o

ランサムウェア被害は他人事ではない
〜閉域網神話が崩れた今、やるべきこと〜　

ランサムウェアは、もはや一部の不運な組織だけに起きる特殊な事件ではありません。警察庁の統計が示すとおり、被害件数は増加を続けた後、現在も高い水準で推移しています。これは攻撃が弱まったのではなく、どの組織でも起こり得る経営リスクとして定着したことを意味します。

　

このような中、近年の被害調査報告書で繰り返し使われている言葉があります。それが「閉域網神話」です。半田病院、大阪急性期・総合医療センター、岡山県精神科医療センター、いずれの調査報告書でも、「内部ネットワークは閉じているから安全」「外部から直接見えないから大丈夫」という前提が、すでに成立していなかったことが明確に示されています。すなわち、閉域網であること自体が安全性を保証する時代は、終わっています。

　

ランサムウェアの手口も大きく変化しました。かつて主流だったのは、メールや不正サイトを起点に一部の端末を感染させる手法でしたが、現在はSSL-VPNやRDPなどの外部接続機器を足がかりに直接組織内部へ侵入し、権限昇格・水平展開を経て、組織全体を停止させる手口が主流になっています。

　

この直接侵入型が成立する背景には、入口が常時見られているという現実があります。警察庁の統計によれば、令和6年の不正な通信の件数は9,085件に達し、約9.1秒に1回の頻度で不正な通信が検知されています。これは特定の企業が狙われているという話ではなく、インターネットに公開された入口は、常に探索対象になっているという事実を示しています。

　

さらに近年は、RaaS（Ransomware as a Service）と呼ばれるビジネスモデルが構築されており、ランサムウェアを開発する者、侵入経路を売買する者、実際に攻撃を行う者が役割分担することで、攻撃の効率化、量産化が進んでおります。

　

では、なぜこの直接侵入型が急増したのか。理由は明確です。侵害範囲を広げやすく、組織に与えるダメージが大きく、身代金を支払わせやすいからになります。加えて、侵入しやすい入口を、経営判断として自ら用意してしまった組織が急増したことも見逃せません。

　

コロナ禍を契機に多くの組織が業務継続を最優先し、SSL-VPNやRDPを急ぎ導入しました。確かに、その判断は間違っていません。問題だったのは「外部からアクセスさせる」という行為が、ファイアウォールに意図的な穴を開けることと同義であるという認識は、十分に共有されないまま運用が固定化されたことです。

　

また、被害事案で特に多いのが、SSL-VPNが専門ベンダーにより設置され、保守契約も存在していたにもかかわらず、脆弱性対応やファームウェア更新、設定の見直し、ログ監視が主体的に行われていなかったということです。管理しているつもりだったが、実際には誰も管理していなかった、この「警戒の空白」こそが、最大の脆弱性だったということです。

　

内部対策も同様に脆弱でした。過剰なアクセス権の付与、共通ID・パスワードの使用、サポートが終了したOSの放置、これらは技術的な無知ではなく業務やコストを優先する判断を積み重ねた結果です。また、決定的だったのは、侵入の兆候に気づけない点です。サーバの不具合や障害が発生していたにもかかわらず、それを「よくあるトラブル」として処理し、侵害の可能性を疑わず、バックアップで復旧できたことで安心し、侵入の有無を深掘りしなかった結果、攻撃者は内部に居座り続け、被害を拡大させた、岡山県精神科医療センターの調査報告書では、この点が明確な反省事項として示されています。

　

最後に事業継続計画、すなわちBCPについて整理しておきます。BCPはランサムウェア攻撃被害に遭うことを想定して定めておく必要はありますが、いきなり完璧を目指すのは現実的ではありません。ここでは最低限決めておいてほしい点について示します。 　
ランサムウェア被害では、最初の数時間で状況が決まるので
　・誰が判断するのか。
　・何を止めるのか。
　・どこに報告するのか。 　
この最低限を事前に決め、社員に周知しておくことが何より重要です。BCPは机上の文書ではありません。万が一の時に現場が迷わず動ける状態を平時に作れているかどうか、それだけが問わます。

　

最後に、経営者として実施すべき事項を整理します。 　
経営として実施すべきランサムウェア対策
○外部対策（侵入を防ぐ）
　・VPN、RDPなど外部接続機器をすべて把握する
　・これら機器のファームウェアを最新状態に保つ
　・脆弱性対応の判断と実施の責任者を明確にする
　・多要素認証を必須化と不要アカウントを削除する
　・ベンダーと自組織の責任分界点を明確にする 　
○内部対策（侵害の拡大を止める）
　・ネットワークを分離し、横展開を防ぐ
　・最小権限を徹底し、共通ID・PASSを廃止する
　・サポートが終了したシステムは計画的に排除する
　・EDRやログ監視により不審な挙動を可視化する
　・障害や不具合を侵入の兆候として対処する 　
○事業継続対策（詰まない）
　・バックアップはオフラインなど分離して保管する
　・復旧手順と復旧に要する時間を事前に把握する
　・被害初動で誰が判断し、何を止めるかを決める
　・ベンダー、取引先、行政への報告経路を整理する

　

ランサムウェアはIT部門の失敗ではない。経営が「何を管理していないか」を把握していないことが、最大のリスクです。閉域網神話が崩れた今、「専門家に任せているから大丈夫」という言葉は、最も危険な経営判断であることを肝に銘じてください。

　

警視庁 ランサムウェアの脅威と対策

　　

コンテンツへ戻る