ランサムウェア被害に遭った菱機工業、担当者が得た学びとは

ランサムウェア攻撃の増加が止まらない。企業にはランサムウェア攻撃を含めたサイバー攻撃への対策が求められるが、実際に十分な対策が取れているかと言うと、疑問が残る企業も多いだろう。

2022年11月に実際、ランサム攻撃に遭ったのが菱機工業だ。復旧作業に当たった同社 システム企画課 リーダーの小川弘幹氏が2月25日～27日に開催された「TECH+フォーラム セキュリティ 2025 Feb. 今セキュリティ担当者は何をすべきか」に登壇。実体験と学びをテーマに講演した。

SSL-VPN装置から侵入された攻撃の全容

1954年設立の菱機工業は、東日本を中心に空調設備、給排水設備、消防設備の工事を手がける建設業者だ。近年は太陽光発電所を中心とした再生エネルギー事業や植物工場事業にも進出している。従業員数は400名弱、全国に15の拠点を持つ中堅企業である。

その菱機工業をランサムウェアがどのように襲ったのか。小川氏によると、2022年11月17日午前1時頃、SSL-VPN装置を経由して攻撃者が侵入。Active Directoryの管理者アカウントが奪取され、既存のアンチマルウェアソフトが無効化された。攻撃者がネットワークから抜けたのは午前7時前。その間にLockBit 2.0によるランサムウェアが仕掛けられた。攻撃者はシステムログの消去など、攻撃の痕跡をある程度消していったそうだ。

被害状況は深刻だった。Active Directoryに参加している大半のサーバでファイルが暗号化され、支店設置ファイルサーバの大半はバックアップ先がUSBハードディスクとなっていたため、それらは1台を除いて暗号化されていた。

クライアントPCは、夜間電源を切っていた物理PCは12台の被害で済んだものの、24時間稼働していた仮想デスクトップ約200台のうち30%超にあたる70台が感染した。

• 

  菱機工業におけるランサムウェア被害の概要

攻撃の痕跡として、感染したサーバやクライアントのデスクトップ画面が白と赤の不気味な画面に変更され、暗号化されたフォルダには攻撃者との連絡用URLを記したランサムノートが残されていた。特に大きな被害を受けた東京・池袋のオフィスでは、全プリンターから攻撃者からのメッセージが、紙がなくなるまで印刷され続けるという事態も発生。その後に調べた調査会社の情報では9999枚で止まるようにプログラムされていたという。

• 

  実際のランサムノートと、プリンターから印字された情報

ファイルサーバも被害に遭った。例えば金沢拠点には18TBのデータ容量があり、バックアップはNAS（ネットワークHDD）に保存していたが、「バックアップもやられた」（小川氏）そうだ。ただし、別の不具合からマイグレーションを進めていたため、マイグレーション作業中のサーバから89％回復することができたという。他の拠点については、大半がUSBハードディスク保管であったこともあり、3カ所を除いてほとんど回復できなかったうえ、現在でも2割強のデータが暗号化されたまま回復できない状態にある。

対応費用だけで3000万円

菱機工業はデータが復旧できなくなっただけでなく、金銭的にも打撃を受けた。

金銭被害のうち、対応費用として約3000万円が発生。この費用には、調査・復旧支援を行ったIRベンダーへの費用、ネットワーク再構築支援のためのNTT西日本への費用、暫定的な機材調達費用、各拠点からの入力作業のための出張費用などが含まれる。なお、この金額には後の再発防止対策費用は含まれていない。

人件費損失として、約1カ月半にわたって業務効率が大きく低下。「業務パフォーマンスは50%ぐらいだった」と小川氏は振り返った。一方で売上損失については、1年程度のスパンで進行する現場作業が中心の建設業という事業特性から、「算定不能」とした。また、取引先のクラウド共有ストレージへのアクセスが一時的に制限された、サイバーセキュリティ保険加入が困難になった、報道などへの露出といった影響もあったそうだ。

侵入の原因として、「最も悔やまれる」と小川氏が話すのが、侵入経路となったSSL-VPNだ。攻撃された装置はサポート期限を迎えるため、既存メーカーに問い合わせたところ、「納期は6カ月以上先になる」と言われたという。運用上の負荷を優先させ、同じメーカーの後継機種にこだわり6カ月待つという判断をしたことが、ランサムウェア攻撃につながってしまったのだ。

「仮想アプライアンスを採用する、二要素認証を加える、せめて物理アドレス制限を設定するなど、打つ手があったのではと考えると、悔しい思いです」（小川氏）

復旧作業の詳細とは

復旧作業はどのようなものだったのか。

まず独立したネットワーク環境を構築することから始めた。大広間に長机30枚程度を配置し、そこに主要な社内システムを接続。この環境で12月の仕事納めまでの間、システム入力作業を継続した。

