サプライチェーン攻撃とランサムウェアの関係
ランサムウェアは、感染したコンピュータのファイルを暗号化し、復号のための身代金を要求するマルウェアです。単独でも深刻な被害をもたらしますが、サプライチェーン攻撃と組み合わさると、被害規模は爆発的に拡大します。
サプライチェーン経由でランサムウェアが広がる理由は明確です。攻撃者にとって、個別の企業を1社ずつ攻撃するよりも、多くの企業にサービスを提供するMSP(マネージドサービスプロバイダ)やソフトウェアベンダーを狙う方が「効率が良い」のです。
- なぜこの組み合わせが危険なのか
- - **信頼経路を使う**:正規のアップデートや取引先経由で侵入するため、セキュリティ対策をすり抜けやすい - **一度に多数の被害者**:1回の攻撃で数百〜数千の組織にランサムウェアを配布できる - **身代金回収の効率化**:被害者が多いほど、身代金を支払う組織も増える可能性が高まる - **事業への直接的影響**:データの暗号化により業務が完全に停止する
本ページでは、一般的なランサムウェア対策ではなく、サプライチェーン攻撃を経由したランサムウェア被害に焦点を当てて解説します。ランサムウェアの基本については「ランサムウェア」をご覧ください。
サプライチェーン経由のランサムウェア被害事例
サプライチェーン攻撃を経由したランサムウェア被害は、国内外で多数発生しています。代表的な事例を見てみましょう。
Kaseya事件(2021年)
2021年7月、米国のIT管理ソフトウェア企業Kaseya社が攻撃を受け、世界的な被害に発展しました。
| 項目 | 内容 |
|---|---|
| 発生時期 | 2021年7月 |
| 攻撃手法 | Kaseya VSA(リモート管理ソフト)のゼロデイ脆弱性を悪用 |
| 直接の被害者 | VSAを利用するMSP約60社 |
| 最終的な被害者 | MSPの顧客企業1,500社以上 |
| 使用されたランサムウェア | REvil(Sodinokibi) |
| 要求された身代金 | 総額7,000万ドル(約100億円) |
この事件では、攻撃者はKaseyaのソフトウェアの脆弱性を悪用し、そのソフトウェアを使用しているMSPを経由して、MSPの顧客企業にランサムウェアを配布しました。わずか数時間で世界中に被害が広がった点が特徴的です。
詳細は「海外事例」をご覧ください。
トヨタ・小島プレス事件(2022年)
2022年2月、トヨタ自動車の部品サプライヤーである小島プレス工業がランサムウェア攻撃を受けました。
| 項目 | 内容 |
|---|---|
| 発生時期 | 2022年2月 |
| 攻撃経路 | 子会社が利用するリモート接続機器の脆弱性 |
| 直接の被害者 | 小島プレス工業 |
| 波及した影響 | トヨタ自動車の国内全14工場が1日停止 |
| 推定損失 | 数十億円(1日の生産停止による) |
この事件は、サプライヤーへの攻撃が大企業の生産活動を直接停止させた象徴的な事例です。「自社のセキュリティを固めても、サプライチェーンの弱点を突かれる」というリスクを顕在化させました。
詳細は「国内事例」をご覧ください。
医療機関への攻撃
医療機関もサプライチェーン経由のランサムウェア攻撃の標的になっています。
- 半田病院(2021年)
- VPN機器の脆弱性を悪用されてランサムウェアに感染。電子カルテシステムが使用不能となり、約2ヶ月間にわたり通常診療に支障が生じました。
- 大阪急性期・総合医療センター(2022年)
- 給食委託業者のVPN機器から侵入され、電子カルテシステムがランサムウェアに感染。救急診療の一部制限など、医療提供に大きな影響が出ました。
これらの事例に共通するのは、委託先や関連企業のVPN機器が侵入経路になっている点です。
ランサムウェア対策としてのバックアップ
ランサムウェアに感染した場合、最も確実な復旧方法はバックアップからのリストアです。身代金を支払わずに事業を再開するためには、適切なバックアップ体制が不可欠です。
3-2-1バックアップルール
3-2-1ルールは、バックアップの基本原則として広く推奨されています。
- 3つのコピー
