インシデント対応の舞台裏シリーズ：ランサムウェア編

もしもインシデントが発生したら、どのような対応が必要でしょうか？

「まず何をすべきか？」、「誰に連絡すべきか？」、「被害を最小限に抑えるには？」と、突発的な状況で冷静な判断が求められますが、実際に直面すると戸惑うことも少なくありません。天災と同じように、インシデント対応の具体的な行動を事前にイメージすることは意外に難しいものです。

本シリーズでは、実際に起こりうるインシデントをモデルケースとして取り上げ、「どのような対応が求められ、どのように解決へ導くのか」を舞台裏まで詳しく解説します。現場で役立つ実践的な知識を、具体的なシナリオとともにお届けしますので、ご参考になれば幸いです。

連載第1回の今回は、企業にとって深刻な脅威となるランサムウェアを取り上げます。ある日突然、業務システムがロックされ、身代金を要求するメッセージが表示されたら......。そのとき何をすべきか、被害を最小限に抑え、迅速に復旧するための対応策を詳しく解説します。

ある日突然、ランサムウェアに感染したら

ランサムウェア攻撃とは、悪意のあるソフトウェア（ランサムウェア）を使用して、ターゲットのファイルやデータを暗号化し、それを解除するための身代金を要求する攻撃です。攻撃者は、暗号化したデータの復号キーを提供することを条件に金銭を要求するだけでなく、データを公開すると脅してさらなる圧力をかける「二重恐喝（二重脅迫）」の手法を取ることもあります。企業においては、業務の停止やデータ漏えい、ブランドの信用低下といった深刻なリスクを伴う重大な脅威です。

さて、ここからはモデルケースを見ながら解説します。サプライチェーンの中で重要な部品を扱う、電子部品メーカーA社もランサムウェアの標的となりました。侵入したランサムウェアが、静かに、そして確実にその爪を研ぎ、ある朝、平穏な日常を一変させる瞬間が訪れたのです。

ランサムウェアの感染が発覚

A社は1960年代に設立された日本の大手電子部品メーカーで、長年にわたり高品質な電子部品を提供してきました。同社の製品は、スマートフォン、自動車、医療機器、家電製品など幅広い分野で使用され、特に精密な半導体チップと高性能なコンデンサの製造において業界内で高い評価を得ています。国内外の多くの企業と取引を行い、サプライチェーンにおいても重要な役割を担う存在でした。

「Bさん、パソコンが変なんです。ファイルが開けなくなっていて、何かメッセージが表示されているのですが......。」

声には明らかに不安が滲んでいました。Bさんはすぐに営業部のデスクに駆けつけ、パソコンの画面を確認しました。画面にはメッセージが表示されていました。

「これは......、ランサムウェアだ。」とBさんは直感的に理解しました。急いで自分のデスクに戻ると、他の社員からも同じような問い合わせが入ってきていました。次々に電話が鳴り、どの社員もファイルが開けないと訴えています。Bさんは状況の深刻さを認識し、すぐに上司に報告しました。次に、チーム全体に緊急対応を指示し、社内ネットワークの隔離措置を講じるとともに、感染の拡大を防ぐために対象ネットワークに接続する社員のパソコンの電源を切るよう指示を出しました。

Bさんは以前からインシデントレスポンス訓練を受けており、基本的な対応手順は理解していましたが、実際の被害に直面すると訓練とは異なる現実のプレッシャーに押しつぶされそうになりました。「まず何を優先すべきか......？」「どの部門に連絡すべきか......？」簡単な判断ですら迷ってしまうことに、Bさんは焦りを感じました。

「落ち着け、自分には訓練で学んだことがあるはずだ。」と自分に言い聞かせつつも、やはり不安が拭えませんでした。

そこで、Bさんは上司と相談しインシデント対応支援事業者に連絡を取り、助けを求めることにしました。

被害・損失は自社だけでなく、サプライチェーン全体に影響する

製造業において、ランサムウェア攻撃はサプライチェーン全体に深刻な影響を与えます。

A社は、国内外の多数の企業に電子部品を供給しており、自動車メーカー、家電メーカー、医療機器メーカーなど、多くの顧客企業がA社の部品に依存しています。A社の部品は高品質であり、短期間で同じ品質の部品を供給できる他のメーカーを見つけるのは困難なため、ランサムウェア攻撃被害によるA社の部品供給の停止はこれら部品を必要とする企業の生産計画に重大な影響を与えてしまいます。

早速、サービス部門CさんからもBさんに緊急の連絡が入りました。「Bさん、社内システムが使えず、部品の納品ができません。早急にシステムを復旧してもらわないと困ります！まずは、急ぎお客様との調整が必要なので、最新の状況の共有はお願いします。」サービス部門も焦りの色を隠せません。

Bさんは、状況が一層深刻であることを理解し、迅速な対応が求められていることを痛感しました。Bさんと情報システム部門のメンバーは、システム復旧を急務で対応するだけでなく、サービス部門への情報連携も必須となりました。

ランサムウェアへの対応方針を決定

状況が一層深刻であることを理解したBさんは、ラックのサイバー救急センターが提供する緊急事故対応サービス「サイバー119」に連絡を取ります。連絡を受けたサイバー救急センターは、すぐにインシデント対応チームを編成し、Bさんとの連携を開始しました。

