「うちみたいな小さな会社を狙う攻撃者なんていない」——これが、いま最も危険な誤解です。
攻撃者が見ているのは、あなたの会社の規模ではなく、あなたの会社の先にいる取引先です。 守りの固い大企業を正面から攻めるより、守りの薄い取引先の中小企業から入る方が簡単だからです。 そして感染すれば、自社の業務が止まるだけでなく、取引先にまで被害を広げ、 「あの会社経由でやられた」という形で信用を失います。 取引先からセキュリティチェックシートが 届くようになったのは、まさにこの構図が理由です。
この記事では、ランサムウェアとサプライチェーン攻撃の仕組みを、 IT の予備知識なしで分かるように解説します。
ランサムウェアとは何か
ランサム(ransom)は「身代金」のこと。会社のファイルを勝手に暗号化して 開けなくし、「元に戻してほしければ金を払え」と要求するウイルスです。
感染すると、ある朝突然、見積書も顧客名簿も会計データも、すべてのファイルが 開けなくなります。画面には支払いを要求する脅迫文。業務は文字通り止まります。
現在の主流は二重恐喝と呼ばれる手口で、暗号化の前にデータを盗み出しておき、 「払わなければ顧客情報を公開する」と二段目の脅しをかけてきます。 つまりバックアップがあっても「漏えい」の脅しは残ります。
なお、身代金を払ってもデータが戻る保証はありません。支払いは犯罪組織への 資金提供であり、「払う会社」として再度狙われる情報も出回ります。 「払わない」を前提に備えるのが原則です。
サプライチェーン攻撃とは何か
サプライチェーン攻撃とは、本丸(大企業)を直接攻めず、その取引網 (サプライチェーン)の中で守りの弱いところから侵入する攻撃です。
城にたとえるなら、正門を破るのではなく、出入りの業者の通用口から入る手口です。 あなたの会社が持っている「取引先とのつながり」——メールのやり取り、 専用の接続回線、共有システムのアカウント——が、攻撃者にとっての通用口になります。
具体的には、こうなります。
- 乗っ取ったあなたの会社のメールアカウントから、取引先の担当者へ 「いつもの取引の続き」を装ったウイルス付きメールが送られる (日頃のやり取りを読まれているので、文面が自然で見抜きにくい)
- あなたの会社と取引先をつなぐネットワーク経由で、取引先側へ侵入される
この場合、あなたの会社は被害者であると同時に、取引先から見れば加害の経路です。 復旧費用や業務停止に加えて、取引の見直しという形で信用の損失が残ります。 中小企業にとってサプライチェーン攻撃対策は、セキュリティの話であると同時に 取引継続の話です。
攻撃者はどうやって標的を探しているのか
「狙われるとしたら、うちに恨みがある誰かか、うちの技術を欲しがる誰かだろう」—— これも誤解です。特定の企業を定めて攻める標的型の攻撃も存在しますが、 大半の攻撃は、最初から特定の誰かを狙ってはいません。
攻撃者がやっているのは、インターネット全体への機械的なスキャンです。 欠陥のあるVPN装置、公開されたままのリモートデスクトップ、更新されていない サーバー——こうした「開いている入口」を探す作業は完全に自動化されていて、 世界中のネットワークを短期間で総なめにできます。インターネットにつながった 機器を検索できる専用の検索エンジンまで存在します。あなたの会社の規模も業種も 関係ありません。スキャンは、すべての住所を平等に回ります。
見つかった「入口の開いている会社」は、リストとして蓄積されます。 このリスト自体が商品で、侵入口を見つけて売ることを専門にする業者が 攻撃者の世界には存在します。ランサムウェアを実行する犯罪グループは、 そのリストから「価値の高そうな会社」を選んで買い、侵入するのです。
大企業がランサムウェア被害にあったというニュースを見ると 「大きい会社だから狙われた」と感じますが、実態はむしろ逆で、 攻撃者が持っている大量の「脆弱な企業リスト」の中から、 身代金を取れそうだという理由で選ばれただけであることが多い。 つまり、そのリストには無数の中小企業も一緒に載っています。
あなたの会社も、まだ被害にあっていないだけで、 すでにこのリストに載っている可能性があります。入口が開いていれば、 順番が来るかどうかの問題です。では、何が「開いている入口」になるのか—— それが次の6つです。
どうやって侵入されるのか(6つの入口)
「気づいたら感染していた」の裏には、必ず入口があります。 中小企業で実際に多いのは次の6つです。
1. メール・Webサイト・USBメモリからのマルウェア感染
請求書を装った添付ファイル、宅配便の不在通知を装ったリンク、 拾った・もらったUSBメモリ。古典的ですが、今も現役の入口です。 取引先を装うメールは、乗っ取られた実在の取引先から届くこともあり、 「知っている相手だから安全」は通用しません。
2. VPN機器の脆弱性の放置
ここには、多くの中小企業に思い当たる実情があります。 コロナ禍でリモートワークが一気に必要になったとき、多くの会社が 業者にVPN装置を設置してもらいました。しかし契約したのは「設置」までで、 その後の運用——ソフトウェア(ファームウェア)の更新——は誰の仕事にもなっていない。 結果、設置されたときの状態のまま数年間放置されたVPN装置が、 いまも大量に稼働しています。
