最近のランサムウェア被害事例から、我々は何を教訓とし、活かしていくべきか？

経営者の「野生の勘」

「ニュースで見たけど、ウチの会社は大丈夫なのか？」
「万が一、あんな風になったら、ウチは一瞬で吹き飛ぶぞ」

ある製造業A社の情シス部長は、社長室で厳しい質問を浴びていました。

きっかけは、アサヒグループやアスクルといった名だたる大企業が、相次いでランサムウェア被害に遭ったという報道です。

A社の社長は、決してITインフラに詳しいわけではありません。VPNもADも、言葉さえ知らないかもしれません。

しかし、経営者としての優れた嗅覚、いわゆる「野生の勘」が、自社の足元に潜む危機を敏感に感じ取っていたのです。

「それなりに対策はしています……」

情シス部長はそう答えましたが、社長は納得しません。

「本当に大丈夫か、第三者を入れて総点検しろ」と指示が飛びました。

後日、情シス部長から相談を受けた田村と一緒にA社の現状を詳細に調査することになりました。

調査結果

調査を進めるにつれ、情シス部長の顔色は次第に青ざめていきました。社長の不安が的中していたからです。

アサヒグループやアスクルなどの被害事例を紐解くと、ある「共通項」が見えてきます。

それは
・外部から侵入され得る「入口」
・侵入後に社内で横展開できる「基盤」
・暗号化の対象となる「自社管理領域」
が連鎖する構図です。

A社の構成も、まさにこの3点セットでした。

明日は自社が同じ被害に遭うかもしれない。ITに詳しくない社長の「勘」は、技術的にも正しかったのです。

では、我々はこの事例を反面教師とし、具体的に自社のどこを点検し、どう強化していけばよいのでしょうか？

ランサムウェア対策として5つの総点検

事例から学ぶべき教訓は、以下の5点に集約されます。

① オンプレミスサーバーがあるか？

まず、攻撃対象となる「モノ」があるかどうかです。

ランサムウェア攻撃者の主目的は、「OSの管理権限を奪い、ファイルを暗号化して身代金を要求すること」です。

SaaS（クラウドサービス）であれば、利用者はOSの管理権限を持たないため、利用者が勝手に暗号化されることは構造上、起きにくいといえます。

しかし、「自社でOSから管理するサーバー（オンプレミス）」を持っているということは、攻撃者に対して「システム破壊・暗号化」という物理的な被害を受ける場所を提供してしまっていると言えます。

A社には、重要データが入ったファイルサーバーがオンプレミスで存在していました。ここが暗号化されれば、業務は即座に停止します。

ここで決定的に重要なのが「バックアップ」のあり方です。

アスクルの事例では、ファイル暗号化に加えてバックアップの削除も報じられており、復旧を難しくした要因とされています。

その原因は、バックアップが本番環境と同じネットワーク（同一セグメント）上にあったためです。侵入者はネットワーク内を自由に移動し、本番機と一緒にバックアップも無力化したのです。

これにより復旧用データが使えず、システム再構築に膨大な時間を要することになりました。

対策は「物理的な切り離し」です。

ネットワークから隔離された媒体に保存するか、クラウドの不変ストレージ（イミュータブルバックアップ）を利用するなど、侵入者の手が届かない場所に退避させることが必須です。

そして中長期的には、クラウドへシフトし、「暗号化される場所」自体を減らしていくことです。
 

② VPN接続を利用しているか？

次に、侵入経路です。

多くの企業が、閉域網（社内ネットワーク）に入るための唯一の入り口として「VPN（Virtual Private Network：仮想専用線）」を利用しています。

ここが「境界型防御」の単一障害点、つまり「壊されやすい玄関の鍵」となっています。

機器の脆弱性を突かれたり、ID・パスワードが漏洩したりすれば、攻撃者は「社内の正規ユーザー」として堂々と正面玄関から入ってきます。VPNを突破されたら、中は無防備です。

