プリンタから大量に出力された脅迫文
ランサムウェアの感染が発覚するまでの経緯について教えてください。
小川氏2022年11月17日、出社してすぐに複数の社員から「PCの調子が悪い」「サーバー上に見慣れないアイコンがある」といった問い合わせを受けました。金沢本社以外の拠点からも同様の連絡が入り、もしかするとランサムウェアに感染しているのではないかと気づいたのです。
その後、東京本社にある全てのプリンタから大量の脅迫文が出力されたという連絡が入り、そこに書かれた「LockBit2.0」の文字と身代金要求の文面からランサムウェア攻撃を確信したのです。脅迫文はプリントアウトされただけでなく、改ざんされたフォルダに画像形式で保存されていたり、PCのデスクトップの背景に設定されたりしていました。
図1 感染したPCのデスクトップには脅迫文が映し出されていた
ランサムウェアの身代金要求の脅迫文。プリンタから大量に出力されただけでなく、複数台のPCではデスクトップの背景に設定されていた。
菱機工業株式会社
経営企画部
システム企画課 リーダー
小川 弘幹氏
攻撃を受ける前に兆候などはなかったのでしょうか。
小川氏実はその前日、Active Directoryサーバーに不調が発生していました。懇意にしているベンダーさんにオンラインで診断していただいたところ、DNSに問題があるとのことで、ドメインサーバーを再構築してもらい、この不調は解決。安心したところでした。実際にそれが前兆だったのか、あるいは偶然だったのかは今も分からないままです。
感染が判明してからの初動対応はどのように行ったのですか。
小川氏まずはクライアントPC、業務システム、基幹システムを含めて全てを停止させました。このままではデータがランサムウェアでどんどん暗号化されていく、これ以上の感染拡大を防ぐにはシャットダウンするしかないと考えたからです。グループウェアも使えない状態でしたので、経営層や県警のサイバーセキュリティ対策課などに電話連絡。同時に安否確認システムの一斉配信機能を使い、全拠点の社員に“ランサムウェアに感染し、状況を確認中”“問い合わせは全てこのシステムに一本化してほしい”といった連絡と指示を伝達しました。
迅速な判断をされましたね。そういった訓練を普段から行っていたのですか。
小川氏正直なところ、実際は何も準備はしていませんでした。ただ、過去にサーバーが集中していた金沢本社で停電があった際、システム以外の連絡手段として安否確認のシステムで配信した実績があり、その経験が生きたのだと思います。
我々システム企画課は一般的なIT部門に近い仕事をしています。当時メンバーは5人でしたが、社員からの問い合わせ対応、社内会議の招集、行政機関への連絡、データ復旧など、各々が必要な役割を担う形で対応作業に入りました。その際、関係のない連絡が入らないように上長が系統立てた編成をしてくれたので、作業に集中することができました。これは後で考えると非常にメリットが大きかったと思います。
データ復旧でまず対象としたのはどのようなシステムですか。
小川氏取引先への支払い業務です。優先して再開させるべき業務を洗い出した結果、週明け4日後に迫った取引先への支払いが遅れると数百社に影響が及んでしまうことが分かったからです。基幹システムから支払いデータを取り出す作業は翌日18日の午前中までに終わらせないと間に合いません。インシデント対応では本来、被害を受けた範囲を特定し、原因を突き止めてから復旧作業を始めるのが一般的です。しかし、その猶予はありませんでした。そこで急遽契約したIR(インシデントレスポンス)ベンダーに相談し、感染当日の午後からフォレンジック対応と並行して、11台あるサーバーのうち支払いデータの作成に必要な2台のリストアに着手しました。
Sky株式会社
ICTソリューション事業部 執行役員
金井 孝三氏
情報システム部門にてシステムの構築・運用経験からセキュリティ対策やIT資産管理分野での経験を生かし、Sky株式会社の商品企画部門で、営業支援 名刺管理サービス「SKYPCE」や、情報セキュリティ対策ソフトウェア「SKYSEA Client View」などの自社製品の企画に従事。
ここがポイント! 専門家に聞く「被害が発覚した際の初動対応編」
菱機工業様は非常に冷静な対応をされたと思います。まず警察も含めて連絡をしなければならないところに迅速に連絡されたこと。社員の皆さまに「現在メールやシステムが使えないが、しばらく待ってほしい」「問い合わせは一本化してほしい」と伝達されたことも、電話での問い合わせなどで起こり得る社内の混乱を最小化する判断であったと思います。特別な訓練はされていないと言われていますが、別系統の安否確認システムを素早く活用できたのは、やはりシステム企画課の皆さまの中で常日頃からの心構えがあったからでしょう。リスクヘッジで別系統の伝達手段を用意しておくのは他の企業も見習っていただきたいポイントだと思います。また、システムごとの復旧優先度をあらかじめ設定しておくことは、サイバー攻撃を意識したBCPの策定手順として重要です。今回は結果論とはなりますが、取引先様への支払いを最優先としたことはステークホルダーとの信頼関係を維持する意味でも非常に優れた判断だったといえます。
