LINEヤフーのグループ企業でEC・ネット通販事業を展開するアスクルが2025年10月19日にランサムウェアの被害に遭ったのは、記憶に新しい。同社では以前より全社規模でのサイバー攻撃対策訓練を実施してきたが、今回はこれらの教訓を元にランサムウェアに特化した机上演習ではなく、よりリアルな仮想環境を用意して攻撃への対処から復旧までを想定した訓練を実施した。IT企業大手が実施する本格的なセキュリティ訓練とはどのようなものか、訓練の詳細を報告する。

  • LINEヤフー ランサムウェア対応訓練の模様

    LINEヤフー ランサムウェア対応訓練の模様

なぜ実戦型のランサムウェア訓練が必要なのか?

LINEヤフーは、数々のサイバー攻撃の教訓よりインシデントに対応した訓練に力を入れてきた。昨年も全社的規模で担当部署の人員を一同に集めての机上演習を行っている。今回は、昨年発生したアスクルでのランサムウェアによる被害を教訓に、サイバーセキュリティ専門企業、Fore-Z(フォアーゼット)の協力を得て実戦さながらのランサムウェア対応訓練が行われた。

訓練は、LINEヤフーのCISO(Chief Information Security Officer:最高情報セキュリティ責任者) CBU(Corporate Business Unit)セキュリティ部署とFore-Z担当者が考案したシナリオを元にランサムウェアによる異常検知から被害対応、システム復旧までを作成した仮想環境上で実演していく。10時から17時45分まで約半日にわたる内容となっている。

  • ランサムウェア対応訓練のメニュー(同社資料より)

    ランサムウェア対応訓練のメニュー(同社資料より)

訓練を主導するのは、Fore-Z 執行役員 中谷圭佑氏。Fore-Zは、攻撃者視点で脆弱性診断や、ペネトレーションテスト、レッドチームオペレーションなどのセキュリティソリューションを提供する企業だ。今回、中谷氏はランサムウェア対策ということで、できる限りLINEヤフーの環境に寄せた環境で、多くの学びが得られる訓練メニュー作りに力を入れたという。

プログラムとなる模擬環境は、リユースを扱うオークションサイトの稼働が停止、ファイルが暗号化され、その後業務環境として使っているAD(Active Directory)の侵害が発生、被害の検知と分析を開始するところからスタートする。

  • Fore-Z 執行役員 中谷圭佑氏

    Fore-Z 執行役員 中谷圭佑氏

参加メンバーは、インフラ側のコマース(ナビゲーター含)チーム5人、クラウドサービスチーム2人、実際セキュリティを担当するSOCチーム5人、中央司令塔であるCSIRTチーム4人が中央の問題を討論し対策を考える「War Room」を囲むように配置され、少し離れたポジションにCBU、各ドメインの上長が陣取る形となった。

  • 訓練での各チームの配置(同社資料より)

    訓練での各チームの配置(同社資料より)

SOC(Security Operation Center)チームは社内システムやネットワークの監視とサイバー攻撃の検知や分析を行い、システムの防御・対策の立案を行う組織で、今回もランサムウェアの検知やログの分析、進入路の確定、復旧のための対策を担当する。CSIRT(Computer Security Incident Response Team)は、サイバー攻撃や情報漏洩などのインシデント発生に対応して、被害の分析・調査からの原因究明、被害拡大阻止や迅速な被害復旧を担当する部門の通称で、事故対策で司令塔の役割を担う重要なポジションとなる。

  • コミュニケーション用のSlack画面

    コミュニケーション用のSlack画面

訓練時のコミュニケーションはSlackで行い、会場のモニターにはシステムの状態をリアルタイムに表示する。

  • 被害状態のモニター

    被害状態のモニター

ランサムウェア発生時、企業はどう動く?検知から復旧までの流れ

それでは実際の訓練を見ていこう。

11時に「コマース」チームよりリユースサービスのアプリケーション サーバーの不具合が通報される。ここで、インシデントの懸念があることが報告。次いで、情報をもとに「SOC」と「コマース」部門がWeb内部やログ分析を開始、CSIRTへ報告を行う。

