近年、社会を揺るがすサイバー攻撃が止まりません。
中でも「ランサムウェア被害」は企業規模を問わず拡大しており
大手メーカーを中心に狙われニュースになっております。
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた言葉で
ファイルを暗号化して利用不可能にした上で、“元に戻すこと”と引き換えに金銭を
要求する悪質なマルウェアです。
以前は「狙われるのは大企業や行政機関」と考える人も多かったかもしれません。
しかし、いま最も危険なのは地方の中小製造業です。
私が「まちの総務」を通じて交流のあるシステムエンジニアの方から、実際に発生した
“地方製造業のランサムウェア被害”について貴重な情報提供をいただきました。
注意喚起も込めて、その実態を共有します。
■ ランサムウェアに狙われた「地方中堅製造業」の実話
ある週明けの月曜日。社員が出社しPCを立ち上げると、サーバーに接続できない状態が発生しました。
システム部門で確認したところ、サーバー側の挙動に異常が発生していたとのこと。
さらにそのタイミングで警視庁のサイバー犯罪監視部門から連絡が入りました。
「海外のサーバーに大量のファイルが転送されている異常通信を検知しました」
最初は社内も半信半疑だったようです。
「まさか、うちのような中堅企業が?」という反応だったとのこと。
しかし調査が進むにつれ、事態は深刻であることが判明していきます。
■ 侵入経路は「guestアカウント」
調査の結果、攻撃者は社内のWindowsサーバー(AD管理)に対し「guest」アカウントへの
総当たり攻撃を行い、侵入した可能性が高いということがわかりました。
侵入後はファイルを抜き取ったうえでウイルスを実行し、ファイルを暗号化。
サーバー上のデータは利用不可能な状態に。
幸い、クライアントPCの監視ツールを導入していたため、ログ分析により被害範囲を把握。
サーバーは即時ネットワークから隔離し、初期化とバックアップからの復旧を実施し
システムは無事再構築されました。
■ しかし、本当に怖いのは「抜き取られたデータ」
復旧はできたものの、最大の問題はどこまで情報が流出したのかの特定です。
攻撃者と思われる組織からは、外国語で数回電話が入りました。
内容は「身代金要求」や「トップとのコンタクト要求」。
ちょうど社長が不在だったため、深い会話には至らなかったようです。
幸いにも、この企業では顧客情報の管理はほぼなく、大きな二次被害は回避できました。
ただし、自社製造の一部技術情報(CAD図面など)が持ち出された形跡があり
影響こそ小さかったものの、決して無視できる事態ではありません。
■ 攻撃元は「8Base」2023年登場の二重恐喝グループ
警察およびIPAとの連携調査により、今回の攻撃は「8Base(エイトベース)」と呼ばれる
海外ハッカーグループによるものと判明。IPアドレスの特定から、拠点はルーマニアとみられるとのこと。
8Baseは 2023 年に登場した比較的新しいランサムウェアで、
- ファイル暗号化
- データ窃取
- リークサイトでの公開による二重恐喝
といった手口が特徴で、すでに米国の金融機関などにも被害が広がっているそうです。
VPN経由でオンプレADサーバーの脆弱性を狙うケースが多く
企業規模に関係なく無差別に攻撃を仕掛けてくるのが実態です。
■ 中小企業が「狙われやすい理由」は明確
- セキュリティが十分でない
- 業務用VPNの設定が甘い
- アカウント管理が不十分
- IT人材不足で監視が追いつかない
こうした「弱いところ」を狙い撃ちしてきます。
大企業以上に、中小企業の方が危険な状況にあると言っても過言ではありません。
被害企業の中には、表に出さず「身代金を支払ってしまう」ケースもあると聞きます。
しかし、これはサイバー犯罪を助長する最悪の選択肢です。
■ 今回のケースから何を学ぶべきか
被害の顛末は以上ですが、重要なのはここからです。
「どの企業でも起こり得る」という前提での対策が必要です。
続く後半では、今回の事例から読み取れる「中小企業が取るべき現実的なサイバー対策」について
詳しく解説します。