【実録】サイバー攻撃被害事例：堅牢な対策下で発生！子会社経由でサーバがランサムウェア被害？

サイバー攻撃による被害が多数報じられている昨今、セキュリティ対策の必要性は日に日に高まっています。2024年に弊社が行ったアンケートではWordPressを運用するおよそ52.8％の企業がサイト改ざんなどのセキュリティ被害に遭ったことがあると回答しており、もはやどんな企業にとっても他人事ではなくなっています。

→セキュリティ被害に関するアンケート調査結果はこちらから

しかし実際に被害の詳細や復旧のあらまし、受けた攻撃の種類まで公表する企業はほぼありません。どんな企業がどういった経緯で被害を受けたのか出回っている情報が少ないゆえ、攻撃されるまでリスクに気が付かないケースも多く見られます。

本企画ではサイバー攻撃の実情を知っていただくため、実際にランサムウェアと思われる被害を受けた企業のWEB担当者に直接取材を敢行。今回は大手メーカーでIT部門の統括を担当されているA様に、サイバー攻撃を受けた当時の状況や被害後の対策などを伺いました。

被害企業プロフィール

• 某大手メーカー（以下X社とする）
• アジア中心に海外進出を果たしているグローバル企業
• セキュリティ対策予算として毎年80～100億円を投じている
• 海外に拠点を持つ子会社のサーバが暗号化の被害に
• 状況からランサムウェア被害と推測されている

今回X社の担当役員CIOであるA様がインタビューに対応くださいました。

【被害実録】海外の子会社サーバが暗号化被害に

X社は東京に本社を置き、アジアに約30の拠点を持つ大手メーカー。

X社でセキュリティ対策を管轄しているのは東京本社の情報システム部です。部内には80名ほどが在籍しており、外部のベンダーと共同でデータセンターのセキュリティを管理しています。

A様は3年前からCIOとしてX社のIT部門CIOに着任、本社の情報システム部を統括していました。

海外の子会社でサーバの暗号化被害を確認

X社の海外拠点にある子会社がサイバー攻撃を受けたのは2024年の春。子会社の工場システムへの侵入が確認された後、サーバにも被害が広がっていたことが判明しました。

外部からの侵入と暗号化が確認されたのは夕刻頃。翌朝に東京本社へ連絡が入り、サーバをネットから遮断してログデータの初期化を実施しました。

海外拠点には常時2～3名の社員とベンダーが駐在していたため、本社の情報システム部がリモートで指示を出す形で現地の社員が丸一日かけて初期化したデータとシステムの復旧作業を行いました。

原因はランサムウェア？

復旧時に攻撃を受けたファイルを含めサーバ内のデータを全て初期化してしまったため、正確な攻撃方法や経路は現在でも判明していません。しかし暗号化の被害を受けていることから、ランサムウェアによる身代金要求があったと推察されます。

攻撃手法が分からないため侵入経路も不明確ですが、ベンダーの調査では外部の企業と連携しているWebサイトを経由してランサムウェアに感染した可能性が高いとの結果が出たそうです。

バックアップ用のファイルにも被害

幸いにもあらかじめ取っていたバックアップ用のハードディスクが残っており、復旧作業は無事に完了。データはほぼ全て元通りに復元されました。

ただしテープとストレージに保管されていたデータは暗号化の被害に遭っていたため利用できず、ハードディスクに保存されていたのは1週間前のデータでした。そのため事件前から遡って1週間分のデータは復元不能のまま消失してしまったそうです。

「被害は最小限で済んだ」理由とは

このサイバー攻撃の影響で子会社のシステムは1日停止し、データの全復旧には2週間程度かかりました。

しかしその一方で本社への攻撃や情報漏洩はなく、製造レーンの停止もほとんど発生しなかったため、「攻撃に対する被害は最小限で済んだ」とA様は語っています。

【インタビュー】IT・セキュリティ対策に年間80～100億円投じる堅牢な体制下での発生

サイバー攻撃の被害を受けたX社は年間80～100億円の予算をセキュリティ対策に投下しており、万全な体制を敷いている企業であったと言えます。しかし、十分に見える対策を講じていたとしても今回のように被害が生じるケースも多々あります。

サイバー攻撃によって明らかになった社内体制の欠陥と、IT部門のプロから見たセキュリティ対策への捉え方についてインタビューしました。

子会社の予算、連携不足が浮き彫りとなった

【Q】被害発生時の社内体制について、改善すべきポイントはありましたか？

まず、被害発生時の対応に不足がありました。本来であれば被害が確認された後、即時本社へ連携を取り対策を講じるべきでしたが、子会社からの報告が遅れて翌朝からの対応になってしまいました。

今回は幸いにも情報漏洩や本社にまで広がる被害には至らなかったものの、状況によってはさらに大きな被害が発生した可能性もあったと思います。迅速な対応を行うために、子会社とのコミュニケーションを見直す必要があると気付かされました。

