攻撃者目線であなたの企業を狙う戦略を解説 今すぐ講じるべき対策とは：防御側が知っておきたい「攻撃マニュアル」

「敵」（攻撃者）の動きを知れば、先手を打って攻撃に対抗できる。本稿は、製造業を狙った攻撃を想定し、攻撃者の具体的な動きと、防御側が講じるべき対策をまとめている。

[TechTargetジャパン]

　私は攻撃者で、これからあなたの企業を狙う――。攻撃を防ぐには、「攻撃者の視点」を理解し、どのような戦略やステップで攻撃を仕掛けるかを知ることが大切だ。本稿は、中堅の製造業企業を標的にした攻撃を想定し、“攻撃者のリアルな思考と行動プロセス” と、防御側が講じるべき対策を紹介する。あなたの企業が事前にどこを強化すれば攻撃リスクを減らせるかが明確になる。

攻撃者は製造業をどう見ているのか

併せて読みたいお薦め記事

「ダークWeb」活用を実践

• 攻撃者の“闇市場”「ダークWeb」へようこそ　その利用方法を解説
• ハッカー目線で危険を察知できる「ダークWeb活用」の極意とは？

　製造業を標的にしたランサムウェア攻撃は活発だ。製造業は以下の理由で、「儲かるターゲット」として狙われる。

• 生産ラインが止まるとすぐに損害が生じる。そのため、身代金要求に応じやすい
• OT（工場設備）とITの境界が弱い企業があり、攻撃を仕掛けやすい
• 下請けや取引先の企業が多岐にわたるので、サプライチェーン経由でシステムに侵入しやすい
• 古いOSやIT機器が残りがち

　上記を踏まえ攻撃者は、「最も弱い入口を探す」「システム内で横展開する」「価値のあるシステムを把握する」「ランサムウェア感染によってシステムを暗号化して身代金を要求する」という流れで戦略を立てる。以下で詳しく見てみよう。

攻撃実行の流れ

準備：偵察でシステムの弱いポイントを調べる

　攻撃者はまず標的企業に対し、次のような情報を調査してシステムの弱点を把握する。これによって、侵入しやすい入口を特定する。

• 公開されている従業員メールアドレス、事業部やプロジェクトの担当者名、採用情報など
• 組織構成を推測できる決算書
• 使われている公開サービス
  • VPN（仮想プライベートネットワーク）、RDP（リモートデスクトップサービス）、クラウドCRM（顧客管理システム）など
• 古いソフトウェアの存在
• 取引先リストをはじめとしたサプライチェーン情報

初期侵入：入口を突破する

　攻撃者は以下の手口を用いてシステムに侵入する。

• メールによる侵入
  • 社内の特定従業員を名指しにした「スピアフィッシング」（標的型フィッシング）
  • 見積書や注文書を装った不正ファイルの添付
  • 取引先の実在名を使った偽連絡
• VPNや外部公開システムの脆弱（ぜいじゃく）性の悪用
  • パッチ（修正プログラム）が適用されていないVPN
  • 多要素認証（MFA）未導入のリモートアクセス
  • 古いWebサーバやファイル共有システム
• サプライチェーン経由
  • 取引先の脆弱な端末を突破し、そこから標的システムを狙う

横展開：攻撃の範囲を広げる

　たいていの場合、攻撃者が侵入に成功した後、次のように動く。

• 社内の端末一覧やサーバ一覧を調査
• 権限が強いアカウントが存在する端末を探す
• MicrosoftのID・アクセス管理ツール「Active Directory」（AD）の構造を調べ、管理者権限の不正取得を狙う
• 工場ネットワークへの接続経路を探す

　製造業を標的にした際、攻撃者は「生産ラインに近づくほど、価値が高いシステムに入り込める」と考えるため、システム（IT）から工場ネットワーク（OT）へ移動できるルートを探すと考えられる。

最終段階：「価値」を手に入れる

　製造業の場合、攻撃の最終目的は以下のいずれかになる。

• ランサムウェアでシステムを暗号化し、身代金を要求
  • 社内サーバ、バックアップシステム、ファイル共有システムなどを次々に暗号化する
  • 工場ライン停止を“人質に取る”
• データ窃取→暗号化という二重脅迫
  • 図面や顧客情報、設計情報などを外部へ送信（情報持ち出し）
  • その後、ランサムウェアによるシステム暗号化（「身代金を支払わなければ、持ち出した情報を公開する」と脅す）
• スパイ目的の長期潜伏（国家支援系の攻撃者によくあるパターン）
  • 生産技術、試作データ、取引先情報などを継続的に盗む

今すぐ講じるべき対策

　以下では、中堅の製造企業がすぐ着手でき、効果的に防御力を高められる対策を、優先度順にまとめて紹介する。

【最優先】入口を塞ぐ対策

• MFAを全ての外部からのアクセス要求に義務化
  • VPN
  • リモートデスクトップ
  • クラウドサービス（「Microsoft 365」や「Google Workspace」）
• メールセキュリティの強化
  • 添付ファイルが安全かどうかの検査
  • 不審メールの自動隔離
  • ビジネスメール詐欺（BEC）／なりすまし対策
  • 取引先ドメインの偽装検知
• 外向きIT資産の徹底管理
  • 外部公開サービスを棚卸し
  • 不要な公開サービスをゼロにする
  • パッチ適用のルール化

　特に製造業は、保守業者のアクセスが野放しになりがちなので、「誰が」「いつ」「どこに」接続しているかの可視化が重要だ。

侵入後の拡大対策

• 全端末（工場PC含む）に「EDR」（Endpoint Detection and Response）を導入
  • 初期侵害後の内部活動を検知できる
  • AD権限奪取の兆候を可視化することも可能だ
• 管理者権限の分離
  • 管理者アカウントと一般ユーザーアカウントを分ける
  • ローカル管理者パスワードの統一禁止。「LAPS」（Local Administrator Password Solution）の導入によって、ローカル管理者アカウントのパスワードを自動管理できるようにする
• 社内ネットワーク分離（ITとOTを明確に分ける）
  • 生産ラインネットワークと社内PCを完全に分離
  • OTは許可された端末以外にアクセス禁止

被害を最小化

• バックアップの「3-2-1ルール」を実施
  • 3：本番データ以外に、バックアップとして2つのコピー（合わせて3つのデータ）を用意する
  • 2：バックアップの保管には2種類の記録媒体を用いる
  • 1：バックアップのコピーのうち1つをネットワークから切り離した状態（オフライン）で保管する

まとめ

　今回紹介した対策を「5つのポイント」にまとめると、以下の通りだ。

• 外部公開IT資産の棚卸と、MFAの完全適用
• メールセキュリティ強化
• EDR全端末導入
• IT／OTのネットワーク分離とアクセス管理
• バックアップのオフライン化