連載「NTT西日本の社員に聞いてみた!」では、日ごろ、NTT西日本の社員がお客さまのDX推進やセキュリティ対策などをご支援する中で経験した事例や社員の働き方にスポットを当てながら、読者の皆さまにお役に立てる情報を発信します。
今回は、三重県松阪市で青果流通業を営む、ユナイト三重株式会社(以下、ユナイト三重)で発生したセキュリティ事故をご紹介いたします。近年、ますます増加するサイバー攻撃。ユナイト三重はセキュリティ対策をしていたものの、小さな隙を突かれてウイルスに感染してしまいました。
5月中旬、土曜日の午後4時30分。帰社前の最終チェックとして、ユナイト三重の情報システム担当者であるAさんはシステムサーバーのログを確認していました。そのとき、見覚えのないログインが目に留まりました。驚くべきことに、そのログインは現在使われていない過去のアカウントでした。
疑念を抱いたAさんは、すぐにサーバーを管理しているベンダーに連絡を取りました。しかし、ベンダーからは「ログインしていない」と返答が来ました。不安に思いながらもログインの正体が分からないまま、その日は帰宅しました。
自宅に着いた後も、Aさんの頭からはあの見知らぬログインのことが離れませんでした。どうしても気になったAさんは、自宅のパソコンからChromeリモートデスクトップを使用して再びサーバーにアクセスすることにしました。
ログインしてすぐに、Aさんは目の前に表示された画面を見て顔が真っ青になりました。「monster」という見知らぬアカウントがログインしていたのです。瞬時に、これはただ事ではないと感じました。
Aさんは慌ててベンダーに電話をかけました。電話の向こうから聞こえてきたのは、冷静かつ緊迫した声でした。「データが書き換えられています。すぐにネットワークからサーバーを遮断します」と告げられたのです。どうやら、データの書き換えはAさんが帰宅した後の午後6時から6時30分の間に次々と行われていたようでした。
ベンダーは迅速にデータ復旧の作業に取り掛かり、前日の金曜日までのデータに戻す作業を開始しました。Aさんは同僚の情報システム担当者を呼び、最悪の事態を想定しながら関係部署の役員にすぐに連絡を入れることにしました。
最悪のシナリオとして、「過去10年間の受注データが復旧できない」という甚大な被害を覚悟しました。それでも、せめて前日までのデータが復旧できることを願い、祈るような思いでベンダーの作業を見守りました。
深夜に安堵の一報、その後
時間は刻々と過ぎ、時計の針は午前0時を回りました。その時、ベンダーから一報が入りました。「無事に昨日分までのデータが復旧できました」という報告に、Aさんは安堵のため息をつきました。最悪の事態は回避できたのです。
データ復旧のめどが立った後、次に行うべきは社内ネットワークへのウイルス侵入の確認作業でした。仮に土曜日の午後4時頃にウイルスが侵入したとすると、その時点で電源が入っていたパソコンは限られているため、ウイルスが侵入した入り口の特定調査はスムーズに進むと考えられました。
しかし、調査の結果、社内の1台のパソコンに加え、NASデータも一部改ざんされていることが明らかになりました。ウイルスの侵入経路や被害範囲を特定するため、全社的なセキュリティスキャンと詳細なログ解析が必要になりました。また、ベンダーは警察に通報し、ログデータをもとにウイルスの侵入経路や行動を検証するために、被害を受けたパソコンの引き上げを行いました。
原因の解明と教訓
さまざまな調査の結果、今回の侵入はVPNルーターの脆弱性を突かれたものであると判明しました。インターネットの入り口にはUTMなどでセキュリティをかけていたものの、まるで裏口から泥棒が侵入してきたかのような被害を受けました。Aさんは、今回の事案を経験し、多様な教訓を得ました。
教訓①:初期対応が後の被害拡大に影響
ウイルス被害に遭った際には安易に再起動をしてはいけません。再起動によってログデータが消失する可能性があり、ネットワークからの遮断のみを行うことが適切な場合があります。基本的な対応として、おかしな事象が発生した場合には、電源を切らずにネットワークを遮断し、関係機関への迅速な連絡を行うことが重要です。そして、被害がどこまで広がっているのかを徹底調査することが必要です。
教訓②:信頼できるセキュリティベンダーとの連携が大切
今回最悪の事態を回避できたのは、Aさんが事故を認識してからすぐにセキュリティベンダーに連絡し、適切な対処を講じられたことが大きなポイントでした。信頼できるベンダーと日頃からコミュニケーションを取っておくこと、またあらかじめ非常事態発生時における関係各所への連絡体制や、復旧へのロードマップを整備することが大切です。
加えて、社内担当者がインターネット接続機器やUTMがどれに該当するのか、どういうシステムを利用しているのかなど概要なども把握しておくことで、各ベンダーに正確な情報を共有し、早急な解決に役立つ場合があります。
サイバー攻撃で個人情報が漏えいする場合もあるため、警察への通報も行うのが良いでしょう。
教訓③:セキュリティの管理責任範囲を明確化する必要性
今回サイバー攻撃を許した大きな原因は、VPNルーターの管理責任分界点が曖昧であったことで、脆弱性が生じたことでした。責任範囲を明確にするため、VPN、ルーター、ウイルスセキュリティなどの管理を信頼できるベンダーに任せることも有効です。特にセキュリティ担当者が不在だったり、セキュリティ担当者はいるものの人手不足で網羅的に管理が難しかったりする会社では、ベンダーを頼ることで人的リソースやインシデント発生による被害等の観点から、投資対効果が高くなることもあります。
ひとごとではない、あなたもサイバー攻撃の対象に
今回ご紹介したユナイト三重は、セキュリティ対策をしていたにも関わらず、少しの脆弱性を突かれてサイバー攻撃の被害に遭いました。幸い、危機一髪で最悪の事態を回避でき、その後の対策にも力を入れています。
一度ウイルスに感染すると、あっという間に被害は拡大し、少しでも対処が遅れると取り返しのつかない事態に陥ることがあります。
近年ではサプライチェーンの一翼を担う中小・零細企業を対象とした踏み台攻撃が増加しており、あなたが加害者として被害者から損害賠償を請求される場合も想定されます。ひとごととは思わずに、有効かつ漏れのないセキュリティ対策を講じましょう。
※掲載している情報は、記事執筆時点のものです