- オリジナルデータに加えて、最低2つのバックアップコピーを保持します。合計で3つのデータが存在する状態を維持することで、1つが失われても復旧が可能です。
- 2種類の媒体
- 異なる種類の記録媒体(例:HDDとテープ、ローカルとクラウド)にバックアップを保存します。特定の媒体に固有の障害から保護できます。
- 1つはオフサイト
- 少なくとも1つのバックアップは、本番環境とは別の場所(オフサイト)に保管します。火災や災害からデータを守り、ランサムウェアからもネットワーク的に隔離できます。
バックアップは「保険」ではなく「必需品」です。ランサムウェア被害からの復旧において、適切なバックアップがあるかどうかが事業継続を左右します。
— セキュリティ専門家の見解
オフラインバックアップの重要性
サプライチェーン攻撃を経由したランサムウェアは、ネットワーク接続されたバックアップも暗号化する可能性があります。そのため、オンラインバックアップだけでは不十分です。
- ネットワークから切り離されたバックアップ
- - **テープバックアップ**:物理的に取り外して保管できる - **取り外し可能なHDD/SSD**:バックアップ完了後にネットワークから切断 - **エアギャップ環境**:インターネットや社内ネットワークから完全に隔離された環境
- エアギャップの概念
- 「エアギャップ」とは、ネットワーク的に完全に切り離された状態を指します。物理的にケーブルが接続されていない状態であれば、ランサムウェアがネットワーク経由で到達することはできません。
バックアップのテストと検証
バックアップがあっても、復旧できなければ意味がありません。「バックアップを取っていたが、いざ復旧しようとしたらできなかった」という事例は珍しくありません。
- 定期的な復旧テスト
- 最低でも四半期に1回、バックアップからの復旧テストを実施します。実際にデータを復元し、正常に使用できることを確認します。
- テストの対象
- - データが正しく復元できるか - アプリケーションが正常に動作するか - 復旧にかかる時間(RTO:目標復旧時間) - どの時点のデータまで戻れるか(RPO:目標復旧時点)
- 復旧手順書の整備
- 誰が見ても復旧作業ができるよう、手順書を整備しておきます。担当者が不在の場合でも対応できる体制が重要です。
イミュータブル(変更不可)バックアップ
イミュータブルバックアップとは、一度書き込んだら変更・削除ができないバックアップのことです。ランサムウェアがバックアップにアクセスしても、暗号化や削除ができないため、確実に復旧用のデータを保護できます。
- クラウドでの実装例
- - **AWS S3 Object Lock**:オブジェクトを一定期間変更不可に設定 - **Azure Immutable Blob Storage**:変更不可ポリシーを適用 - **Google Cloud Bucket Lock**:保持ポリシーでロック
- オンプレミスでの実装例
- - WORM(Write Once Read Many)対応のストレージ - バックアップソフトウェアのイミュータブル機能
ランサムウェア感染時の復旧手順
ランサムウェアに感染した場合、冷静かつ迅速な対応が被害を最小化します。以下の手順を参考にしてください。
- Step1:被害範囲の特定と隔離
- 感染が確認された端末やサーバーをネットワークから隔離します。LANケーブルを抜く、Wi-Fiを無効にするなどの物理的な切断が確実です。感染拡大を防ぐため、隔離は最優先で行います。同時に、どの範囲まで被害が及んでいるかを調査します。
- Step2:経営層・関係部署への報告
- インシデント対応チーム、経営層、法務部門、広報部門など関係者に速やかに報告します。ランサムウェア被害は経営判断を伴う事案のため、早期のエスカレーションが重要です。
- Step3:証拠保全(フォレンジック)
- 復旧を急ぎたい気持ちはありますが、証拠保全も重要です。ログ、メモリダンプ、感染ファイルなどを保存します。後の原因究明や法的対応に必要になる場合があります。専門のセキュリティベンダーに依頼することも検討してください。
