業務停止に追い込み、企業の存続すら脅かすランサムウェア被害。2024年は大手企業の被害が相次ぎ、明日は我が身として万全な対応策が求められている。本記事ではインシデントの調査・分析を行うフォレンジック事業で、累計3万9,451件以上の相談実績を持つデジタルデータソリューション株式会社(以下、DDS)が、これまで対応した実際の被害事例を解説。手口が巧妙化するランサムウェアの適切な初期対応について紐解いていく。明日、あなたの会社が直面するかもしれない脅威から、今すぐ身を守ろう。

  • (左)デジタルデータソリューション株式会社 フォレンジクス事業部 法人セールスグループ グループ長 馬渡 邦明氏、(右)デジタルデータソリューション株式会社 フォレンジクス事業部 エンジニアグループ グループ長 大下 敬一朗氏

    (左)デジタルデータソリューション株式会社 フォレンジクス事業部 法人セールスグループ グループ長 馬渡 邦明氏
    (右)デジタルデータソリューション株式会社 フォレンジクス事業部 エンジニアグループ グループ長 大下 敬一朗氏

攻撃手口が巧妙化する最新ランサムウェア事情

昨今、ランサムウェアの初期アクセス経路は大きく変化している。ここ数年で最も目立つ手法は「有効なアカウントの悪用」といわれており、DDSでランサムウェアの調査を行った企業では、ほぼ全てVPN機器から侵入されていたという。増加の背景として「攻撃者が検知を回避しやすい正規の認証情報を利用する手法にシフトしており、もはやUTMやアンチウイルスソフトの導入といった基本的なセキュリティ対策だけでは、完全に防御することが困難な状況」と同社のエンジニアグループ グループ長 大下 敬一朗氏は指摘。このように手口が巧妙化していることから、DDSへの相談件数は3-4年前と比べて急増したという。

実際の被害例を見ても、複数のセキュリティ製品を組み合わせた防止策を講じてもなお、感染するケースが増加していることが分かるだろう。

被害事例1

復旧後も脅威は消えない、長期的な潜伏による被害拡大

  • (イラスト)被害事例1:復旧後も脅威は消えない、長期的な潜伏による被害拡大

12月末、製造業A社は突如としてランサムウェア「LockBit」による攻撃を受けた。社内プリンタから大量の脅迫文が印刷され、同時に仮想サーバー群が暗号化された。当時、年末年始の休暇期間で人手が不足していた同社は、早期の業務再開を優先。1週間前のバックアップデータを復元し、一旦は事態の収束を図った。

しかし、その3週間後、事態は思わぬ展開を見せる。警察から「ダークウェブ上にサーバーから抜き取られた情報が公開されている」との連絡が入ったのである。急遽、フォレンジック調査を開始したが、結果は予想外に深刻な事態だった。攻撃者は脆弱なパスワード設定を巧みに利用し、VPN経由で社内ネットワークに侵入。なんと最大2カ月以上もの間、復旧したバックアップ時期よりも前から社内に潜伏し、着実に権限を拡大していたことが判明したのだ。バックアップからの復旧だけでは不十分であり、被害はすでに広範囲に及んでいた。

「年末年始などは監視の目が行き届きにくく、攻撃の発見や対応が遅れるため、人手の少ない時期を狙った攻撃は増加傾向にあります」と、大規模インシデントの対応経験が豊富な同社の法人セールスグループ グループ長 馬渡 邦明氏は警告する。

被害事例2

万全のセキュリティ対策のはずが…ヒューマンエラーが招いた再発の悲劇

  • (イラスト)被害事例2:万全のセキュリティ対策のはずが…ヒューマンエラーが招いた再発の悲劇

製造業B社は、数年前に起きた不正アクセス被害をきっかけに、UTM機器を導入。社内のセキュリティ体制を強化し、安全と考えていた。しかしある日、業務開始直後に従業員から「サーバーにアクセスできない」という一報が上がる。今度はランサムウェアに感染し、データが暗号化されシステムが使用不能な状態に陥っていたのである。

フォレンジック調査の結果明らかになったのは、UTM機器設置時の設定ミスによる脆弱性が攻撃に使用されたということだ。せっかく強化したはずのセキュリティ対策だが、運用する中でヒューマンエラーにより穴を作ってしまったということになる。「セキュリティ製品の設定や権限、既知の脆弱性を利用した攻撃は、定期的な脆弱性診断で防ぐことができます。とくに、一時的に付与した権限やアップデート情報の確認は、重要な点です」と大下氏は指摘する。

高度なセキュリティ製品を導入していても、その運用・管理における小さなミスが、新たな侵入経路となる可能性があることを示唆する事例といえるだろう。

被害の規模を大きく左右する、感染時の適切な対処法とは?

