる。
優先すべきアクションは以下の3つだ。
- 今日:VPN・ファイアウォールのファームウェアバージョンを確認し、未適用パッチを即時適用する
- 1週間以内:EDR/MDRの導入を検討し、見積もりを取得する
- 1か月以内:ネットワークセグメンテーションとバックアップ体制を見直す
GXO実務追記: サイバーセキュリティで発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、自社で最初に塞ぐべきリスク、外部診断の範囲、初動体制を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 重要システムと個人情報の所在を棚卸ししたか
- [ ] VPN、管理画面、クラウド管理者の多要素認証を必須化したか
- [ ] バックアップの世代数、復旧時間、復旧訓練の実施日を確認したか
- [ ] 脆弱性診断の対象をWeb、API、クラウド、社内ネットワークに分けたか
- [ ] EDR/MDR/SOCの必要性を、監視できる人員と照らして判断したか
- [ ] インシデント時の連絡先、意思決定者、広報/法務/顧客対応を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
中国系脅威アクターStorm-1175がMedusaランサムウェアを展開|ゼロデイ悪用の高速攻撃手口と防御策を自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。
関連記事
- インシデント対応フローテンプレート -- 初動対応の手順書を事前に整備しておくことで、Storm-1175のような高速攻撃にも対応しやすくなる
- 中小企業のセキュリティ予算計画ガイド -- EDR・MDR導入のコスト感と補助金活用法を解説
- GXO導入事例 -- セキュリティ体制構築の実績事例
ランサムウェア防御体制の無料診断を受けてみませんか?
GXOでは、Storm-1175のような高度な脅威に対応するためのセキュリティ診断を無料で提供しています。VPN機器の脆弱性チェック、ネットワーク構成の評価、バックアップ体制の確認まで、貴社の防御力を可視化します。
※ オンライン完結OK | 診断結果は1週間以内にレポートとしてお届けします