VPN機器のソフトウェアには、後から欠陥(脆弱性)が見つかることがあります。 メーカーは修正を配布しますが、適用されない限り直りません。 放置されたVPN機器は「欠陥が公表された鍵を使い続けている玄関」で、 攻撃者は公表情報をもとに、その鍵の家を機械的に探し回っています。 実際、国内のランサムウェア被害の侵入経路として最も多いと 報告されているのがVPN機器です。あのとき慌てて設置した装置が、 いま最も狙われている入口になっています。
「うちのVPNは、設置以来、誰かが更新しているか?」——この問いに 即答できなければ、確認する価値があります。
3. リモートデスクトップのインターネット直接公開
社外から会社のPCを操作できる状態を、防壁なしでインターネットに 公開しているケース。攻撃者は公開されたリモートデスクトップを自動探索しており、 見つかれば総当たりでパスワードを試されます。 リモートワークの記事で「絶対にやってはいけない」 と書いたのはこれです。
4. 弱いパスワード・初期パスワードのままの運用
password123 のような弱いパスワードや、
ルーター・NAS・複合機を買ったときの初期パスワード(admin/password 等)のまま
使っている状態。初期パスワードは説明書に書いてある=全世界に公開されている
パスワードです。
5. 放置されたサーバーの脆弱性
サポートの切れた古いOSで動き続ける「謎のサーバー」は、 修正されることのない欠陥を抱えたまま社内ネットワークに居座る裏口です。
6. 私物PC経由の侵入
自宅の私物PCがマルウェアに感染し、そのPCから会社のVPNに接続した瞬間、 感染したPCを社内ネットワークに直結させることになります。 私物PCからのVPN接続を避けるべき理由は リモートワークの記事に書いたとおりです。
侵入した後、攻撃者は何をするのか——C2サーバーの話
ここが一般には知られていない部分ですが、仕組みを知ると対策の意味が分かります。
マルウェアに感染したPCは、その瞬間から攻撃者の遠隔操作装置になります。 感染PCは、攻撃者が用意した指令サーバー——C2サーバー (Command & Control:指揮統制)と呼ばれます——に、自分から定期的に接続し、 「次は何をしますか」と指示を受け取りに行くのです。
「自分から接続する」のがポイントです。会社のネットワークは、 外から中への通信は防ぎますが、中から外への通信は、社員のWeb閲覧と 同じ方向なので素通りしやすい。会社の電話にたとえると、外からの電話は 受付で止められても、中から外への発信は自由——マルウェアは、 社内から攻撃者に電話をかけ続ける内通者です。
C2サーバーとつながった攻撃者は、慌ててランサムウェアを起動したりしません。 数日から数週間、静かに準備をします。
- 感染PCに保存されたパスワードを盗む
- そのパスワードで社内の別のPCやサーバーに移動し、権限の強い 管理者アカウントを狙う(社内の見取り図を作りながら陣地を広げるイメージ)
- 価値のあるデータを見つけて、外へ送信する(二重恐喝の仕込み)
- バックアップの場所を特定し、可能なら先に破壊する
- 準備が整ったところで、全社一斉にランサムウェアを起動する
つまり「感染した日」と「発症した日」は別です。ある朝突然に見える被害は、 数週間前の小さな侵入から始まっています。逆に言えば、この潜伏期間中に 気づき、断ち切るチャンスがあるということです。
取るべき対策
中小企業が現実的に打てる手を、優先度順に並べます。
1. 入口を塞ぐ(最優先・費用小)
- OS・ソフト・ネットワーク機器(VPNルーター含む)の更新を止めない
- リモートデスクトップの直接公開をやめる
- ルーター・NAS・複合機の初期パスワードを変更する
- 会社のメールとクラウドに2要素認証を必須化する
- 私物PCからのVPN接続を許可しない
2. 感染を前提に備える(バックアップ)
- バックアップは本体と切り離された場所に持つ(外付けディスクの つなぎっぱなしは、一緒に暗号化されます。クラウドや取り外し運用で別系統に)
- 年に1回は実際に復元してみる。復元できないバックアップは存在しないのと同じです
3. 広がりを抑える
- 全員に管理者権限を配らない。日常業務は一般権限で
- 共有アカウントをやめる(1つ破られたら全員分、を防ぐ)
4. 早期発見と初動を決めておく
- ウイルス対策機能を全PCで有効にし、無効化されていないか時々確認する
- 「変な添付を開いてしまった」「PCの様子がおかしい」の報告先を1つ決めて周知する (報告を叱らないこと。報告の遅れが被害を広げます)
- 感染が疑われたら: LANケーブルを抜く・Wi-Fiを切る(拡散を止める)、 ただし電源は切らない(調査の手がかりが消えます)、そして 警察(都道府県警のサイバー窓口)や IPA の相談窓口、専門家に連絡する
- 「身代金は払わない」を、平時のうちに会社の方針として決めておく
まず自社の現状を知りたい場合は、セキュリティ簡易チェック7項目から 始めてください。
まとめ
ランサムウェアは「運が悪い会社」に降ってくる災害ではなく、 開いたままの入口から入ってくる侵入です。そして中小企業にとっては、 自社の被害だけでなく取引先への加害経路になるという意味で、信用問題そのものです。
入口の一覧と対策の型はここまでの通りですが、「自社のVPN機器は大丈夫か」 「あのサーバーは塞がっているか」「バックアップは本当に分離されているか」は、 御社の環境を見ないと答えが出ません。気になる箇所がひとつでもあれば、 現在の環境(機器・サービスの分かる範囲)を添えて無料相談からどうぞ。