ランサムウェアをはじめとするサイバー攻撃が猛威を振るっている。かつては言語の壁によって守られていた面もあった日本だが、生成AIの急速な進展もあってサイバー犯罪者のテクニックが向上し、フィッシングメールなどを起点にランサムウェア被害を受けてしまう事例が次々と報告されている。国内有数の大企業が事業停止に追い込まれるような事案も報道されており、有効な対策を講じることが急務となっている。

一方で、攻撃を受けた企業がその詳細を語る機会は少なく、経験から学ぶ機会は限られてしまっているが、数は少ないものの、貴重な経験を共有することで役立ててほしいと考える被害企業もある。

関通は2024年9月にランサムウェア被害に遭ってシステムがダウンし、データもすべて暗号化されてしまうなどの大きな被害に遭ったが、その経験を著書にまとめて公表し、国内企業のセキュリティ向上に貢献している。今回、陣頭に立ってランサムウェア攻撃に立ち向かい、復旧作業を推進した同社の代表取締役社長の達城久裕氏と、同社の経営企画本部 本部長で現在はサイバー攻撃からの事業復旧などに取り組むサイバーガバナンス・エグゼクティブ・アドバイザーも務める達城利元氏に、ネットワークとセキュリティの分野における世界的なリーダー企業の一社であるFortinetの日本法人であるフォーティネットジャパンのマーケティング本部 プロダクトマーケティングマネージャーの今井 大輔氏が、ランサムウェア被害の実体験に基づく学びについて聞いた。

  • 左から、フォーティネットジャパン マーケティング本部 プロダクトマーケティングマネージャー 今井大輔氏、フォーティネットジャパン 社長執行役員 与沢和紀氏、関通 代表取締役社長 達城久裕氏、関通 経営企画本部 本部長 兼 サイバーガバナンス・エグゼクティブ・アドバイザー 達城利元氏

    左から、フォーティネットジャパン マーケティング本部 プロダクトマーケティングマネージャー 今井大輔氏、フォーティネットジャパン 社長執行役員 与沢和紀氏、関通 代表取締役社長 達城久裕氏、関通 経営企画本部 本部長 兼 サイバーガバナンス・エグゼクティブ・アドバイザー 達城利元氏

サーバが暗号化されるまで

今井氏: 私はフォーティネットでセキュリティ・ソリューションやプロダクトを日本市場に浸透させていくような仕事を担当しています。その一環として関通様にお声がけさせていただき、日本市場にサイバーセキュリティの重要性を伝えていくためにこの場を設けさせていただきました。よろしくお願いいたします。

まずは、ランサムウェア攻撃を受ける前、どのようなサイバーセキュリティ対策を実施していましたか?

達城 利元氏: サーバは基本的にデータセンターで運用していました。物理サーバは6台程度、その上で仮想サーバを複数運用していた形です。システムもデータも集中させていたので、『会社の情報が全部そこにある』という状態でした。

そのため、VPNを使ったリモートアクセスはできるようにしており、さらにウイルス対策ソフトウェアを最新版に維持、個人情報管理に関連してPマークを取得していたので、その認定に当たって求められる管理体制を構築していました。

今井氏: いわゆる境界防御はなされていた状況ですね。そうした中で、さまざまな企業がサイバー攻撃に被害を受けたことが報じられていましたが、そうした攻撃を自社が受ける可能性についてはどのようにお考えでしたか?

  • フォーティネットジャパン マーケティング本部 プロダクトマーケティングマネージャー 今井大輔氏

達城 久裕氏: ランサムウェア被害に遭う前は、そんなことは想像もしていませんでした。もう遠い世界の話という感覚でしたね。とはいえ、システム担当取締役が結構勉強家で、彼の知識の中で最大限対応してくれていたのだと、改めて感じました。

今井氏: 被害に遭った時はどのような状況でしたか?

達城 利元氏: データセンターに置いていたサーバの中身が全部暗号化されていました。仮想サーバのシステムイメージファイルからデータまで何から何まで全部が暗号化された状態で、アクセスしても何もないという状況でした。

今井氏: 最初に侵入されてから暗号化されるまではどのくらいの期間があったのでしょうか?