まず初動のアドバイスとして、「Bさん、まずは被害が拡大する前に封じ込めを実施してください。最近のランサム攻撃は、VPNから侵入することが多いのでVPNを止めてください。調査に必要な記録も消失・改ざんされる前に保全しましょう。」と伝えます。また、システム復旧に向けて、Bさんとサイバー救急センターは状況を整理しながら対応を進めていきます。

今回の攻撃では、数百台に及ぶパソコンやサーバが攻撃者によって侵害された可能性があります。詳細な侵害調査を行うために、サイバー救急センターが提供する調査用ソフトウェアを、すべてのパソコンおよびサーバに導入することを協議して決定しました。これにより、サイバー救急センターはA社のパソコンやサーバをリモートから調査できます。調査を開始してほどなく、管理から漏れていたVPNを経由して侵入されていたことが判明しました。

「Bさん、工場のネットワークにVPN装置が接続されているので、該当するVPNを探して停止してください。侵害範囲や漏えいした情報については引き続き調査を進めます。また、攻撃者が遠隔操作を使ってネットワークに侵入し続けていないかも調査します。」とサイバー救急センターは説明しました。

「社長から身代金の支払いについて聞かれているのですが、どうすべきでしょうか？」とBさんは不安そうに尋ねました。普段なら考えない選択肢ではありますが、初めて大きなインシデントに直面したことで、社内は混乱しています。

「Bさん、最近は身代金を支払うことで要求がエスカレートする事例が増えています。今回、バックアップデータを正常に復元できていますし、交渉には応じないことをお勧めします。」と、サイバー救急センターが冷静に助言をします。

Bさんはアドバイスを受け、身代金の支払いをしない方針を再確認しました。

システム復旧作業以外にも、対応が必要な作業は多い

A社ではランサムウェアに迅速に対応するため緊急対策本部が設置されました。そこで全体の方針として、以下の2点が決定となり対応を進めることとなりました。

• 専門業者と連携し、感染源を特定の上でバックアップデータからの復旧作業を優先で行う
• 取引先に対して事態の報告を行い、納期スケジュールに影響が生じることを伝える

取引先との調整のために説明材料が必要なため、Bさんは社内の各部門と連携し、進捗状況を共有しました。特にサービス部門からは早急なシステム復旧を求められており、顧客対応のための方針を検討する必要がありました。

「Cさん、現在の進捗状況ですが、専門業者と連携して、感染源を特定し復旧作業に取り掛かっています。目途としては、調査が完了するまでしばらくかかると想定しています。コンティンジェンシープラン（不測の事態に備えて策定するバックアップ戦略）の発動が必要と考えています。」

サービス部門のCさんは頭を抱えながら、「これから何社もの取引先に説明し、納品スケジュールを再調整しなければならないと思うと気が遠くなります。1日も早い復旧をなんとかお願いします。」と、弱りきった表情で応じました。

Bさんは少し戸惑いましたが、サイバー救急センターから「社外向けの報告についても支援できます。」と事前に聞いていたため、冷静に依頼を受け止めました。「感染原因の調査状況」「漏えいした可能性のあるデータ範囲」「個人情報の有無」など、報告に必要な情報をまとめ、サイバー救急センターにも確認してもらった上で提出しました。

サイバー救急センターからはさらにアドバイスがありました。「今後、他にも報告が必要になる可能性があります。例えば、株主・取引先・顧客などのステークホルダーに説明が必要になるかもしれませんし、場合によってはメディア向けの説明が必要になることもあります。いつでも対応できるように事実関係をまとめておきましょう。」

Bさんはシステム復旧以外にも多くの対応が必要であることにうろたえましたが、サイバー救急センターの支援を受けて対応を進めています。

システム復旧とインシデントの収束

その後、ランサムウェア攻撃被害からの復旧に向けて、Bさんを含めた多くの社員とサイバー救急センターのインシデント対応チームが奮闘しました。最終的には、ランサムウェアの駆除と、バックアップされたデータの復旧に成功しました。

念のため、サイバー救急センターには流出したデータが悪用されていないか、ダークウェブの監視をしばらく続けてもらうことにしました。なんとか被害は最小限に抑えられましたが、サプライチェーン全体への影響は避けられず、取引先やサービス部門への対応にも追われています。

後日、サービス部門のCさんがBさんのデスクに訪れました。「Bさん、本当にありがとう。あなたの丁寧な報告のおかげで、顧客と何とか調整できました。こちらもパニックになりかけていましたが、迅速な対応に感謝しています。」とCさんは感謝の言葉を述べました。

その言葉を受けBさんは、今回のインシデント対応が一段落したことに改めてホッとしました。同時に、「もう二度と同じ目にはあうまい」と再発防止に向けた対策を進めることを心に誓います。

インシデント対応からの学び

ランサムウェアのインシデント対応の舞台裏は、いかがでしたでしょうか？

今回の学びは以下です。

• ランサムウェアの感染は事業への影響が大きく、対応にスピードが求められます。特に初動で「感染原因や経路」を特定して、原因に応じた対応を検討することが重要です。
• サイバー攻撃のインシデント被害にあうと、システム復旧以外にも必要な対応は多いです。特に、外部向けの報告は必要となるケースが多いため、必要な情報は整理しておきましょう。
• インシデント訓練を経験していても、実際のインシデントに直面すると進め方に迷い、簡単な判断に自信が持てなくなるものです。信頼できる相談先は準備しておくことが重要です。