また本社のファイヤーウォールは非常に堅牢であると認識していますが、海外の子会社のセキュリティ予算が十分でなく、テクニカル面での対策が甘かったことも大きな反省点です。本社だけでなく、侵入口となりうる子会社のセキュリティ対策を強化せねばならないと痛感しました。

有事対応マニュアル不備により、被害状況が掴めず

【Q】被害発生時のセキュリティ対応について、改善すべきポイントはありましたか？

対応時のセキュリティ対応マニュアルに不備があり、どのような被害が生じていたか今でも正確に判明していません。その点については改善の余地があると考えています。

外部からの侵入を確認後ネットから遮断し、それからすぐにログデータなどを初期化してしまったため、本来フォレンジック調査（サイバー攻撃などが発生した際に被害状況を調査・分析すること）に必要な手掛かりが全て消失してしまいました。サーバのデータが暗号化されていたという状況証拠からランサムウェアの被害に遭ったと推測していますが、実際に身代金要求のメッセージを確認したわけではありません。

今回はメッセージを見ることなく消去してしまったため結果的に犯人側へ金銭を引き渡すことはしていませんが、もし身代金要求があると判明していたらさらに難しい対応を迫られていたと思います。そういう意味ではデータ消失が幸いしたと言えるかもしれません。

しかし相手がこちらの個人情報を握っていた場合、データを全て初期化する行為は無条件にそれらを漏洩させるリスクを背負うことになります。リカバリーのスピードが早かったことにより製造ラインへの被害をミニマムに抑える効果はありましたが、攻撃後すぐにデータを消去してしまったことはテクニカル面でのミスだったと認識しています。

詳細な攻撃手法や侵入経路などを知り、万全な再発防止策を組むためにも、被害発生時のマニュアル整備をさらに進めていく必要があると結論付けています。

セキュリティリスクの“見える化”が必要

【Q】今後サイバー攻撃の被害を減らすために、どのような対策を行っていますか？

わが社はM&Aが多いので、今回のように子会社からセキュリティの穴を突かれる攻撃を防ぐ目的で「どんなリスクがあるのか」可視化する必要があると実感しました。今後わが社ではセキュリティリスクの見える化を進め、侵入をいち早くモニタリングする仕組みを作っていく方針でセキュリティ対策を充実させるつもりです。

現在は今回の反省をもとに既存のマニュアルを整備し、セキュリティ人材の育成を強化しています。緊急性の高いものから実行していき、作成したアクションプランを半年以内で完了させる予定です。

もちろんファイヤーウォールの強化などセキュリティの堅牢化も重要ですが、攻撃を受ける前にできる対策には限界があります。起こった後に適切な対応を行うことが、技術的にも人的にも大切だと考えています。被害を受けた後、そのことを再度実感しました。

買収した企業のシステムの堅牢化や人的教育にリソースを割く過程で、各社対策の程度にばらつきがあることを感じました。このばらつきは企業の規模とは必ずしも一致せずコストの配分が難しい部分があるため、今後は子会社のセキュリティ管理コストを適切に割り振る努力が必要であると認識しています。

DX化で逓増するセキュリティリスク

【Q】昨今のサイバー攻撃について、被害を受けた企業の目線で感じることはありますか？

DX化により、サイバー攻撃の被害範囲が今後広くなるのではと感じています。弊社は現在プラットフォームにデータを一元化するDX化を推進しています。しかし現段階ではプラットフォーム上に製造現場のシステムが含まれていないため、サイバー攻撃を受けても発注・製造などのオペレーションに影響することはありません。

攻撃を受けたときの損失が少ないので、わざわざ攻撃するメリットがないわけです。だから被害を受けることはないだろうと思っていましたが、実際には被害を受けました。どんな企業体制であれターゲットになりうると実感したのと同時に、オペレーションへの被害が生じなかったことへの安堵もありました。

現在は積極的に海外へ展開していることもあり、プラットフォームにデータを一元化する仕組みがビジネスの拡大に必要不可欠です。事業としては大きなチャンスですが、セキュリティ面で見ればリスクが増えることを今回の被害で改めて実感しました。

わが社のように現在は製造ラインとデータが一元化されておらずセキュリティリスクが比較的低い企業であっても、DX化に伴ってラインの停止など大きな被害に結び付くリスクが高まっていくと思います。

今回以上の被害を想定して今後も対策を行っていくべきだと感じています。

第三者機関のチェックの重要性

ベンダーなど第三者機関を利用したセキュリティ対策を行うことについて、どのように考えていますか？

私としては、内製でなく第三者にセキュリティ対策の一部を委託するのはある意味コスト削減の一環であると捉えています。セキュリティ対策に割ける予算は決まっているため、どうしてもプライオリティを決める必要があります。優先付けを知見ある第三者にアドバイスしてもらえるのは客観性を担保しつつ、社内でのコストを削減できる最良の策と言えるのではないかと。