身代金要求を拒否! 払えば再び狙われる
御社は身代金要求を拒否されたと聞いています。どのようなプロセスを経て決断されたのでしょうか。
小川氏被害を受けた翌朝の全体会議で決定しました。ファイルサーバーなどの被害状況から、ほぼ全てのデータが暗号化された可能性があることを報告すると、ある役員から「もし身代金を払ったらどうなるのか」という質問を受けました。
我々としては「支払いをして解除キーを受け取っても、回復できるデータは4割以下という統計がある」「要求に応じれば今後もターゲットとされるリスクがある」「支払えば反社会勢力に加担することになる」という3つのポイントを挙げました。こうしたことを勘案し、一切の支払いや交渉を行わないことに決定したのです。実際、要求された身代金はそこまで法外な金額ではありませんでした。攻撃者はおそらく当社の業績などを事前に調べて「このくらいなら払うだろう」という額に設定しているのだと思います。
ここがポイント! 専門家に聞く「どうする? 身代金の支払い編」
日本は他国と比べると、「身代金を支払わない国」として知られています。理由としては、ランサムウェア対策としてバックアップシステムが普及していて復旧できる可能性があること、反社会勢力への利益供与を避けるコンセンサスが浸透していること、日本のサイバー保険の補償範囲に身代金の支払いが含まれていないことなどが挙げられます。
仮に身代金を払っても暗号化されたデータを全て回復できる保証は、もちろんありません。身代金を支払い復号キーが送られてきた場合であっても、支払ってもまず半分だけ暗号化が復元できる、次はその半分と追加で身代金を要求されるケースが少なくない上、「あの会社は払う」という事実が流布され、サイバー犯罪者たちの“カモリスト”に載ってしまいます。そのため支払わないことが大原則です。
ただし特殊な例外も存在します。米国の病院がランサムウェア攻撃を受けて身代金を支払った例がありますが、これは患者さんの生命に関わるシステムだからやむを得ないという判断でした。実際、その企業にとって事業継続に欠かせないデータが暗号化され、バックアップも取っていないという状況になれば、交渉するかどうかは高度な経営判断になるでしょう。日本でも複数の会社が身代金を支払わなかったため、窃取されたデータをダークウェブで公開されてしまった例があります。結果、財務情報や個人情報などが大量に流出して甚大な被害を受けました。どちらにせよ犯罪者集団に金銭を払ったという事実を世の中で認めてもらうのは非常に難しい。現実解としては身代金を支払うより、ダークウェブなどで情報が公開されたとしても、関係する方々への損害賠償やダークウェブ上で公開された情報の拡散を最小化する取り組みを会社、組織として行うことが日本においては理解されやすいのではないかと思います。もちろん、支払わずに済むようなバックアップと共に情報流出を検知できるような仕組み・システムをあらかじめ準備しておくことが大切です。
無傷のシステムはなく、業務が全て止まる
菱機工業様の被害状況についてお聞きします。当時は全てのシステムが使えない状態になってしまったのでしょうか。
小川氏Active Directoryに参加するサーバー、クライアントPC、仮想デスクトップなどが被害を受け、一部のバックアップデータも暗号化されていました。全く無傷というシステムはなく、業務が丸々止まった状態です。夜間の侵入だったため、シャットダウンされていたクライアントPCの感染は少なくて済みましたが、常時電源が入っている状態の仮想デスクトップのうち約1/3は、OSが起動しなくなるほどの被害を受けていました。
アプリケーションを動かしているサーバー群は全滅に近い状態でしたが、バックアップを取っていたNASまでは被害を受けていませんでした。そのため基幹系システムは比較的短時間で復旧させることができました。
一方、図面や写真といった施工関係のデータが入っていたファイルサーバーはバックアップ先の多くがUSB-HDDであったため、暗号化され復旧できない状態に。東京と新潟のファイルサーバーはバックアップは無事でしたが復旧には1カ月以上要しました。いずれも10TB以上の容量のリストアかつ(ランサムウェアのせいではないとはいえ)何度か失敗があったため時間がかかりましたが、無事にデータを回復する事ができました。
全てのデータが暗号化されずに済んだのは、おそらく攻撃者側の時間切れのせいでしょう。ログによると0時58分に侵入の形跡があり、早朝6時58分に抜けていました。一定の目的を果たし、始業時間の前に攻撃を止めたと推測できます。
ここがポイント! 専門家に聞く「ランサムウェアの被害を防ぐには」
