事例で学ぶセキュリティインシデント（第11回）感染被害が後を絶たないランサムウエアの脅威

公開日：2024.04.22

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　西日本を中心に事業を展開する建設業のK社。早朝、建設現場事務所の責任者がいつものように本社の工事管理システムにアクセスしようとしたところ、つながらない。「システムが故障したのかな」。始業前ではあるが、本社システム担当者のスマートフォンに連絡した。システム担当者は、急ぎ出社して最悪の事態を悟った。「ランサムウエアにやられた」。上司と役員、電話をくれた現場責任者にインシデントの状況を報告し、まず、何から手を付けるか、深呼吸した。

攻撃者の手口が変化する「ノーウエアランサム」

　ランサムウエアの被害が後を絶たない。IPAが毎年公表する「情報セキュリティ10大脅威(組織)」においても、ランサムウエアが1位で脅威の深刻さを物語っている。これは、「ランサム(身代金)」と「ソフトウエア」を組み合わせた造語でウイルスの一種。その言葉通り、パソコンやサーバーに不正アクセスしてデータを暗号化し、データ復元と引き換えに身代金(暗号通貨など)を要求するサイバー攻撃だ。

　さらに、身代金を支払わないとデータを公開すると脅迫したり、企業のWebシステムなどに対してDDoS(分散型サービス妨害)攻撃を仕掛けたりすると脅迫する「二重脅迫」の手口もある。攻撃者の手口も変化している。データを盗み取り、暗号化せずに対価(暗号通貨など)を要求したり、支払わないとデータ公開すると脅したりする「ノーウエアランサム」(警察庁の造語)の手口も確認されている。

　ランサムウエアに限ったことではないが、攻撃者が企業・団体に不正アクセスする手段としてVPN機器のぜい弱性やリモートデスクトップの認証情報を悪用したり、メールの添付ファイルを悪用したりする手口がある。VPN機器は本社・データセンターと拠点間を閉域網で接続する手段として利用されてきた。テレワークが広がり、VPN機器とインターネットを用いて本社システムと自宅やリモート拠点を閉域網で接続するインターネットVPNを利用する企業も少なくない。すべてのVPN機器にリスクがあるわけではないが、ソフトウエア不具合や設定ミスなどを突いて、攻撃者が不正アクセスを仕掛ける手口が知られている。VPN機器メーカーは不具合を解消するソフトウエアを提供し、企業が適用することで不正アクセスのリスク低減が可能だ。

　ランサムウエアの被害は大企業ばかりでなく、中小企業の被害もある。警察庁が令和5年9月に公表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、ランサムウエアの被害を受けた企業・団体(103件)のうち、大企業が30件、中小企業が60件、団体が13件となっている。大企業に比べて対策が手薄になりがちな中小企業の被害が顕在化した可能性がある。

VPN機器を経由してランサムウエアに感染…

　K社では、ランサムウエア感染被害を受けたサーバーをネットワークから切り離すとともに、同社の情報システムの構築・運用・サポートを行っているITベンダーの手を借りてランサムウエア感染被害について調査を開始した。感染経路は本社に設置したVPN機器が疑われた。K社では、建設業の2024年問題に対応するため、数年前からITを活用した働き方改革を進めてきた。例えば、建設現場事務所のIT化を進め、紙の作業指示書や図面の代わりにタブレット端末による情報の把握・確認や報告書の作成などを可能にしてきた。

　また、工事の進捗管理や図面・工程管理、見積もり・予算管理などが行える工事管理システムのサーバーを本社内に設置し、建設現場からアクセスして最新情報を確認可能にしている。さらに建設現場事務所の責任者が本社に集まり、定期的に実施していた会議も、リアルからオンラインに変更。本社と拠点間の接続にインターネットVPNを活用してきたが、本社に設置したVPN機器が攻撃者に狙われた。従業員数が約50名のK社では専任のシステム担当者を配置できず、管理部門の社員が兼務している。IT活用とともにパソコンやサーバーのウイルス対策やOS(基本ソフト)のパッチ適用などのセキュリティ対策は行ってきたものの、ファイアウォール機能を併せ持つVPN機器そのものがセキュリティツールのため、特に対策を講じてこなかった。

　攻撃者は、このVPN機器のぜい弱性を突いて本社LANに不正侵入。工事管理システムのサーバーがランサムウエアに感染した。幸いにも、データは災害対策などBCP(事業継続計画)の観点から社内のストレージにバックアップしており、攻撃者に「身代金」を支払うことなく、攻撃の前日までのデータを復元できた。

　そして、ITベンダーの支援を受けながら、工事管理サーバーのウイルス駆除やVPN機器のぜい弱性に対応するソフトウエア更新を行った。さらに本社・営業所、現場事務所のネットワークやパソコン、サーバーがウイルス感染していないかを確認した。この間、ストレージからのデータ復元作業が終了するまでの数日間はシステムが使えず、建設現場では工事の遅れが余儀なくされるなど、大きな影響があった。

オンプレミスからクラウドサービスの利用も検討

　システム担当者は役員や従業に対してインシデントを報告するとともに、工事管理システムには受発注や見積もりなどのデータが含まれていたため、関係する取引先・顧客にも報告した。そして、今回のインシデント発生を受け、社内にあるサーバーやパソコン、ネットワークの更新プログラム適用を行った。さらに、メールの添付ファイルやWebサイトを悪用して感染させる手口もあることから、「不用意に添付ファイルを開かない」「不審なURLはクリックしない」ことを改めて徹底するように従業員に伝えた。

　また、今回は現場事務所の責任者からの電話でインシデントを発見できたが、もしパソコンなどIT活用で不審なことがあれば、直ちに上司やシステム担当者に連絡するなど、セキュリティリスクに対する社内体制の整備に取り組む方針を打ち出した。

　クラウドサービスの活用も今後の検討課題だ。オンプレミスで構築・運用している工事管理システムなどはクラウドを利用することで、そのセキュリティ対策をクラウド事業者に任せられる。また、社内はファイルサーバー、取引先はメールや手渡しでやり取りしている受発注書や設計図面などもクラウドストレージを活用し、より安全にデータを保管、共有できると見ている。建設業のIT活用は大手企業を中心に広がっているが、中小企業も対応していかなければ取り残されてしまう。K社ではITを安心して活用していくためにも、ランサムウエア感染のインシデントを教訓にセキュリティ対策を強化していく。