予算をかけるならどこに集中させるのが最適か見極めるという観点で、自社ではカバーしきれない部分を効率的にカバーできる手段だと認識しています。これまで「エンドポイントのセキュリティを強化しましょう」「有事対応マニュアルを充実させましょう」とアドバイスをいただいたので、我々はアドバイス通り実装することに集中することができました。

また、第三者の専門家に有用なツールをアドバイスしてもらうという意味合いもあります。自社だけの閉じられた環境から脱却するうえで重要な手段だと言えるのではないでしょうか。

最低限の対策と発生時のマニュアル強化

【Q】セキュリティ被害の経験者として企業の担当者へメッセージをお願いします。

セキュリティ対策は日進月歩です。わが社はたまたま環境が恵まれているのか、ある程度積極的にセキュリティ予算を出し、攻撃を受けたときに備えて日々改善を行っています。それでもよほど業績が良い時でない限り、社内ではセキュリティ対策にかかるコストを削減する傾向にあります。プロジェクトが詰まってタスクの実行が半年後回しになったり、海外拠点の子会社に手が回っていなかったりすることもしばしばあるのが実情です。

セキュリティ対策は利益が出る事業ではないため、企業にとって喫緊の課題となることはほとんどありません。それゆえ予算が減らされるのは仕方がない部分もありますが、やはり起こる前の対策にリソースを割くのは重要です。ベンダーなど第三者に意見を聞きながら予算をかける部分を集中させて、地道にアクションプランを実行していくことが被害を防ぐ一番の対策になると思います。

企業としてまったくセキュリティ対策をしていない場合は最低限の対策から始めて、あとは起きた後の対策をしっかり強化していくべきだと思います。

具体的には網羅的にツールを揃えて対応するか、従業員やITスタッフの教育やマニュアル整備で対応するかを決めるところからスタートしてはいかがでしょうか。前者はコストがかかる一方、後者は全社を巻き込んで時間とリソースを割くことになります。両者を天秤にかけて最終的には企業全体の判断でどちらの方針を選ぶか決めるといいのではないかと。

まとめ

X社は年間予算80～100億円とかなりの予算をかけてセキュリティ対策に取り組んでいる企業ですが、今回は子会社からの侵入が原因でサイバー攻撃の被害に遭いました。今回ご紹介した事例はセキュリティ対策に莫大な予算を割いている企業であっても何らかの欠陥を突いた攻撃を受ける可能性があることを示唆しています。

セキュリティリスクの増加

A様は「DX化を進めることは同時にセキュリティリスクを高めることでもある。」と語っていました。現在は大手企業を中心に製造レーンにおけるオペレーションの一元化が進められており、サイバー攻撃のターゲットとなるリスクが比例的に上昇しています。

サイバー攻撃、特にランサムウェアの標的になりやすいのは身代金要求を呑みやすい条件を備えている企業・団体です。流出リスクの高い重要な個人情報を有している、システム停止によって自社サービスが停止に追い込まれかねない、などサイバー攻撃によって受ける損害が大きい企業ほど身代金を払う確率が高まります。身代金を支払いそうな企業をターゲットに攻撃を仕掛けることが多いのがランサムウェア攻撃の特徴です。

メーカーはこれまで生産ラインとインターネット環境が別のシステムで動いている企業が多かったため、X社のように「ターゲットになるとは思わなかった」とおっしゃるケースがほとんどでした。しかしDX化の進む現在ではサイバー攻撃を受けた際に生産ラインごと停止に追い込まれるケースも増えてきています。

X社のようなオペレーションの一元化が行われていない企業であっても、攻撃を受ける可能性は否定できないものの、DX化が進む企業では経済的損害の大きさゆえターゲットとなる確率も高まります。

被害を最小限に食いとどめる対策が必要

セキュリティ対策を統括しているA様は「攻撃を受けた後の対応が重要」と語っており、実際今回の事件でもファイヤーウォールなどのセキュリティ対策と被害発生後の適切な対応が功を奏して大きな被害には至りませんでした。A様は今回の被害について「今回はすごくラッキーだった」と語り、攻撃時に判明したマニュアル面での課題解消を今後も段階的に進めていきたいとおっしゃっていたのが印象的です。どれだけ対策しても攻撃を受ける可能性があるからこそ、日々社内の体制を整備して被害を最小限に食いとどめる努力が必要だと言えるでしょう。

サイバー攻撃のリスクを可能な限り減らすためには、事前の対策と事後の対応をバランスよく進めることが重要です。A様は「網羅的にツールを揃えて対応」もしくは「社内の体制強化」をまずは行っていくべきだと語っていました。客観性を担保するために第三者に意見を聞きつつ、優先度を決めて一つ一つセキュリティ対策に取り組むことが重要です。

自社でまったく対策できていないと感じる担当者様は、予算を確保して徐々に社内の対策を強化していくことをおすすめします。

「外部のアドバイスを聞きたい」「リソースが不足しているため外部に委託したい」という担当者様はお気軽にご相談ください。セキュリティ保守のプロがサーバ保守からWebサイトのセキュリティ対策まで幅広く承ります。