ランサムウェア攻撃における「EDR回避」事例から考える「セキュリティの原則」

TrendAIリサーチによる「国内サイバーリスクラウンドアップ 2026 Spring」では、2025年1年間の国内における様々な事例を元に、最新の脅威動向に関してまとめています。レポートでは、2025年に国内で発生した重大なランサムウェア被害の中で「EDR回避」の報告が相次いだことに着目しています。

資料をダウンロード

EDR（Endpoint Detection and Response）は現在のセキュリティ対策の中でも「要」の1つとみなされている対策技術です。「対策済み」であったはずの組織が被害を受けたという事実は、多くの企業の経営層・セキュリティ担当者にとっては「EDRを入れていてもダメなのか」という大きな懸念とともに受け止められたものと思われます。

しかし、本当に「EDRを入れていてもダメ」なのでしょうか？本稿では、実際の被害事例と当社の観測を踏まえ、「EDR回避」という攻撃手法を深堀りし、法人組織が向き合うべきセキュリティを整理します。

国内企業の連続被害で注目された「EDR回避」

2025年におけるランサムウェア被害の中でも最も社会的に注目された事例として、9月のアサヒグループ事例、10月のアスクル事例が挙げられます。この2つの事例の報告の中で、共通するキーワードが現れました。
アサヒグループホールディングス株式会社は2025年11月27日の記者会見で、次のように説明しています。

「EDRはすでに導入していたが、攻撃が巧妙で、検知できなかった」

また、アスクル株式会社が2025年12月12日に公表した「ランサムウェア攻撃の影響調査結果および安全性強化に向けた取り組みのご報告（第13報）」には、次のように記されています：

「攻撃者は、EDR等の脆弱性対策ソフトを無効化したうえで複数のサーバ間を移動し、必要な権限を取得してネットワーク全体へのアクセス能力を取得していきました」

いずれの事例でも、侵入は業務ネットワークに留まらずデータセンターに到達し、そこで稼働している業務用サーバや基幹システムが暗号化により停止しました。本来はそこに至る過程でEDRの監視により侵入が警告されることが期待されていたはずですが、攻撃者により回避されてしまったという形です。

（関連記事）
・アサヒグループへのランサムウェア攻撃事例を記者会見から考察～今、注意すべき「データセンター」への侵害
・アスクル株式会社のランサムウェア攻撃被害報告書を読み解く

そもそもEDRとは？EPP、XDRとの違いも簡単に整理

「EDR」を「入れていたのに被害に遭った」という事実は、EDRの有効性そのものへの疑問につながりかねません。そもそもEDRとは組織のサイバーセキュリティにおいて何を担っている存在でしょうか。議論を進める前に、ここでEDRという技術について改めて整理します。

EDRは、PCやサーバといった「エンドポイント（端末）」内部の不審な挙動を可視化し、対応につなげるための仕組みです。重要なのは、EDRの守備範囲があくまで端末内部にあることです。

図：EDR機能の概要を示す概念図

つまり、ポイントは、

・守備範囲は「端末内（Endpoint）」
・目的は、不審な活動を「検知して対応につなげる（Detection and Response）」こと

という点です。EDRとともに端末単位のセキュリティを担う別の製品として、EPP（Endpoint Protection Platform）があります。現在のEPPは、従来型のウイルス（不正プログラム）検出技術を基本に振る舞い検知や機械学習検知などの技術も併せた「マルウェア対策」とともに、ファイアウォールなどの防御機能を統合したセキュリティ対策製品です。「マルウェアやその不正活動を検出し、止める」ことを中心に、マルウェア検知・排除による感染防止が主眼である点がEDRとの相違点です。

またEDRの守備範囲は個々の端末内であり、その外で行われる挙動は関知しません。組織のネットワーク全体を守備範囲とする「検知と対応」のソリューションとしては「XDR（Extended Detection and Response）」があります。XDRは個々の端末だけでなく、ネットワーク内の通信、ゲートウェイのメールやWebのアクセス、クラウドに至るまでセンサーから集まる情報を相関分析して不審な活動を可視化＝検知して対応につなげるための製品です。その意味ではEDRはXDRの一部、とも言えます。

図：EPP、EDR、XDRの機能の相違

（参考記事）
EDRとは？仕組みや導入効果、EPP・XDRとの違いをわかりやすく解説

「EDR回避」は新しい脅威ではない

EDRの役割のひとつは「端末内の不審な活動の可視化」なので、攻撃者にとっての「EDR回避」の目的は自身の不正活動を見つからなくすることです。実際のEDR回避の手法は大きく2つに分けられます。1つは自身の活動を監視対象から外れるようにする「すり抜け」、もう1つはEDRのプロセスやサービスを強制終了する「無効化」です。

「すり抜け」の基本は、自身の活動を正規の活動に紛れ込ませて不正な活動と判断されにくくすることです。正規のプロセスを乗っ取る、あるいは、マルウェアではなくOSの標準ツールなど正規ツールを使って不正活動を行う、などの手口があります。

「無効化」はEDR自体の動作、つまり監視を妨害して警告されないようにすることです。EDRのプロセスを停止させる、アンインストールしてしまう、などがあります。

図：EDR回避手法の概念図

いずれにせよ、「EDR回避」に代表されるセキュリティ対策製品の回避は、何ら新しい手口ではないことに注意すべきです。攻撃者にとって、EDRを含め組織のネットワークに導入されているセキュリティ対策製品は、侵入後に立ちはだかる大きな障壁であり、可能なら存在を消したい対象です。実際、Black Basta、LockBit、Qilin（Agenda）、RansomHub、BlackCat（ALPHV）など、主要なランサムウェアグループの多くが以前からEDR回避を標準的な攻撃手法に組み込んでおり、それだけEDRが攻撃者にとって邪魔な存在であると言えます。