達城 利元氏: 恐らくですけど、2カ月以上前だろうというところまでしかわかっていません。実はログを2カ月分しか残していなかったので、調査もそこまでの範囲でしかできなかったのです。その中で、2025年7月に侵入されている形跡があり、8月に攻撃を仕掛けようとしていると思われるログも見つかりました。したがって、少なくとも2カ月程度は潜伏されていたのだと思います。

今井氏: おそらくその2カ月の間に御社のシステムの内部が調査されて、バックアップの状況なども知られた上で攻撃されたんでしょうね。お話からすると、典型的なランサムウェアの攻撃パターンだと考えられます。

よく見られるランサムウェア攻撃は、まずVPNの脆弱性などを突いて内部に侵入する経路を作ります。その後、インストールされているウイルス対策ソフトやEDRなどのセキュリティツールに検知されないように慎重に行動し、可能であればそれらの対策を無効化するような動きを実行し、サーバに侵入してバックアップを止めてしまいます。バックアップがされていればすぐに復旧されてしまうことは攻撃者もわかっていますので。

こうした準備には1~3カ月程度かかることも多いですが、準備が完了したら休日などの気づかれにくいタイミングを狙って暗号化を実施するというのが典型的な攻撃手法です。

この間、何かおかしいと感じたことはありましたか?

達城 利元氏: まったく感じませんでした。当時はセキュリティ担当者が毎日ログをチェックしていなかったので、何かあったら対応するという体制でした。

50日と異例のスピードで復旧、そのカギとは

今井氏: では、暗号化されてしまったことがわかってからの対応はどのように進めたのでしょうか?

達城 久裕氏: まずは、専門家と言われる会社4社に対応をお願いしました。実際にはこのうちの3社は調査の専門家でしたが、それがわかるまでに相当な時間がかかってしまいました。いろいろな人に話を聞いて決めたんですが、初めてお会いする方ばかりで、最初から全幅の信頼を置くことはできませんよね。ただ、実際にいろいろ聞いてみると4社のうち3社は調査優先で、われわれの事業の復旧はそのあとという印象でした。

「泥棒に入られた家の進入経路も調査しないでその家にそのまま住むんですか」と言われてハッとして、「いや、もうその家捨てます」ということで全部一から構築し直す決断をしました。後から考えても、この決断が一番良かったと思っています。これが50日という短期間でそれなりの復旧ができた大きな要因でした。専門家に言われるままに調査に時間をかけていたらこの期間での復旧は難しかったでしょう。

一方で、復旧に寄り添ってくれたのは東京の小規模な企業でした。復旧といっても単に戻すだけではなく、セキュリティを確保した上で行わないと意味がありませんが、それに寄り添ってくれたので「この人とならやっていける」という信頼感が生まれました。

  • 関通 代表取締役社長 達城久裕氏

今井氏: 私自身もそうした緊急時に呼ばれて復旧支援を行った経験があります。おっしゃったとおり、ちょっとしたパニック状態のところに呼ばれて『すぐに直してほしい』と言われるわけですから、その温度感についていけることが重要になりますね。とはいえ、直すにしてもどこから入られて何をされたのかがわからないと見積もりもできませんので、まずは調査という気持ちもわかります。しかし、そのスピード感ではもう倒産するかもしれないと思っている被害企業に全然響かないのも理解できますので、お互いの立場の違いを理解して対応することの難しさや大切さがよくわかりますね。

そうしたなか、やはり50日で復旧したのは異例の早さだったのではないかと思います。これは、経営者である達城社長のリーダーシップと意志決定、決断の早さがあったからこそ実現したのではないでしょうか。日本企業ではこうしたリーダーシップが欠如しているケースも少なくなく、社長が『システム担当者に任せている』と言うと、一気にスピードが落ちてしまいます。「決裁権がない」「相見積もりをとらないと」という話になってしまいますので。

達城 久裕氏: 秋葉原に自社の開発チームを持っていたのも大きかったですね。いったんすべてのシステムを捨てる決断をしましたが、15人体制で作り直しの開発を進めることができました。もちろん外注先にも助けていただきましたが、物流会社でありながらも自社のシステム開発部隊を持っていて、内製で構築できる力があったことは幸運でした。

セキュリティ対策を全面的に見直し、毎週15分の勉強会も

今井氏: 境界防御型のセキュリティ対策が破られてしまって、侵入を許してしまった結果、ランサムウェアの再感染は防ぎたいものの、侵入経路を明確にしてすべてを見つけ出すのを待っている余裕はないという状況で、全システムを放棄するという決断を下して復旧を最優先で取り組まれたわけですが、復旧後のセキュリティ対策はどのように強化されましたか?