- Step4:バックアップからの復旧
- 感染していないことを確認したバックアップからデータを復元します。復元前に、復元先の環境がクリーンであることを確認します。また、同じ脆弱性が残っていると再感染するため、侵入経路を特定してから復旧することが重要です。
- Step5:原因究明と再発防止
- どこから侵入されたのか、なぜ検知できなかったのかを徹底的に調査します。サプライチェーン経由の侵入であれば、該当する取引先やソフトウェアの利用を一時停止する必要があるかもしれません。調査結果に基づいて再発防止策を講じます。
- Step6:関係者への報告・公表
- 取引先、顧客、株主など影響を受ける関係者への報告を行います。個人情報が漏洩した可能性がある場合は、個人情報保護委員会への報告や本人への通知が必要になることがあります。また、必要に応じてプレスリリースや記者会見を行います。
インシデント対応の詳細は「サプライチェーン攻撃のインシデント対応」をご覧ください。
身代金要求への対応
ランサムウェアに感染すると、攻撃者から身代金を要求されます。この要求にどう対応するかは、難しい判断を伴います。
支払いのリスク
身代金の支払いは推奨されません。支払うことにはいくつかの重大なリスクがあります。
- 復旧できない可能性
- 身代金を支払っても、データが復旧できる保証はありません。調査によると、支払った組織の**約30%がデータを完全に復旧できなかった**と報告されています。復号ツールが正常に動作しない、一部のファイルしか復元できないなどのケースがあります。
- 再攻撃のリスク
- 身代金を支払った組織は「支払う組織」として攻撃者のリストに載り、再び狙われる可能性が高まります。「前回支払ったから、今回も支払うだろう」という論理です。
- 反社会的勢力への資金提供
- 身代金は犯罪組織の活動資金となります。支払うことで、さらなる攻撃を助長することになります。
- 外為法違反の可能性
- 攻撃者が制裁対象国・団体に属している場合、身代金の支払いは外為法違反となる可能性があります。特に北朝鮮やロシアに関連する攻撃者グループには注意が必要です。
支払わない場合の選択肢
身代金を支払わずに対処する方法もあります。
- バックアップからの復旧
- 適切なバックアップがあれば、身代金を支払わずにデータを復旧できます。これが最も推奨される方法です。
- 復号ツールの確認
- 「No More Ransom」プロジェクト(https://www.nomoreransom.org/)では、一部のランサムウェアの無料復号ツールが公開されています。感染したランサムウェアの種類を特定し、復号ツールが存在するか確認してみましょう。
- 専門家への相談
- セキュリティベンダーやフォレンジック企業に相談することで、新たな選択肢が見つかる場合があります。復号ツールの開発や、攻撃者との交渉代行などのサービスを提供している企業もあります。
相談先・支援機関
ランサムウェア被害に遭った場合の相談先です。
| 機関名 | 連絡先 | 対応内容 |
|---|---|---|
| 警察(サイバー犯罪相談窓口) | #9110または各都道府県警 | 被害届の受理、捜査 |
| IPA(情報処理推進機構) | 03-5978-7509 | 技術的な相談、情報提供 |
| JC3(日本サイバー犯罪対策センター) | https://www.jc3.or.jp/ | 情報共有、対策支援 |
| JPCERT/CC | https://www.jpcert.or.jp/ | インシデント対応支援 |
サプライチェーン全体でのランサムウェア対策
ランサムウェア対策は、自社だけでなくサプライチェーン全体で取り組む必要があります。サプライチェーンの弱点から侵入されれば、自社の対策だけでは防ぎきれないからです。
- 取引先のバックアップ状況確認
- 重要な取引先に対して、バックアップ体制の確認を行いましょう。3-2-1ルールに沿ったバックアップを行っているか、復旧テストを実施しているかなどを確認します。
- セキュリティ要件の契約への盛り込み
