ランサムウェア攻撃被害事例から考えるインシデント対応のポイント

1.2025年の教訓：なぜ「数ヶ月間」も潜伏を許すのか

2025年1月のコラムにおいて、私たちはランサムウェアが「暗号化による身代金要求」から、データの窃取と公開を組み合わせた「二重脅迫」、さらには暗号化を伴わない「ノーウェアランサム」へと巧妙化していることを解説しました 。
「ランサムウェアとは？攻撃の手口と対処・対策方法を解説」

しかし、直近でメディアでも報道された大手企業の事案では、高度に自動化された物流システムが停止し、受注・出荷の継続が困難となる深刻なランサムウェア攻撃でした。この事案は、サイバー攻撃がIT部門だけの課題ではなく、経営そのものの継続を左右する「IT-BCP（IT業務継続計画）」の課題であることを示します。

侵入後の「内部活動」による拡大

弊社の緊急対応サービスによる支援経験を踏まえると、深刻なインシデントの多くが「ネットワーク内部での不正通信」による侵入範囲の拡大に起因しています 。攻撃者が一度侵入に成功すると、検知の網羅性が低い内部ネットワークで権限を拡大する隠密行動を進めるのです。

4ヶ月に及ぶサイレント・インシデントの実態

前述の大手企業の事例では、2025年6月の初期侵入から10月の発覚まで、約4ヶ月間もの潜伏期間がありました。

• 初期侵入の盲点：業務委託先のアカウントに対し、例外的に多要素認証（MFA）を適用していなかったことが侵入の原因となりました。
• 監視の死角：EDRが未導入だったデータセンターや、24時間監視の対象外だったサーバーを狙って攻撃基盤が構築されました。
• 隠密活動：攻撃者はEDRなどの対策ソフトを意図的に無効化した上で、複数のサーバー間を移動し、特権を奪取していました。

2.インシデント対応のポイント：「IT復旧」から「IT-BCP」への拡張

このようなランサムウェア攻撃の事例を踏まえると、インシデント対応はシステムの復旧だけをゴールにしてはいけません。大手通販事業者の「事業継続」を含めた対応が参考となります。

「直す」と「動かす」を切り分ける二層構造

同社は、発覚当日のわずか数時間以内に、対策本部内に「IT復旧部会」と「事業継続部会」を同時に立ち上げました。

• 代替手段の早期立ち上げ：物流システムが全面停止する中、FAX受注や手作業を組み合わせた「出荷トライアル」を早期に実施しました。これは、ITが復旧するのを待たずに、顧客への供給責任を果たすための「事業継続」活動です。ただし、事前のBCP整備や訓練・検証がされていれば、立ち上げまでの日数をより短縮出来たかも知れません。
• クリーンビルド戦略の採用：汚染された既存環境を部分的に修理するのではなく、安全が確認された新環境をゼロから構築する方式を採用しました。復旧スピードよりも「再汚染防止」と「安全性」を優先した経営判断と言えますが、被害が深刻であった場合、選択肢の1つとして想定しておくことが重要です。

3.今、取り組むべき4つの予防・抑制策

攻撃の動向を踏まえると、次の4軸で「侵入されても致命傷を負わない」体制を再構築する必要があると言えます。

① アイデンティティ脅威検知・対応（ITDR）

MFAの「例外」を狙う攻撃が増加しています。単なる認証強化だけでなく、IDの使用状況を常時監視し、異常なログイン試行を即座に検知する仕組み（ITDR）が不可欠です。また、侵入拡大の隠密行動にも気づく手段となります。

② 外部攻撃面の継続的監視（ASM）

VPN機器や公開サーバーの脆弱性は、攻撃者にとっての「玄関口」です。自社が把握していない「野良資産」や、委託先が管理する接続ポイントを可視化し、攻撃される前に脆弱性を塞ぐ「ASM（External Attack Surface Management）」の導入を推奨します。

③ 「攻撃耐性」のあるバックアップ運用

大手通販事業者の事案では、オンラインバックアップが同時に暗号化・削除され、復旧を著しく困難にしました 。ネットワークから論理的に隔離された、書き換え不能なバックアップ環境の構築こそが、IT-BCPの最後の砦となります。

④ サプライチェーン・ガバナンスの再定義

「委託先のPCのログがOS更新で消えていた」という大手通販事業者の教訓は、委託先管理の難しさを示しています。委託先のセキュリティ基準を契約レベルで定義し、リモートアクセスの管理状況を定期的に「監査」する体制が必要です。

4.GSXが提供する「実効性」のある支援

高度化する攻撃に対し、GSXは外部攻撃面の管理からアイデンティティ保護、組織体制の構築まで一気通貫で支援します。

① 攻撃の「入り口」を塞ぐ：ASM（Attack Surface Management）サービス

攻撃者は常に、VPN機器の脆弱性や管理外の公開サーバーなど、組織の「外側」にある隙を探しています。

• 外部資産の可視化：自社が把握しきれていない「野良資産」や、脆弱性が放置された公開サーバーを攻撃者視点で洗い出し、侵入の起点となるリスクを排除します。
• 継続的な監視：1年前のコラムで推奨した単発の「脆弱性診断」を補完し、日々変化する外部攻撃面（Attack Surface）を継続的にモニタリングすることで、攻撃の隙を与えません 。

② アイデンティティ保護の決定打：CrowdStrike Falcon Identity Protection

大手通販事業者の事例のように、盗まれた認証情報を用いた攻撃は、従来のEDRだけでは防ぎきれない場合があります 。

• リアルタイムの脅威検知：正当なIDを用いた異常な挙動をリアルタイムで検知し、攻撃者の横展開（ラテラルムーブメント）を遮断します。
• リスクベースの認証：普段とは異なる場所や端末からのアクセスに対し、自動で追加認証を要求するなど、MFAの「隙」を突く攻撃を未然に防ぎます 。

③ 「司令塔」を作る：CSIRT構築・運用支援

技術的な解決だけでなく、経営判断や法規制対応を統制する組織が必要です。

• IT-BCP連動型プレイブック：大手通販事業者の事例のような「バックアップ消失」等の最悪のシナリオを想定し、事業継続を優先した対応手順書を策定します 。
• 実戦的な演習：経営層を巻き込んだサイバー演習を実施し、有事の際の迅速な意思決定をトレーニングします。

④ 有事の駆け込み寺：「サイバー119」緊急対応サービス

予兆を検知した際や被害発生時、GSXの専門エンジニアが即座に介入します。

• 迅速な調査と封じ込め：デジタルフォレンジックにより被害範囲を特定し、大手通販事業者が行ったような「安全な新環境への移行（クリーン化）」を技術面から強力にバックアップします 。

結びに：レジリエンスこそが最強の防御

2025年の1年間で、サイバー攻撃は「不可避の経営災害」であることが再認識されました。攻撃を100%防ぐことは不可能でも、「何ヶ月も気づかないこと」を防いだり、「システムが止まっても事業を続ける」仕組みを作ることは可能です。

GSXは、最新の脅威動向と豊富な事案対応経験に基づき、貴社の「揺るがない事業基盤」の構築を全力でサポートします。

次のステップとして、GSXが支援できること

• 現在のBCPが「ランサムウェア対応」になっているか確認したい：
  対策本部の立ち上げフローを含むIT-BCP文書の評価を承っております。
• 侵入経路となる「脆弱なポイント」を洗い出したい：
  「ランサムウェア態勢評価サービス」により、攻撃者の視点で貴社の弱点を特定するお手伝いが可能です。