11時10分、外部公開Webサーバ上で一部ファイルの拡張子が変更されていて開けない状況が発生。不審なテキストファイルがディレクトリに存在していることも確認、状況から高確率でランサムウェアの可能性が示唆された。直ちに、CSIRTがSlackチャンネル立ち上げ、必要な関係者をメンバーに追加する。CSIRTは、情報を集約・整理し、事故レベルの評価を実施する。

  • SOCチーム

    SOCチーム

11時30分にAD侵害の可能性を検知、Domain Admin権限やDomain Controllerへアクセスが検知されたことからドメインが掌握された可能性が示唆、AD担当がログ分析を行いCSIRTへ報告を行う。CSIRTは総合的な判断により事故レベルを「重大インシデント」に認定し、経営層へ報告後、全社的な対応体制の構築に着手。事態打開への具体的な動きが開始される。

  • CSIRTチーム

    CSIRTチーム

13時10分より事態解決のため各担当者がWarroomに集結し、CSIRTは、現在の全体状況のまとめとこれまでの決定事項ログを報告する。SOCとAD担当ほか各自、最新の状況の報告を行うと共に、各メンバーの役割定義と緊急連絡先リスト、誰が何を担当するかを確認。その後、緊急対策本部立ち上げ本格的な対策へ移行する。

  • Warroomでの話し合い

    Warroomでの話し合い

事態は、第3フェーズに突入する。指揮系統の確認と部門横断的な対応体制の確立、役割とタスクの確認を行い、それを元にした止血方針の確認などが行われ、14時にネットワークを遮断。事故端末、コマースサーバーとDBを隔離、本格的な止血措置を実行する。次いで、AD対策として認証情報の緊急リセットなどの措置を実行。感染したシステムを物理的にネットワークから切り離し、感染VMの隔離、ADログオン制限、krbtgt(ケルベロス・チケット・グラインティング・チケット/KerBeros Ticket Granting Ticket)パスワードリセットを実施。システムを隔離、被害拡大を抑えるための止血処理が完了する。

  • クラウドサービスチーム

    クラウドサービスチーム

対策は阻止段階から次の解析・対応へと移行する。15時、SOC主導でログ解析が行われ、攻撃の全体像を技術的に解明、被害の影響範囲が確定される。これらの情報より事故の法的報告と専門機関へのフォレンジック依頼、警察やJPCERTなどの公的機関への報告判断を行う。

15時40分に最終的に状況分析と対応策の整理が完了。再稼働に向けての対外発表、経営層向けの説明と社外報告、再稼働条件などのための情報整理を行う。

  • コマースチーム

    コマースチーム

16時、最後のフェーズ復旧へと移行する。復旧の準備が整い、復旧時刻と方法を決定し、データ消失期間などビジネスへの影響を確認の後、データベースの復旧を開始する。正常なサービス提供が可能か最終判断を行う。

16時45分、ビジネス再開とセキュリティリスクのバランスを考慮に入れ、経営層が最終判断しシステム復旧を実行。システムは正常化し、一連の訓練プログラムが終了となった。

  • 復旧完了

    復旧完了

ランサムウェア対策で見落とされがちなリスクとは?

訓練終了後、今回の訓練のポイントについて中谷氏が論評を行った。同氏は初期侵入経路である不許可ソフトウェアについて言及。有名な圧縮・解凍アプリケーションやテキストエディターで、過去に悪意を持って作成された危険なファイルが配布された事件を紹介し注意を促した。ハッキングによる内部探査については、侵入起点端末内の認証情報を利用してAD環境に侵入し、外部ベンダーへ提供したアカウントの認証情報(平文記載)を取得した過去事例をとり上げて、ペネトレーションテストでもよく検出される脆弱性、設定ミスであることを指摘し、注意喚起を行った。

  • 中谷氏による講評

    中谷氏による講評

訓練の締めくくりとして、今回のCBU、ドメイン長よりの講評が行われた。Content PFユニット/ ユニットリード 伊藤純一氏は、「我々は顧客やコンテンツパートナーから預かった大事なデータを安全に管理する重要な責任があり、高い安全性が求められる仕事を行っている。今回の訓練は、非常に臨場感があって影響が出てから調査、復旧と緊張感を持ちながら見させてもらった」と述べた。

