北陸地方を中心に東日本エリアで空調設備、給排水設備、消防設備の施工を手がける菱機工業。2022年11月にランサムウェア攻撃による甚大な被害に見舞われた。
しかし、同社はランサムウェアの感染確認後、障害復旧作業にあたりながら、即日中に情報を公開し第8報まで更新。取材対応やセミナー登壇を通して、セキュリティ担当者らにとって参考になる情報を共有してきた。
こうした姿勢が評価され、菱機工業は第9回情報セキュリティ事故対応アワード審査員長特別賞を受賞した。果たして、同社はどのようにして危機に立ち向かい、どんな教訓を得たのか。
被害の詳細と復旧までの道のりについて、同社 システム企画課の小川弘幹氏に話を聞いた。
「普段アクセスしているサーバに見慣れないアイコンがある」
事件が発覚したのは2022年11月17日の朝だった。小川氏は「普段アクセスしているサーバのデスクトップ画面に見慣れないアイコンがあるとのことで、午前7時半ごろに出社すると『急ぎで連絡がほしい』というメモが置いてありました」と振り返る。調べてみると、共有ディレクトリにランサムノートと呼ばれる脅迫文が残されていた。また、ランサムノートがコピー機で大量に印刷されているという報告も複数の支店から上がってきた。攻撃に使用されていたランサムウェアは、LockBit2.0。徳島県つるぎ町立半田病院を襲ったものと同じ手口だった。
「アプリケーション系のサーバのほか、各支店に設置していたオンプレミスのファイルストレージも現用のデータについてはほぼ暗号化されていました。また、常時稼働の仮想デスクトップクライアント約200台のうち、70台強が使用不能になっていました」(小川氏)
基幹システムの復旧を最優先に
「何をどうしたらいいのか全然わからなかった」と当時の心境を語る小川氏。しかし、発注先への支払期日は週明けの11月21日に迫る。それに遅れると大きな迷惑をかけ、会社の信頼失墜にもつながる。そう考えると、事件発覚翌日の11月18日には支払データを作成しきらなければならなかったため、まずは基幹システムを優先的にリストアさせると決めた。
基幹システムの復旧を進めていったときの状況を、小川氏は次のように説明する。
「ファイルストレージはバックアップも含めほとんど暗号化されていましたが、アプリケーションサーバ用のバックアップデータは残っていました。また、10台ほどのオンプレミスサーバで基幹システムが動いていました。サーバ構築の際には当社側も意見を出しながら進めたので、どのサーバがどの役割だったのかは把握できていました。支払データの出力に必要なサーバは、稼働しているオンプレミスサーバのうちの2台であると見当がついたので、ベンダーにも確認しリストアできそうだという判断に至りました」(小川氏)
基幹システムに関しては、定期的にリストアの訓練を実施していたため、対応にかかる時間はある程度予測できたという。こうしてまずは応急処置として、発覚日当日、データセンター内に作成した隔離環境下で2台のサーバを再開させて支払データの出力を試みる。無事出力に成功したことを確認した後、翌日には社内の大会議室に同様の環境を作り、基幹システムを復旧させて、一部経理担当者が支払業務を進められる状況を作った。
「身代金は払わない」という意思決定に異論はなかった
その裏では、役員らを集めた緊急会議が行われていた。万が一支払いが滞ったときのことを考え、同日中に被害状況に関する第1報をコーポレートサイトへ掲載することを決めた。「支払えないという状況になった後から被害を報告すると、信用問題につながるという判断がありました。社長も含めた経営陣が覚悟を決めたのだと思います」と小川氏は話す。