通信環境の確保には、NTTドコモの「Home5G」やiPhoneのテザリング機能を活用。幸いにも、機器更新のタイミングで旧端末がまだ処分されていなかったため、これらを再利用することで急場をしのぐことができた。

「あって良かったものはノートPCや通信手段。Excelとメールが使えれば、なんとかなる場合も多いのです」（小川氏）

ここで小川氏がもう１つあると良いものとして推奨したのがWi-Fiルーターだ。安価に入手できるが、有線LANに変換できるクレードル付きのものを1台確保すると良いと話す。その理由として、「サーバ等の無線LANなどでインターネット接続できない機器にEDRを入れてアップデートする作業が生じる」（小川氏）ことがあるという。また、菱機工業では実現できなかったが、携帯キャリアが提供するプライベートネットワークもあると良いものとして挙げた。

そのうえで、クライアントの復旧では、2023年春に導入を予定していたCybereasonのEDRとアンチマルウェア製品（NGAV）を前倒しで導入。復旧手順として、Cybereasonの導入とフルスキャンが完了するまでは社内ネットワークへの接続を禁止した。さらに、アンチマルウェア製品の更新やログデータの送信には、モバイルWi-FiルーターやiPhoneのテザリングを使用。検索後にランサムノートのファイルやマルウェアが存在しないことを確認し、最新のSSU/SU（セキュリティ更新プログラム類）を適用した後、社内ネットワークへの接続を許可した。

サーバの復旧は、バックアップからのリストアを基本とした。クライアントと同様、CybereasonのEDR、NGAVの導入と更新を行い、検索後にランサムノートのファイルやマルウェアが存在しないことを確認し、SSU/SUを適用するかたちを採った。すぐにネットワークに戻すのではなく、当面は隔離されたネットワーク下でのみ利用可とし、イミュータブルバックアップ製品が到着し、それらによるバックアップ設定が完了した後、社内ネットワーク下での稼働を再開したという。

4つの急所と対策

小川氏らは攻撃につながった”急所”として、「リモートアクセスの認証、脆弱性対策が貧弱」「Active Directory管理者アカウント情報が窃取された」「侵入後の攻撃について拡散防止の仕組みがなかった」「バックアップデータが安易に暗号化される環境にあった」という4つのポイントを示した。それぞれに対し、以下の対策を講じたという。

・入口対策：リモートアクセスをZTNAによる方式へ変更し、承認済みデバイス以外からのネットワークアクセスを遮断。また、悪質なウェブサイトへのアクセスを遮断するSWGSWG（Secure Web Gateway）も導入（Akamai社製品を採用）

・Active Directory対策：深夜時間帯における不審な活動を検知した場合、該当アカウントを自動停止する監視サービスに加入

・EDR導入：Cybereasonのサービスを利用し、マルウェア対策を強化、監視機能を設けたMDRのオプションにも加入

・バックアップ強化：イミュータブルバックアップソリューションを導入し、確実な復旧環境を整備（Rubrik社製品を採用）

まずは対策に向けた第一歩を

小川氏はサイバー攻撃に対する策として、「よく言われるサイバーセキュリティフレームワークにおける統治、特定、防御、検知、対応、復旧という流れにおいて、統治から順に実施するのが正解」だと認めながらも、「対策すべき間口が大きくなっているため、セオリーどおりの対策には膨大なリソースが必要」だと指摘した。

• 

  サイバーセキュリティフレームワーク

菱機工業の場合はアプリ系のサーババックアップが無事だったこと、取引先から再度もらえるデータがあること、高額などの理由からデータ復旧サービスを利用しなかったという。それよりも、「自社で確実にデータを取り戻せる環境を手に入れたい」（小川氏）と考え、先述のようにイミュータブルバックアップの導入などに踏み切ったのだ。

同氏はまた、サイバー攻撃に遭った際には速やかに警察へ相談することも推奨した。同社が相談した石川県警のサイバーセキュリティ担当は、暗号化解除を試すと回答しているそうだ。

このような学びから、セキュリティ部門がやるべきこととして、小川氏は「被害イメージの具体化と共有」「被害時の人的リソース確保」を挙げた。

セキュリティ部門は、サイバー攻撃のリスクとその対策について、上層部と認識を合わせ、適切な予算の確保する必要がある。また、復旧手順の把握はもちろん、「可能であれば、訓練も行った方が良い」と同氏は言う。実際、菱機工業では、6カ月に1度各システムのリストア試験を行っているそうだ。

さらに、被害時の人的リソースを確保するため、各システムベンダーと緊急時支援体制に関する取り決めを行うほか、システム部門の人員だけでは不足する場合、他部門から支援が可能か、そして各業務の締切日などを事前に確認しておくと良いとした。

終わりに小川氏は「被害企業の一介の管理者のつぶやき」として「一歩踏み出すこと」をアドバイスした。

「一度に要件を出しすぎると、やることが多くなり、対策の最初の一歩を踏み出せなくなってしまいます。しかし、それが一番良くない状況なのです」（小川氏）