ランサムウェア被害に遭った菱機工業、担当者が得た学びとは

ランサムウェア攻撃の増加が止まらない。企業にはランサムウェア攻撃を含めたサイバー攻撃への対策が求められるが、実際に十分な対策が取れているかと言うと、疑問が残る企業も多いだろう。
2022年11月に実際、ランサム攻撃に遭ったのが菱機工業だ。復旧作業に当たった同社 システム企画課 リーダーの小川弘幹氏が2月25日〜27日に開催された「TECH+フォーラム セキュリティ 2025 Feb. 今セキュリティ担当者は何をすべきか」に登壇。実体験と学びをテーマに講演した。
SSL-VPN装置から侵入された攻撃の全容
1954年設立の菱機工業は、東日本を中心に空調設備、給排水設備、消防設備の工事を手がける建設業者だ。近年は太陽光発電所を中心とした再生エネルギー事業や植物工場事業にも進出している。従業員数は400名弱、全国に15の拠点を持つ中堅企業である。
その菱機工業をランサムウェアがどのように襲ったのか。小川氏によると、2022年11月17日午前1時頃、SSL-VPN装置を経由して攻撃者が侵入。Active Directoryの管理者アカウントが奪取され、既存のアンチマルウェアソフトが無効化された。攻撃者がネットワークから抜けたのは午前7時前。その間にLockBit 2.0によるランサムウェアが仕掛けられた。攻撃者はシステムログの消去など、攻撃の痕跡をある程度消していったそうだ。
被害状況は深刻だった。Active Directoryに参加している大半のサーバでファイルが暗号化され、支店設置ファイルサーバの大半はバックアップ先がUSBハードディスクとなっていたため、それらは1台を除いて暗号化されていた。
クライアントPCは、夜間電源を切っていた物理PCは12台の被害で済んだものの、24時間稼働していた仮想デスクトップ約200台のうち30%超にあたる70台が感染した。
攻撃の痕跡として、感染したサーバやクライアントのデスクトップ画面が白と赤の不気味な画面に変更され、暗号化されたフォルダには攻撃者との連絡用URLを記したランサムノートが残されていた。特に大きな被害を受けた東京・池袋のオフィスでは、全プリンターから攻撃者からのメッセージが、紙がなくなるまで印刷され続けるという事態も発生。その後に調べた調査会社の情報では9999枚で止まるようにプログラムされていたという。
ファイルサーバも被害に遭った。例えば金沢拠点には18TBのデータ容量があり、バックアップはNAS（ネットワークHDD）に保存していたが、「バックアップもやられた」（小川氏）そうだ。ただし、別の不具合からマイグレーションを進めていたため、マイグレーション作業中のサーバから89％回復することができたという。他の拠点については、大半がUSBハードディスク保管であったこともあり、3カ所を除いてほとんど回復できなかったうえ、現在でも2割強のデータが暗号化されたまま回復できない状態にある。
対応費用だけで3000万円
菱機工業はデータが復旧できなくなっただけでなく、金銭的にも打撃を受けた。
.