- 取引先との契約に、セキュリティ対策やインシデント発生時の報告義務を盛り込むことで、サプライチェーン全体のセキュリティレベルを底上げできます。
- 共同訓練の実施
- 取引先と合同でランサムウェア対応訓練を実施することで、いざという時の連携体制を確認できます。「取引先がランサムウェアに感染した場合」のシナリオも含めると効果的です。
- 情報共有の仕組み
- 攻撃の兆候や新たな脅威情報を取引先と共有する仕組みを構築します。業界ISACやセキュリティコミュニティへの参加も有効です。
取引先管理の詳細は「サプライチェーン攻撃の取引先管理」をご覧ください。
関連する攻撃手法
サプライチェーン経由のランサムウェア攻撃は、他の攻撃手法と組み合わせて実行されることが多くあります。
| 攻撃手法 | ランサムウェアとの関連 |
|---|---|
| フィッシング詐欺 | 初期侵入の入口として最も多い手法 |
| マルウェア感染 | ランサムウェアはマルウェアの一種 |
| 不正アクセス | VPNやRDPへの不正アクセスから侵入 |
| 情報漏洩 | 二重脅迫型ランサムウェアではデータ窃取も行われる |
| ビジネスメール詐欺(BEC) | 取引先を装ったメールで感染を広げる |
| 標的型攻撃(APT) | 高度な攻撃者がランサムウェアを手段として使用 |
| 認証情報の窃取 | 窃取した認証情報でネットワーク内を横展開 |
よくある質問
- Q: バックアップがあれば必ず復旧できますか?
- A: バックアップがあっても、必ず復旧できるとは限りません。バックアップ自体がランサムウェアに暗号化されている場合、バックアップデータが古すぎる場合、復旧手順が整備されていない場合などは、復旧に失敗する可能性があります。定期的な復旧テストを行い、バックアップが有効であることを確認しておくことが重要です。
- Q: 身代金を払えばデータは戻りますか?
- A: 必ずしも戻るとは限りません。調査によると、身代金を支払った組織の約30%がデータを完全に復旧できなかったと報告されています。また、支払っても復号ツールが正常に動作しない、一部のファイルしか復元できないなどのケースがあります。さらに、支払うことで再攻撃のリスクが高まる可能性もあります。
- Q: サイバー保険でランサムウェア被害は補償されますか?
- A: サイバー保険の内容によります。多くのサイバー保険はランサムウェア被害を補償対象としていますが、補償範囲や条件は保険商品によって異なります。身代金の支払い自体を補償するかどうかは保険会社によって異なり、最近は身代金支払いを補償対象から除外する動きもあります。保険加入時に補償内容を確認し、必要に応じて保険会社に相談してください。
まとめ
サプライチェーン攻撃とランサムウェアの複合被害について、重要なポイントを振り返りましょう。
- サプライチェーン経由のランサムウェアは、一度の攻撃で数百〜数千社に被害が及ぶ危険性があります
- Kaseya事件(1,500社以上)、トヨタ・小島プレス事件(全工場停止)など深刻な被害が発生しています
- 3-2-1バックアップルールとオフラインバックアップが復旧の鍵です
- バックアップは定期的にテストし、確実に復旧できることを確認しておきましょう
- 感染時は隔離→報告→証拠保全→復旧→原因究明の順で対応します
- 身代金の支払いは推奨されません。リスクを理解した上で判断してください
- サプライチェーン全体での対策連携が重要です
インシデント対応の詳細は「サプライチェーン攻撃のインシデント対応」を、基礎知識カテゴリ全体については「サプライチェーン攻撃の基礎知識」をご覧ください。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
役職・立場別に探す
業種別に探す
攻撃タイプ別に探す
人気のページ
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 身代金の支払いに関する判断は、法的・経営的な側面を含むため、弁護士やセキュリティ専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
更新履歴
- 初稿公開