脆弱性を突いた攻撃でも、アカウントを盗んだ攻撃でも、侵入後は攻撃者がリモートで操作することも多いので、攻撃者側にも時間的な制約があります。つまり早期に発見できれば被害を少なくすることが出来るということです。これはセキュリティ対策の重要なポイントになりますが、シングルサインオンの環境ではAdministratorのような特権アカウントを盗まれてしまうと攻撃者のやりたい放題になってしまいます。一方、盗まれたのが部署限定のアカウントであれば、その中でしかファイルにアクセスできない。その差は大きいと思います。つまり特権アカウントの取り扱いには特に気をつけなければならず、常に不正使用を防ぐ適切な設定を行う必要があります。
また被害を受けた際にバックアップデータからリストアしても、もし半年あるいは1年前からバックドアが仕込まれていたとしたら、再び攻撃を招く状態になってしまいます。バックアップデータを守るには「3-2-1ルール」を実践し、複数世代を保持するのはもちろんのこと、オンラインだけではなく異なる環境・媒体で一定期間保管することも大切です。
復旧作業では「優先順位を決めておくこと」が重要
復旧作業ですが、その優先順位や手順などはどのように決めていかれたのでしょうか。
小川氏最初に行ったのは、先ほど申し上げたように取引先への支払い業務の復旧です。基幹システムのバックアップデータは暗号化を免れていたため、支払いデータの作成に必要なサーバー2台は感染当日の11月17日中にリストアが完了しています。その次はIRベンダーさんと連携しながら、残りの基幹システムの復旧に取りかかりました。
翌18日に私がデータセンターへ出向き、そこで運用していたサーバーからバックアップデータを抽出。その時点ではまだネットワーク上の安全が確保できていなかったため、ストレージ装置にコピーして物理的に運搬しました。復旧作業の拠点としたのは、金沢本社の大部屋です。バックアップデータからPCやサーバーの再構築、基幹システムへの入力などを行いました。サーバー上にOSをクリーンインストールし、Hyper-Vを使って閉域環境下で復旧作業を進める形です。体制としては、システム企画課がリーダーシップを執りつつ、設計部門などコンピュータに詳しい社員5~6名に応援に来てもらいました。幸いだったのは感染したタイミングがPCの入れ替え直後で、以前使っていたノートPCが100台近く残っていたことです。復旧作業ではこれらのPCを代替機として利用し、足りない分はレンタルPCで補いました。基幹系のERP、人事給与や就業管理系、見積りのための積算システムという順番で復旧させ、基幹システムのリストアがほぼ完了したのが22日でした。
ほぼ壊滅状態だったにも関わらず、かなり早い復旧でしたね。
小川氏復旧といっても22日時点では基幹システムがある程度使えるレベルの状態で、アプリケーションサーバーも含めて対外的な業務の大部分が復活できたのは12月末。最終的に現場などの社外環境からのリモートアクセス利用を再開してシステムの全てを再開したのは2023年3月17日でした。
図2 ランサムウェア感染発覚当時の主な出来事
感染発覚以降の取り組み。システム企画課のメンバーたちは休む間もなく復旧に奔走した
ここがポイント! 専門家に聞く「復旧に向けたポイントや注意すべき点は」
重要なのは復旧するための段取りです。オンプレミスで構築された基幹系の場合、どのシステムは物理的に切り離してもいい、どのシステムは他のシステムと深く関連付いているので切り離しもリストアも同期を取る必要があるといったことを普段から管理していないと復旧への段取りが難しくなります。常日頃からBCP対策として、各システムの関係性を整理しておく必要があります。
また、Microsoft 365のようなクラウドサービスの利用であれば、感染していないPCからログインすれば使えるわけですから、緊急時には一時的に普段は許可していない会社や組織でも、私物のPCやスマートフォンなども活用して連絡手段を確保することも考慮すべきでしょう。
ただ、復旧する際に意外と難しいのが感染していないサーバーやPCを用意することです。菱機工業様の場合、入れ替えのタイミングで代替機が豊富にあったのが幸いしましたが、法人向け製品は多くが受発注商品になっており、今すぐに、PCやサーバーを即納できるベンダーは非常に少ない。常にBCP対策の一環として予備機や予備サーバー、代替ネットワークを構築できるネットワーク機器などを用意しておくのも重要なポイントとなります。
攻撃者はSSL-VPNの脆弱性を突いて侵入
最終的に感染原因は判明したのでしょうか。
小川氏フォレンジック調査(デジタルデバイスに記録された情報を収集し、分析を行うこと)の結果、攻撃者はSSL-VPNの脆弱性を突いて侵入し、Active Directoryの特権を奪った上でウイルス対策ソフトを無効化し、大量のファイルを暗号化したことが判明しました。実は当時使っていたSSL-VPNは機器のサポートが終了したため入れ替える予定でした。しかし納品に6カ月かかると言われ、待つ判断をしてしまったのです。たとえ運用方法が変わっても別メーカーの製品をすぐ導入するべきだったと後悔しています。