  • LINEヤフー Content PFユニット/ ユニットリード 伊藤純一氏

    LINEヤフー Content PFユニット/ ユニットリード 伊藤純一氏

執行役員/ コマースドメインCTO 岡庭維歩手氏は「複数にまたがる3つの部門が共同で、よりリアルな本格的訓練を実行したことは大きな意味があり有意義であった」と述べる一方で、「現実は、今回の訓練のようにスムーズに行かない」とアスクルでの事例から、実際の現場との違いを指摘、「実際は2週間位かけて、対策を開始できる状態まで持っていくことなる」と自身の体験を語った。

  • LINEヤフー 執行役員/ コマースドメインCTO 岡庭維歩手氏

    LINEヤフー 執行役員/ コマースドメインCTO 岡庭維歩手氏

最後に、CISOオフィスユニット/ ユニットリード 鈴木重雄氏が、「アスクルなどの経験より、最低2週間ぐらいかかるのが本当にリアルなインシデント対応。今日よりもはるかにハードな状況が2週間続くというのが現実解」と岡庭の意見に同調し、「10倍は余裕で大変になる」と強調する。ランサムウェア発生時の暗号化による実質的なデータ損失、困難な現状確認、手探りでの対応など、調査・対応する範囲など経験に基づく実際の対応の難しさについて言及し、被害発生を予防することの重要性について念を押した。

  • LINEヤフー CISOオフィスユニット/ ユニットリード 鈴木重雄氏

    LINEヤフー CISOオフィスユニット/ ユニットリード 鈴木重雄氏

現場エンジニアはどう感じた?実戦訓練で見えた課題と学び

では、実際に各部門を担当したエンジニア達は、今回の訓練についてどう考えただろうか?

CSIRTの担当者は、「かなりリアルなプログラム組んであり、身のある議論ができた」「関係者が多数出席する中でのコミュニケーションの取り方など非常に参考になった」と体験を語った。

クラウドチームの担当者は、「普段はバックエンドで仕事してるので、フロント側から侵入経路やDBの影響まで、攻撃の流れを感じることができたのは、非常によい勉強になった」と述べる。

コマースチームの担当者は、「インシデント対応の流れを現場担当が経験できたのは非常に有意義で、サービスビジネスとしてデータ復旧タイミングをどこまでやったらもっと短くできるかを考える機会となった」と訓練の効果について語っている。

今回のプログラムを企画した一人、CISO CBUセキュリティCBUセキュリティマネジメントユニット 教育ディビジョン啓発ディビジョン ランサムウェア対応訓練プロジェクトマネージャー 今井健太氏は、「一日で訓練できる内容をできるだけ多く積み込みました。今回、現場がかなり順調に課題をクリアしていたので、次はもっと厳しい条件でも行けるかと考えます」「これからもいろいろ考えて新しい訓練企画を考えていきたい」とはやくも来年訓練メニューについての抱負を述べる。

Fore-Zの中谷氏は、「最初は、ちょっと盛り込み過ぎたと考えたが、SOCの細かい詳細な分析は想定しているよりも、スピーディだった」とSOCチームを賞賛し、全体の連携についても「必要なタイミングで各部門が必要な対話をして、適切に部門間連携が見て取れた」と今回の訓練について高く評価した。

  • Fore-Zの中谷氏とLINEヤフー 今井氏

    Fore-Zの中谷氏とLINEヤフー 今井氏

現在、ランサムウェアによる攻撃は、あらゆる業種が直面し得る経営リスクとなっている。LINEヤフーの訓練事例が示すように、攻撃は短時間で全社システムへ拡大し、復旧には数週間を要することからも、机上演習だけでなく実際の障害発生を想定した実戦型訓練が求められている。訓練を通じて、対応技術だけでなく部門間の連携、意思決定の迅速さ、適切な情報共有などを身に付けることが、被害を最小化する現実的な手段と言えるだろう。