達城 利元氏: 今はゼロトラストに基づいています。ランサムウェアに感染している可能性があるPCは全部捨て、新しく調達したPCにはEDRを導入し、UTMとしてFortiGateも導入しています。ログ監視も行うようになりましたし、認証基盤の整備やダークウェブの常時監視なども行うようにしました。

一番怖いのはパスワードの使い回しと考えましたので、毎週1回15分の勉強会を社内向けに開催しており、今週でもう45回目になります。情報セキュリティ管理規定も新たに作成し、その規定を踏まえて現場のスタッフの人たちにできるセキュリティ対策について説明しています。規定の内容が実際に現場で運用されているかどうかのチェックも四半期ごとに全現場を回り、目の前で操作してもらって確認するという取り組みも行っています。

  • 関通 経営企画本部 本部長 兼 サイバーガバナンス・エグゼクティブ・アドバイザー 達城利元氏

今井氏: 素晴らしいですね。ゼロトラストを導入したという話はよく聞きますが、システムを導入しただけで終わってしまっているケースがほとんどです。運用体制やトレーニングまでを含めてそこまでしっかりやっているのは本当に素晴らしいですね。これまで聞いたことがないほど高いレベルの対策がなされていると感じました。

現在はサイバー犯罪者の攻撃手法が高度化していますので、攻撃を100%防ぐことは難しくなってきています。しかし、ゼロトラストを導入してきちんと運用していくことで、「内部に侵入されたとしても自由に動けない」「権限のないシステムにはアクセスできない」といった状況が作られていれば被害を局所化できます。また、「感染しているかどうか判断できないから安全策として全部捨てる」という思い切った決断をしなくてはいけなくなる前に食い止められると思われます。攻撃を受けた後の状況把握が容易になることで、復旧のスピードが上がることも期待できると思います。

達城 久裕氏: われわれは、サーバがブロックされたという経験を踏まえて、どうやって復旧するかという手順を用意しておき、その手順を訓練によって迅速に実行できるようにしておくことが攻撃を無力化できることになるのではないかと考えています。

また、当社はEC事業者様のバックヤードとして物流を担当する中、たくさんの個人情報を預かって管理していました。Pマークを取得するなどの体制を構築していました。しかし改めて考えてみると、当社が個人情報を持っておく必要はないのではないかと気がつき、個人情報をすべて削除する方針を打ち出しています。

「あったほうが便利だから置いておく」という考え方をやめ、持たなくても大丈夫なようにしておくこと、個人情報保護の負担が減り、漏えいしたのではないかという疑念を招くことも避けられます。本当に守らなくてはいけないところを明確にし、それらをきちんと守るためにも守るべきものを減らしていくことも有効ではないでしょうか。

  • 対談中の様子

境界防御の弱点を克服する、打つべき手はゼロトラスト

被害の実体験に基づいた達城社長のお話は豊富な知見を含み、大いに参考となるものだった。

例えば、「警察に被害届を出すと被害を受けたサーバが証拠として保全されてしまって復旧が遅れるので、法的に義務づけられている被害の報告は迅速に行うべきだが、一方で被害届を慌てて提出しない方がよい」「専門家は『やるべきこと』を大量に見つけ出してくるが、被害企業側はそれでなくても大量のタスクに追われて現場も疲弊しているため、むしろ『やらなくてもよいこと』をいかに見つけていけるかが重要」、こうした指摘はサイバー攻撃を体験したからこそ語れる貴重な内容であろう。

関通では社長の強力なリーダーシップの下でランサムウェアに感染している疑いのあるIT資産は全部手放して新たに構築し直すことで復旧速度を速めるという決断を下し、迅速な被害復旧を果たした。しかしながらこの結果は、防御を突破されて内部に侵入されるとその後の活動を捕捉することが困難になるという境界防御の弱点に起因するものだとも言える。

関通では2024年のランサムウェア被害を機にゼロトラストへの移行を果たし、以後は侵入されたとしても内部でできることが制限されている上、捕捉もしやすいシステムへと進化している。もちろん単にソリューションを導入するだけでは十分とは言えず、同社のようにしっかりとした運用体制を維持してこそセキュリティが維持できるという側面があるのは間違いない。

とはいえ、やはり激化するランサムウェア攻撃に対して有効な対策を講じる必要があるのは確かであり、現時点ではゼロトラストの導入がその有効な解となることは間違いないだろう。

[PR]提供:フォーティネットジャパン