感染後、どのような点を強化されましたか。
小川氏システム企画課のメンバーを5名から8名に増強するとともに、大きく4つの対策を実施しました。まず攻撃者の侵入口となったSSL-VPNを、ゼロトラストの考え方に基づくリモートアクセス手法 SDP※1に置き換え、エンドポイント保護に関してはEDR※2/MDR※3に加え次世代ウイルス対策ソフト NGAV※4を導入。特権アカウントを守るActive Directory監視サービスにも加入しました。バックアップのシステムもイミュータブル(変更不能)なものに変更し、ランサムウェアからバックアップデータを守るようにしています。
実はこれらの対策のうちEDR/MDRとイミュータブルバックアップは、感染前の2023年春の納品後すぐに構築する予定でした。しかし、まさにその隙をついて攻撃が行われてしまったわけです。
もう1つ、今回の被害調査を踏まえてITベンダーからは、更新プログラムを確実に適用するといった脆弱性対策の重要性を強く指摘されました。そこで新たにSKYSEAを導入しました。このツールはWindows Updateやウイルス対策ソフトのパッチ適用を一元管理できるので、脆弱性対策の強化に非常に有用だと考えています。
- ※1
- SDP:Software Defined Perimeter/ソフトウェアで分離したネットワーク境界のこと。
近年ではZTNA(Zero Trust Network Access)とも呼ばれる - ※2
- EDR:Endpoint Detection and Response/マルウェアの不審な挙動を素早く捉え、侵入経路や感染端末などを特定・隔離する仕組み
- ※3
- MDR:Managed Detection and Response/24時間365日体制でセキュリティ監視を行う運用サービス
- ※4
- NGAV:Next Generation Anti-Virus/次世代アンチウィルス。これまでのアンチウィルスにAI等の技術を導入することで、振る舞い検知などの機能を実現する
ここがポイント! 専門家に聞く「SKYSEA活用のポイント」
菱機工業様はランサムウェア対策の一環としてSKYSEAを導入されました。
SKYSEAはIT資産を管理するためのさまざまな機能を搭載したセキュリティシステムです。管理下にある端末にインストールされたソフトウェアを管理でき、脆弱性対策のためのセキュリティパッチの適用やアップデートを複数端末へ一斉に行うことができます。更新プログラムはマスターサーバから社内ネットワークを通じて各PCへ配布。セグメントごとに自動選択された端末からクライアントPCにマルチキャスト方式で一斉配布を行えば、ネットワークの通信量を軽減できます。
企業内に散在する膨大なPCに素早く最新のアップデートをかける作業は利用者に依存したり、クライアントOSの自動的なアップデートに頼ったりと、手作業ではセキュリティパッチの配布が追いつかず、その隙を狙って攻撃されるケースが報告されています。こうした観点からランサムウェア対策として管理しているPCに一斉にセキュリティパッチを配信出来るSKYSEAを導入される企業も多いです。
SKYSEAはWindows更新プログラムのダウンロードから、PCへの配布・適用までを管理画面上で一括管理できる。
「感染したら…」という想像力で
備えることがカギに
最後にランサムウェア対策を進める他の企業・組織に向けたメッセージをお願いします。
小川氏実際にランサムウェアの被害を経験した立場からお勧めしたいのは、被害に遭った企業や組織が公開した報告書を経営層にも共有していただき、トップダウンでセキュリティ対策を検討しておくことです。「もし自社が感染したら」という観点で、止まったら業務に支障が出るシステムの洗い出しや復旧方法を想定したシミュレーションを行い、いざという時に備えておくのです。システムのリストア自体は慣れればそれほど大変ではありません。年に2度ほどでも良いのでテストを行っておけば万が一のときにも安心です。
もう1つ重要なのがバックアップです。実際に被害を受けてみると、バックアップデータが完全に失われてしまっていたら果たしてどうなっていたかと今でも冷や汗が出ます。システムバックアップにするか、データバックアップにするかはコストや運用面で大きく違いますが、それぞれの環境において最終的にデータが消えないようにするにはどうしたらいいのかを組織内でしっかり検討していただきたいと思います。
本日は貴重なお話を聞かせて頂き、ありがとうございました。
菱機工業株式会社
経営企画部
システム企画課 リーダー
小川 弘幹氏
1999年に社会人となり、旅行会社に就職するも倒産を契機にIT業界へ転向。インフラ系ベンダーにて8年間勤務後に菱機工業株式会社に転職。15年間にわたり社内システムの運用、企画、導入、セキュリティ対策等に従事。2022年秋、セキュリティ強化施策を提案し予算承認を得るも機器等の発注直後にサイバー攻撃被害を受ける。
