ランサムウェア被害を防ぐつもりが“全社機能停止”に 大規模事案から得た教訓:今すぐやるべき3つの根本対策とは
アサヒGHDの大規模ランサムウェア攻撃事案では、被害を防ぐためにシステムを停止した結果、事業が完全停止してしまった。良かれと思った決断が致命傷になるジレンマを解消し、セキュリティを強化するには。
ランサムウェア(身代金要求型マルウェア)攻撃による被害の甚大化と復旧の長期化が深刻な問題になっている。アサヒグループホールディングスなどの国内企業における大規模な被害事例では、被害封じ込めのために被害企業自らがネットワークを遮断してシステムを停止させた結果、事業が完全停止するというトレードオフが発生した。
一般社団法人ソフトウェア協会のフェローであり、同協会のセキュリティ専門組織Software ISACで共同代表を務める板東直樹氏は、「止める判断は正しかったが、システムの構造的に復旧が遅くなるのは必然だ」と指摘する。強制停止によって崩れたシステム間のデータ整合性を確認し、再構築する作業に多大な時間を要するためだ。
バックアップからの復旧も容易ではない。大半のシステムは全破壊を前提としていない上に、数カ月の潜伏期間中にマルウェアや不正アカウントがバックアップデータに混入しているリスクもあるためだ。
このように、大規模なシステムになるほど事後対処は困難を極める。こうした致命的な被害を未然に防ぐための「境界線」はどこにあるのか。限界が見えた従来のセキュリティ対策の実態と、企業を守るために今すぐ実践すべき「3つの根本対策」を明らかにする。
120台の仮想マシンが1分足らずで使用不能に
近年セキュリティ対策として導入が進んでいるEDR(Endpoint Detection and Response)では、マルウェアを検出できなかったケースが幾つも報告されている。その理由は、攻撃者の手口が極めて巧妙化しているためだ。
攻撃者はOS内部の脆弱(ぜいじゃく)性を突くだけではなく、「PowerShell」や「タスクスケジューラ」といった「Windows」に標準搭載されている正規ツールを悪用する。これらのツールは本来リモート管理向けに設計されており、EDRからは管理者の正規の操作なのか、攻撃者による不正な操作なのかの区別がつかない。
管理者の権限を奪取した攻撃者は、Windowsをセーフモードで再起動してEDRを無効化し、ランサムウェアを実行する。2022年に発覚した大阪急性期・総合医療センターに対するランサムウェア攻撃のログ解析結果を見ると、運用管理サーバから始まり、共有ストレージ、NAS、最下層の仮想マシンのホストサーバまで、システム全体が次々と暗号化の標的になったことが生々しく記録されている。120台の仮想マシンがわずか1分弱で使用不能になったこともログ解析で判明した。仮想マシンの基盤となるHyper-Vが暗号化されたためだ。休日や早朝といった死角を突かれ、わずか数時間でインフラの根幹まで制圧されてしまう攻撃に対して、リアルタイムに人手で対処することは極めて困難だ。
被害を招く境界線のほころび
過去の事案を分析すると、攻撃の起点は極めて基本的なセキュリティ対策の欠如にあることが分かる。板東氏はこれを「第1境界線」と「第2境界線」の突破と表現する。
第1境界線になるのはVPN(仮想プライベートネットワーク)機器だ。脆弱性情報が放置されたVPN機器が突破されると、内部への侵入を許してしまう。
第2境界線は、PCやサーバの認証を管理する仕組みだ。VPNを突破された後、攻撃者は推測可能な簡単なパスワードを用いた総当たり攻撃(ブルートフォース攻撃)などの手法を用いてシステムにログインする。大阪急性期・総合医療センターのシステムに残された痕跡を見ると、「Mimikatz」などの攻撃ツールが配置されていたことが確認されている。MimikatzはWindowsのメモリ上に一時保存されているパスワードを直接読み取ることができる攻撃ツールだ。これを悪用することで、初期侵入で突破されたパスワードだけではなく、過去にログインした管理者の認証情報も奪われ、被害の拡大を招いたことがうかがえる。
これだけはやっておくべき3つの根本対策
企業が自社システムを守るためには、システム設計を「いかなる通信やエンドユーザーも無条件に信用しない」というゼロトラストセキュリティの考え方に基づき、侵入された場合を前提とした構成に転換することが不可欠だ。今すぐ実践すべき根本対策として、板東氏は以下の3点を挙げる。
1つ目は、パッチ(修正プログラム)適用の徹底だ。「アップデートをするとシステムが動かなくなる」ことを理由に、パッチ適用を後回しにすべきではない。そのような状態は、OSに依存した古い設計を根本から見直すべきサインだと言える。システム刷新の際には、仮想マシンも含めてパッチ適用を前提とした構成に切り替える必要がある。
2つ目は、管理者パスワードの厳格な管理と権限の最小化だ。これには、Windowsや「Windows Server」に標準搭載されている「LAPS」(Local Administrator Password Solution)が有効になる。LAPSは社内にあるPCやサーバの管理者パスワードを、個別に異なるランダムな文字列に自動設定し、定期的に一括更新して安全に一元管理できる機能だ。全てのマシンで同じパスワードを使い回している状態は、攻撃者にネットワーク内を自由に動き回る権限を与えるに等しいため、システム側でパスワードを厳格に管理する仕組みを用意することが求められる。
3つ目は、マイクロセグメンテーションによるネットワークの分離だ。「Active Directory」サーバ、クライアント、バックアップシステムなどをそれぞれ異なるセグメントに配置し、ルーティングを厳格化することで、攻撃者による内部探索と感染拡大を論理的に困難にする。
IT担当者はベンダー任せの体質から脱却し、自らがセキュリティ要件の定義に責任を持つ必要がある。ソフトウェア協会などの業界団体が公開しているチェックシートを活用し、自社の現状を可視化することから始めよう。
本稿は、アイティメディアが2026年3月2〜9日に開催した「ITmedia Security Week 2026 冬」における、3月6日のセッション「大規模攻撃の事例に学ぶ ― ランサムウェア時代のシステム設計と『これだけはやっておくべき』対応策」を基に作成しました。
Amazonギフトカードプレゼント! セキュリティの基礎と最前線を学べる!
アイティメディアでは、5月25日〜6月1日までオンラインイベント「ITmedia Security Week」を開催いたします。メルカリや大阪急性医療センターなど、注目を集める組織のセキュリティ戦略を学べる他、ランサムウェアやエンドポイントなど各テーマの専門家が明日から実践できる守りのポイントを分かりやすく解説します。視聴条件を満たした方全員にAmazonギフトカード500円分を進呈します。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。