公開情報から見る攻撃タイムラインと、防御側が気をつけるべきポイント ランサムウェア被害は、利用者の画面に身代金要求が表示された瞬間に始まるわけではありません。多くの場合、その前に「侵入口の確保」「認証情報の悪用」「内部探索」「権限拡大」「バックアップ破壊」「情報窃取」といった準備段階があります。 公開レポートを見ると、攻撃は以前より速くなっています。Sophosの2025年調査では、インシデントレスポンス案件におけるランサムウェアの中央値滞在時間は4日、Mandiantの2025年レポートでもランサムウェア関連侵害の中央値滞在時間は6日で、半数以上が1週間以内に検知されています。つまり、防御側には「数週間かけて調査する余裕」はなく、初期侵入後の数日が勝負になります。(SOPHOS) 1. 初期侵入：入口はメールだけではない 従来は「ランサムウェア＝怪しい添付ファイル」という印象が強くありました。しかし、現在の侵入口はもっと広いです。 MITRE ATT&CKでは、初期アクセスは「攻撃者がネットワーク内に足場を得る段階」と定義され、スピアフィッシン