「サプライチェーン」を人質に取るようになったランサム攻撃 ――ラックの西本氏が語る、万一への備え：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

サイバー攻撃から企業の重要資産である「データ」をどう守ればいいのか。ランサムウェアが経営に与える本当の被害とは。その実態と対策のポイントを語った。

[高橋睦美，ITmedia]

　この1〜2年というもの、ランサムウェアを中心としたランサム攻撃の被害が急増し、国内でも多くの企業が被害に遭っている。

　かつては、サイバー攻撃に遭っても「PCが使えなくなるくらいで、うちの会社はそこまでITを使っていないし、大丈夫」という反応を示す企業が少なくなかった。しかし最近は様相が異なる。企業にとって重要な資産である「データ」が損なわれた結果、自社の業務に支障が生じるだけでなく、サプライチェーンでつながる取引先やステークホルダーにも甚大な影響を与えかねないのだ。

　長年にわたりサイバーセキュリティ業界をけん引してきたラックの代表取締役社長、西本逸郎氏が、「企業の重要資産である「データ」をどう守ればいいのか〜ランサムウェアが経営に与える本当の被害〜」と題し、その実態と対策のポイントを語った。

もはや「災害」、最大の脅威となったランサム攻撃

ラック 代表取締役社長 西本逸郎氏

　ランサム攻撃とは、身代金要求型の不正プログラムである「ランサムウェア」を中心に、デジタル時代特有の人質として「データ」を奪い、身代金を要求する攻撃の総称だ。西本氏は今やこれが「最大の脅威」とも言われていると説明した。

　もちろん、ランサム攻撃に備えて主要なデータのバックアップを取っているケースもあるだろう。しかし「バックアップデータをオンラインで保存している場合、ランサム攻撃者から手が届き、暗号化の対象となることが多い」と西本氏は言う。つまり、オフラインでバックアップを保存していなければ、データが失われてしまう可能性が高い。

　この結果、「最悪のケースでは一カ月から数カ月程度、システムの停止を覚悟する必要があります。その場合、自社の売り上げが減ったり、事業にインパクトが生じるだけでなく、取引先にどの程度影響があるかを想像してみてください」（西本氏）

　また、オフラインバックを取っていたとしても、そのバックアップデータから復旧する訓練や実経験のある会社はほとんどないはずだ。この場合、先のケースよりはましではあるが、数日から数十日程度はシステム停止が見込まれるとした。

　仮に早期に攻撃に気付き、データ喪失を限定的な範囲にとどめたとしても、めでたしめでたしとは言えない。安心して仕事を再開するには確認が必要だ。「限定的なデータが暗号化されたなら、残っているデータは大丈夫か、改ざんはされていないか、他の不正プログラムはないのかといった調査がやはり必要になるため、最低でも数日の停止は見込まれると覚悟してください」（西本氏）

　さらにランサム攻撃の中には、近年注目されるようになった「二重脅迫型」もある。「身代金支払いの取引に応じなければ、奪ったデータを暴露したり、あるいは取引先などのステークホルダーに知らせるぞと脅しをかけていくケースもあります」（西本氏）

　このように、あの手この手で脅しをかけてくるランサム攻撃は、自社に大きな被害を与えるだけでなく、取引先にも大きな影響を及ぼす。「被害の程度にもよりますが、サプライチェーンに何らかの影響を及ぼすだろうと想像できます。また極端な場合、自社がサプライチェーンから外されることも考えられます」（西本氏）

　現に、沖縄県の図書館システムがランサムウェアに感染し、図書の貸し出しができなくなる状態に陥ったり、徳島県の病院がランサムウェアに感染して電子カルテの閲覧ができなくなったり、「もはや災害」と言わざるを得ない状況に陥ったケースが報じられている。すでにこれらのニュースを目にし、記憶している人も多いだろう。

　西本氏はこうした事例を挙げ、「もはや、サイバー攻撃は『犯罪に巻き込まれた』とか『金銭を奪われた』といった語感ではおさまらない状況だと感じます。ある日突然すべてのデータが破壊され、まるで災害に遭ってしまったような印象だったのではないでしょうか」と、被害が深刻化しつつあることを説明した。

