【中国】中国系Storm-1175、ゼロデイで24時間ランサム展開。日本のランサム被害も134件で前年比17.5%増

Microsoft、中国系Storm-1175を4月公表——ゼロデイ16件で24時間侵入

Microsoft Threat Intelligenceは2026年4月6日、中国を拠点とする経済目的のサイバー犯罪集団「Storm-1175」のプロファイルを公開した。2023年以降の悪用脆弱性は少なくとも16件で、その多くは公開開示の約1週間前にゼロデイとして兵器化されていた。最近の例では、GoAnywhere Managed File Transferの最大深刻度脆弱性CVE-2025-10035、SmarterMailのCVE-2026-23760が、公式パッチ公開前に攻撃に使われている。

従来のランサム攻撃は侵入から暗号化完了までに平均21日のドウェルタイム（潜伏期間）があり、72時間以内に完了する攻撃は全体の93%だった（IBM 2025年データ）。Storm-1175はこれを24時間以内に縮めた。検知の窓そのものを潰す設計だ。

Microsoft Security Blog原文：医療・教育・金融を米英豪で直撃

元ネタ：Storm-1175 focuses gaze on vulnerable web-facing assets in high-tempo Medusa ransomware operations（Microsoft Security Blog / 2026年4月6日）

Recent intrusions heavily impacting healthcare organizations, as well as those in the education, professional services, and finance sectors in Australia, United Kingdom, and United States.

Microsoftの公式報告で確認された被害セクターは医療・教育・専門サービス・金融、被害国は米国・英国・オーストラリアに限定されている。日本は2026年4月時点でMicrosoftの公表リストに含まれていない。ただしMicrosoftの脅威研究者Sherrod DeGrippoはDark Readingに対し、「Storm-1175の作戦速度は、組織にパッチを公開と同時に当てる体制を強いる」と述べている。

侵入完了が「営業日1日」に圧縮——RaaSアフィリエイトに国家級ツールが渡る構造

Storm-1175が異例の速度で動ける理由はだいたい3つに整理できる。

1つ目は、ゼロデイへのアクセス。社内でゼロデイ脆弱性を開発しているのではなく、地下マーケットや他の国家支援アクターとの関係を通じて入手しているとCloud Security AllianceやBleepingComputerが指摘している。Microsoftが特定した16件以上の悪用脆弱性のうち、複数件が公開前1週間でStorm-1175の手に渡っていた。

2つ目は、ターゲット選定の自動化。手作業のソーシャルエンジニアリングではなく、Webに露出している脆弱な資産を自動スキャンで特定する。レガシーWebアプリ、管理画面の露出、未パッチのCMSが主要な入り口で、攻撃チェーン全体（脆弱性悪用→横展開→Rcloneで持ち出し→Medusa暗号化）が完全に自動化されている。

3つ目が、国家とランサムアフィリエイトの混在。Storm-1175はMedusaランサムウェア（RaaS=Ransomware-as-a-Service）のアフィリエイトとして金銭目的で動くが、中国の脆弱性研究エコシステムとの非公式な接続が示唆されている。国家リソースと犯罪インセンティブが同じグループに同居する点が、最近の中国系オペレーションに広がっている構造で、ここがいちばん不気味だ。

🇯🇵 日本のランサム被害は2025年134件・前年比17.5%増——Microsoftは未確認だが対日活動は加速

Microsoftの公式リストに日本は名指しされていないが、外部分析では中国系の対日活動が同時加速している。Cisco Talosは2025年に日本国内で134件のランサム被害を計上し、前年比17.5%増。製造業が被害全体の28%を占めた（Cisco Talos 2025年ランサム動向）。

Q1 2026に明らかになった主な被害を並べると、こうなる。

• アナブキハウジングサービスはQilinに240GBを抜かれ、49.6万人分のデータが流出。Q1単独で最大規模だった。
• 日本医科大学武蔵小杉病院は身代金1億ドル（約158億円）を要求された。Q1の最大要求額。
• 名古屋港湾局は港湾オペレーションが停止に追い込まれた。
• アサヒホールディングスは復旧に2カ月以上かかり、190万人分のデータ漏洩の可能性が報じられた。

このうちQilinはロシア語圏のオペレーターだが、中国系の活動も並走している。日本の警察庁(NPA)と内閣サイバーセキュリティセンター(NISC)はMirrorFace（APT10サブグループ）を、外務省・防衛省・JAXA・半導体・航空宇宙への200件超の侵入と紐づけている。CybelAngelの分析（4月30日、5月19日更新）はStorm-1175を「中国系オペレーターが速度を上げている例」として明示的に挙げており、Microsoftの米英豪リストと日本の被害カーブが別物だと簡単には片づけられない状態だ。

10月1日のSDF反撃まで「4カ月の窓」——能動的サイバー防御の前夜

日本の防御態勢は2026年に大きく変わる。2025年5月に成立した能動的サイバー防御法（Active Cyber Defense Acts）が2026年に施行され、重要インフラ事業者に対するインシデント報告の義務化、政府による通信監視と敵対サーバーへのカウンターアクセスが認められた。さらに2026年10月1日から、自衛隊が攻撃的サイバー作戦を実行する権限を得る。木原稔官房長官は「第二次大戦以来、もっとも複雑な安全保障環境」と述べた。

逆に言うと、今この瞬間から10月までの残り4カ月は、敵対オペレーターにとっては「日本の態勢が固まる前に最大限の価値を引き出す窓」になる。CybelAngelのREACTチームは、Q1 2026にダークウェブ上で日本ターゲットを名指しした初期アクセスブローカー(IAB)リストの増加、認証情報の漏洩、日本企業への偵察の活発化を観測している。Microsoftが米英豪で確認した24時間ランサム展開モデルが、4カ月の間に日本へ転用されない理由はあまり見当たらない。

「ゼロデイ×24時間×RaaS」の3点セットが日本に届くまでの距離は短い

Storm-1175が示しているのは、ゼロデイ脆弱性と自動化攻撃チェーンと金銭目的ランサムウェアが、同一オペレーションで結合し始めたという構造変化だ。組織が「ベンダーがパッチを出してから当てる」体制では、攻撃完了に間に合わない。Microsoftは「パッチ公開と同時の即時適用」を最低限とし、外向きWebサービスをWAFやリバースプロキシで隔離するよう推奨している。

日本企業にとっては、10月のSDF反撃権限よりも先に、自社の外部アタックサーフェスの可視化と即時パッチ運用が問われる。中国系ハッカーが日本を「4カ月の窓」と見ているなら、防御側の判断材料はゼロデイの公開速度ではなく、自社のVPN・管理画面・MFTツールが今この瞬間どれだけ露出しているかだ。

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版