ランサムウェア被害における不適切な初期対応は、組織に深刻な影響をもたらす。データの二次被害や情報流出のリスクが高まるほか、取引先との契約問題への発展や企業のレピュテーション毀損、コンプライアンス上の問題、さらには株主代表訴訟のリスクまで及ぶ可能性がある。発見直後の適切な対処が、被害の規模を大きく左右するのだ。

DDSに寄せられる相談のなかで特に多いのが、「システムを早期に復旧させたいがために、十分な証拠保全をせずに再稼働してしまった」というケースだ。 現状保存は企業を守るうえで最も重要な初動対応である。デジタルデータは再起動などで簡単に書き換わってしまうため、ログの取得やネットワークの切り離しなど、証拠となるデータの保全を最優先に考える必要がある。実際、多くの企業が部分的なセキュリティ対策は実施しているものの、インシデント発生時の対応手順が確立していないために、より大きな被害を招いてしまうケースが後を絶たない。

また、「昨今は、不正アクセスを受けた段階でフォレンジック調査を検討する企業が増加している」と馬渡氏は述べる。2022年の個人情報保護法改正により、個人情報の漏えいが発生した際の個人情報保護員会への報告 ・本人通知が義務化されたことを受け、フォレンジック調査の重要性への理解が社会的に広がっているのだ。

しかしながら、フォレンジック調査の重要性は認識しつつも、実施をためらう企業は少なくない。その背景には、「公表するほどの実害がない」「調査よりも再稼働を優先したい」「情報漏えいはしていないだろう」という判断で公表を避けたい意向や、調査費用への懸念がある。そのため、PCの入れ替えだけで対応したり、事業継続を優先するあまり根本的な対策を後回しにしたりするケースも見られる。

しかし、このような対応はかえって大きなリスクを招く可能性がある。調査なしでの復旧は、攻撃者が残したバックドアや改ざんされた認証情報を見落とすリスクがあるのだ。その結果、気付かないうちに攻撃者に侵害され続け、より大きな被害につながるケースが数多く報告されている。このような課題に対し、DDSでは迅速かつ包括的な支援体制を整備している。

  • デジタルデータソリューション株式会社 フォレンジクス事業部 法人セールスグループ グループ長 馬渡 邦明氏

    デジタルデータソリューション株式会社 フォレンジクス事業部 法人セールスグループ グループ長 馬渡 邦明氏

24時間365日、迅速に対応できるサポート体制を構築

DDSでは、インシデント発生時の迅速な対応を可能にするため、独自の体制を構築している。緊急のインシデントにも迅速に対応できるよう24時間365日の受付体制を整備しており、問い合わせを受けた際は、セールス担当者が即座に対応を開始。その後最短30分で、エンジニアも同席したWeb会議で状況を詳しく確認する。この初期ヒアリングの段階で、ネットワーク構成図などの情報も併せて確認することで、その場で必要な調査範囲や見積もりの提示が可能だ。

具体的な調査プロセスは、まず全端末に対するファストフォレンジック調査を実施して被害範囲を特定。その後、侵入経路が確認された端末や重要なサーバーに対してディープフォレンジック調査を行う。さらに、情報流出の実態を把握するためのダークウェブ調査も並行して実施。前述の2つの事例でも、この一連の調査プロセスを実施し、最終的にはセキュリティ対策製品の導入支援まで含めた包括的なサポートを提供した。

調査の進行状況についてDDSでは、顧客に対してこまめな報告を実施している。フォレンジック調査の完了まで1カ月以上かかる場合もあるため、Web会議による進捗共有や、必要に応じて中間報告会を実施。把握している現状をリアルタイムで共有することで、顧客の不安解消に努めている。

  • デジタルデータソリューション株式会社 フォレンジクス事業部 エンジニアグループ グループ長 大下 敬一朗氏

    デジタルデータソリューション株式会社 フォレンジクス事業部 エンジニアグループ グループ長 大下 敬一朗氏

さらに、脆弱性が見つかった場合のセキュリティ製品の導入支援や、調査結果を踏まえた対策の提案まで、一気通貫のサポートを提供していることもDDSならではのソリューションだ。

1月には新たに「D-SOC」サービスを展開。24時間365日、リアルタイムで社内の全デバイスを人が監視する体制を構築したことで、ランサムウェアによるデータ暗号化で稼働に影響が出る前の段階で検知し、被害を最小限に抑えるなど、企業のニーズに応じた包括的な支援を強化している。

  •  (ロゴ)「D-SOC」サービス
  •  (イメージ画像)「D-SOC」サービス

企業を取り巻くサイバー攻撃の手法は日々進化している。「対策は十分」という過信が、より大きな被害を招く可能性もあるのだ。 インシデントの発生を想定した事前の備えと、信頼できる調査パートナーの確保が、企業のデジタル資産を守る重要な鍵となるだろう。

関連リンク

[PR]提供:デジタルデータソリューション