アサヒグループの事例では「グループ拠点にあるネットワーク機器を経由してデータセンターへ侵入された」と公表されています。

またアスクルの事例でも、VPN経由での侵入を許した、とされています。

早急な対策として、VPN機器の「パッチ適用」は当然ですが、それだけでは不十分です。

・IPアドレス制限で接続元を絞る
・ネットワーク内部を細かく分割し、横移動できないようにする
・VPNログを常時監視する

これらで時間を稼ぎつつ、中長期的にはVPN接続自体を撤廃し、「ゼロトラスト」へ移行することが根本対応となります。
 

③ アクティブディレクトリ（AD）はオンプレか？

ここが最大の盲点であり、被害拡大の分水嶺です。

オンプレミスのADは、一度管理者権限を奪われると、配下の全サーバー・PCに対して命令を下せる「王様の杖」となります。

アサヒグループでは、侵入後にサーバーや端末へ被害が拡大しましたが、これは内部ネットワークでの権限掌握が決定的だったと考えられます。

またアスクルにおいても、特権IDの管理不備により、攻撃者に広範なアクセス権限を許してしまったと報じられています。

オンプレADがドミノ倒しの起点となり、「局所的な被害」を「壊滅的な被害」へと増幅させたのです。

さらに、ADを乗っ取られると、連携しているクラウドサービスにもログインできなくなる恐れがあります。つまり、オンプレもクラウドも「全滅」するリスクがあるのです。

対策は、認証基盤のフルクラウド化（Entra IDなど）です。

これにより、条件付きアクセスやMFAを組み合わせることで「あり得ない場所からのアクセス」や「不審な挙動」をAIが検知し、たとえパスワードが漏れてもブロックすることが可能になります。

そして、このクラウドADへの移行こそが、「ゼロトラスト」への第一歩となります。

従来の「社内ネットワークなら安全」という境界型防御から、「何も信頼せず、常に検証する」ゼロトラストへ移行するには、強力な認証基盤が不可欠だからです。

中長期的にVPNを廃止し、セキュアな環境を作るための土台作りとしても、ID管理のクラウド化は避けて通れない道なのです。
 

④ クラウドのMFA（多要素認証）は徹底できているか？

「クラウドだから安心」ではありません。

最近は、暗号化せずに情報を盗み出し、「公開するぞ」と脅す「ノーウェアランサム」が急増しています。

クラウドは暗号化されない安心感はありますが、情報漏洩は防げません。

対策は、MFA（多要素認証）です。

しかし、ここで命取りになるのが「例外」です。

アスクルの事例において、委託先の管理者アカウントに対してMFAが適用されていなかったことが、侵入を許す原因の一つになったとされています。

「情シス管理者は頻繁にログインするから」
「保守ベンダーにはスマホがないから」

といって、例外を作っていないでしょうか？

攻撃者はその「唯一の隙」を見逃しません。例外なきMFA適用が鉄則なのです。
 

⑤ BCP（事業継続計画）にサイバー攻撃が盛り込まれているか？

最後に、起きてしまった後の対応です。

A社のBCPを確認したところ、10年前に作られたきりでした。

「地震・火災」などの物理災害を想定しており、「データが論理的に破壊される」ことを想定していませんでした。

多くの企業のBCPは物理災害中心で、アサヒグループやアスクルの事例のように、サイバー攻撃によって全システムが長期間停止する事態を具体的に手順化できていません。

「サーバーが全滅した時、どうやって注文を受け、出荷し、請求するのか」

アナログな代替手段や、ゼロからのシステム再構築手順を定めた「サイバーBCP」への刷新が急務なのです。

トップダウンだからこそ動ける

「社長の懸念通り、ウチは非常に危険な状態でした」

調査結果を整理した情シス部長は、「緊急対策」と「中長期計画」を社長へ提示します。

その報告を聞いた社長は、即座に追加予算を承認しました。

MFAの強制適用やバックアップのオフライン化、そして将来的な脱VPN・クラウドシフト等々･･･。これらは現場の利便性を損ない、コストもかかります。

情シス部門だけの判断では、とても進められなかったでしょう。

「何かおかしい」という経営者の直感が、結果として会社の安全性を高めるきっかけとなりました。

今回のアサヒグループやアスクルの事例を「対岸の火事」としてやり過ごすか。それとも「明日は我が身」と捉え、経営判断としてリソースを投下できるか。

貴社のセキュリティ対策は、大丈夫でしょうか？