つまり、EDRが回避されたという事実は、攻撃者が長年取り組んできた「対策の回避」という攻撃手法の対象に、EDRもまた組み込まれたということに過ぎません。以前から攻撃者側は、自身の攻撃を成功させるための手段としてセキュリティ対策製品の回避を狙ってきました。その中で、EDRが普及し効果を発揮してきたからこそ、攻撃者がその回避手法を巧妙化させてきた、と捉えるのが妥当です。法人組織のセキュリティ対策に関する経営判断として重要なのは、個別製品の導入有無ではなく、攻撃者が特定の防御層の無効化を前提に行動することを織り込んだ設計になっているかどうかです。

サイバーセキュリティの基本概念：「銀の弾丸」と「スイスチーズ」

ここで法人組織においてセキュリティを担うリーダーの方々に改めて認識していただきたいのは、EDRの守備範囲はあくまでも端末内の監視であり、そもそもEDRだけですべてが守れるわけではない、ということです。よく「銀の弾丸はない」というたとえが使われますが、サイバーセキュリティにおいて「これだけをやっておけば大丈夫」というような単体で万全・完璧な対策はないのです。

そしてもう１つ、単体で完璧な対策は存在しないという前提でよく使われるたとえとして「スイスチーズモデル」があります。一枚のチーズに複数の穴が空いていても、それを何枚も重ね合わせれば穴が貫通しない、つまり、複数の防御層を重ねることで全体として万全を目指す、という比喩です。

図：セキュリティの基本概念「スイスチーズモデル」

このスイスチーズモデルをEDR回避に当てはめるとすると、次のような多段の構えが必要ということになります。
・EDR回避の前提となる権限昇格などの活動を警告する
・EDRが回避されても、その後のランサムウェアによる暗号化の阻止などによって最終的な被害を防ぐ
・そもそもEDRの守備範囲である端末に入る前に止める、など

つまり、複数の防御層が機能することで、攻撃のどこかで気づき、止める仕組みが成立するということです。EDRは「端末内の挙動監視」という一層を担う重要な技術ですが、それ自体が単独で攻撃を止めるためのものではなく、EDRが検知した不審な兆候を適切な対応につなげることで本領を発揮するものです。

「EDR回避」という攻撃手法に対抗するために、組織内でセキュリティを担当するリーダーは少なくとも以下の3点を確認する必要があります：

・初期侵入を抑止する層が機能しているか
・侵入後の横展開や権限昇格を検知・封じ込める層があるか
・検知を実際の対応につなげる運用体制が機能しているか

これまでの組織におけるサイバーセキュリティでは、インシデント対応などの「事後対応」にフォーカスがあたることが多かったのですが、その前段となる「事前の対策」として、リソースの把握とリスクの評価、認証基盤、権限管理、攻撃対象領域（アタックサーフェス）の管理など、「検知と対応」とは別の層も、優先度を上げて見直すべきポイントとなります。

まとめ

「EDRが回避された」というニュースは、新しい脅威の到来を告げるものではありません。むしろ、サイバーセキュリティの世界で長く言われ続けてきた「銀の弾丸はない＝単独で万全の対策はない」、「スイスチーズモデル＝多層防御」という基本的な概念を、改めて思い出す機会です。問うべきは、「EDRを導入しているか」ではありません。「EDRが回避された場合でも、別の層で検知し、封じ込め、事業影響を抑えられる設計になっているか」です。さらにもう一段言えば、

・被害に遭ったとしても影響を最小限に抑えるための業務継続計画
・不審に気付いたときに適切な対応を迅速に行うための体制の構築
・そもそも侵入に繋がるネットワーク上のリスクを把握し管理していく体制の構築

などの技術的対策以外についても多層防御の一層とみなし、全体を整えていく考えも重要になってきます。EDR回避に対しては特定製品の限界を示すニュースというより、自社の多層防御全体を再点検する契機として捉えるべきでしょう。

（関連記事）
・アサヒグループへのランサムウェア攻撃事例を記者会見から考察～今、注意すべき「データセンター」への侵害
・アスクル株式会社のランサムウェア攻撃被害報告書を読み解く
・ランサムウェア「Qilin」を操る攻撃者グループ「Water Galura」とは？～2022年頃から活動するランサムウェア攻撃者グループ
・RansomHubとは？～2024年に登場した新興ランサムウェア攻撃者グループ

執筆者

岡本勝之

トレンドマイクロ株式会社
セキュリティエバンジェリスト

製品のテクニカルサポート業務を経て、1999年よりトレンドラボ・ジャパンウイルスチーム、2007年日本国内専門の研究所として設立されたリージョナルトレンドラボへ移行。シニアアンチスレットアナリストとして特に不正プログラム等のネットワークの脅威全般の解析業務を担当。現在はセキュリティエバンジェリストとして、サイバーセキュリティ黎明期からこれまでのおよそ30年にわたるキャリアで培った深く幅広い脅威知識を基に、ブログやレポ―ト、講演を通じて、セキュリティ問題、セキュリティ技術の啓発にあたる。

講演実績：日本記者クラブ、一般財団法人日本サイバー犯罪対策センター（JC3）、クラウドセキュリティアライアンス（CSA）などにおける講演