データにとどまらず、サプライチェーンそのものを人質に

　もう1つ西本氏が挙げたのは、被害の質の変化だ。これまでサイバー脅威の第一の懸念事項は、個人情報や営業機密などの情報漏えいが多かった。しかしランサム攻撃によって、サプライチェーン全体の停止というリスクが浮上している。

　「これまで『情報が漏えいしないように対策しよう』と呼びかけてきましたが、そのたびに多くの人から『うちにはそんな大切な情報はないから、セキュリティはいらないよ』と言われてきました。ところがランサム攻撃によって、自社だけでなく、サプライチェーンが停止してしまう危険性が明らかになりました。情報漏えいではなく、仕事ができなくなる、業務が止まってしまうことを狙われている点が大きなポイントだと思います」（西本氏）

　しかも最近では、サプライチェーンを経由して被害が拡大する事例も報じられている。2022年10月、大阪急性期医療センターがランサムウェアの被害に遭ったが、このケースでは、給食サービスを提供するサプライチェーン経由でランサムウェアが侵入してきた可能性が報じられた。

　今や、よりよいサービスを提供するために、外部の取引先・パートナーの力を借り、システムを連携することは当たり前だ。だがそこにセキュリティ上の課題があると、このケースのようにサプライチェーンを通して被害に遭ってしまうことになる。

　そうしたリスクに備え、システム連携の前には脅威分析が重要だ。どのような脅威が考えられるかを事前に洗い出し、それに基づいて、必要以上に多くのアカウントが発行されたり、権限を越えた使い方がされていないかをモニタリングすることがポイントで、すでに着手しているところもあるだろう。

　ただ西本氏は、「一度つなげると、連携範囲はどんどん拡大する傾向にあります。せっかくつながっているんだから、あれもこれもやったらどうだとどんどん変わっていくわけです。本来は、条件が変わった場合の脅威分析も欠かせないのですが、どちらかというと忘れがちです」と留意事項を指摘した。

最大の侵入経路はVPN機器の脆弱性、あらためてVPNの見直しを

　続けて西本氏は、過去から現在に至るまでのランサムウェアの「栄枯盛衰」を振り返った。

　ランサムウェアは昔から存在する不正プログラムだが、特に話題になり始めたのは2016年以降だ。当初は広く無差別に打ち込み、被害に遭ったところから脅迫していく「ばらまき型」だったが、徐々に標的型攻撃へと変わっていった。そして前述のように、単にデータを暗号化するだけでなく、暴露やDDoS攻撃、取引先へのリークといった手段を組み合わせた多重脅迫に変化し、ますます悪質化している。

　こうしたランサムウェアの侵入経路として非常に多く使われているのが、VPN機器の脆弱性だ。

　新型コロナウイルスの感染拡大を機に日本でもテレワークが浸透し、急いでVPN機器を増設したり、古いVPN機器を引きずり出して環境を整えた企業は少なくない。そのVPNで企業ネットワークに接続し、RDP（リモートデスクトッププロトコル）で遠隔操作を行う方法が広く用いられるようになったが、そのVPN機器に数年前から指摘されている脆弱性が悪用され、ランサムウェアがばらまかれている。

　「おそらく最初はボットを用いて、侵入可能なVPNを自動的に探していきます。そして、ダークウェブなどに公開されている認証情報などを用いて侵入できたら、今度はRDPが有効かどうかを調べ上げ、リストを作成します。攻撃者はこのリストを購入し、ランサムをばらまいていく手口で広がっていると推測されます」（西本氏）。特に、海外から長時間にわたって、あるいは深夜にVPN接続するようなケースは注意が必要だという。

　もちろん一口に「VPN」といっても、企業の閉域網で拠点同士を接続するためのVPNのほか、システムやネットワークの保守・運用のためのVPN、サプライチェーンでのシステム連携、そして前述のテレワークなど、さまざまな使われ方がある。