ランサムウェアに感染したら？インシデント体験から学ぶ

ランサムウェアに感染して製品の流通が停止した等、昨今は様々なインシデントがメディアで報道され、被害を受けた企業はウェブサイトで経緯等を公開しています。

しかしながら、インシデント対応の詳細な経緯が公開されることはあまりありません。企業イメージに傷がつく、公開の必要性がない等、理由は様々と思いますが、失敗から学べることは多々あります。

今回は、過去のインシデント事例をフィクションとして修正し、失敗から学べるインシデント対応のポイントとして記事にしたいと思います。

●ある企業で発生したインシデント

Ａ社は従業員300名、大手機械メーカーの部品を製造している。情報セキュリティ対策は、大手機械メーカーからの依頼もあり、進んでいる状況（※）。

※東京都中小企業サイバーセキュリティ対策事業だと「レベル３：インシデント対応強化」に取り組み始めているレベル。
参考：東京都サイバーセキュリティ対策事業の成り立ちと今後について

この企業において、ランサムウェアに感染し１か月以上外部とインターネット通信ができなくなりました。その対応経緯を次項で紹介します。

●インシデント対応の経緯

[発覚当日]

・社内ファイルサーバにアクセスできないとの申告があり調査開始。

・システム管理者がサーバを確認したところ、ランサムウェアと思える挙動をしていた（サーバ内に暗号化されたファイルが複数存在）。

・ウイルスによる外部へのデータ流出を懸念し、会社全体でインターネット接続を不可とした。

・システム管理者だけでは対応ができず、急遽セキュリティ企業へ調査業務を見積額不明なまま委託。

・取引先へ電話で連絡、一部取引先からは詳細な報告を求められる。以降、この対応稼働捻出もあり担当者は深夜まで勤務。

・機械部品の製造はインターネットを利用しないのでできなくはないが、受発注管理が手作業となり生産効率が激減。

[３日後]

・サーバの調査の結果、原因はランサムウェアと断定。しかし、サーバにランサムウェアが流入した経路が不明。

・従業員のパソコンやメールサーバが汚染され社外にウイルスを拡散する可能性があるため、インターネット接続は復旧させないこととした。

・パソコンが必要な業務については、新規にパソコンを購入し徐々に復旧。

[１週間後]

・原因となるウイルスを特定し、ウイルスを駆除するソフトを用意し、全端末のウイルスチェックを開始。

・この時点でもパソコンが必要な業務の一部しか復旧できておらず、生産効率は従来の半分にも満たない。

・万が一の状況を考慮し、全端末ウイルスチェックが終わった後も１か月程度様子を見る事とした。


[１か月後]

・インターネット接続を復旧し、従来のIT環境を復旧した。

●インシデント対応の補足・考察

上記の例では、発覚当日にインターネット接続を不可としたことで、ウイルスによる外部へのデータ流出・メールによる社外へのウイルス拡散防止という事態に対処できた点は評価できます。
しかしながら「生産効率が激減した」という点もあり、インシデント発生を想定した準備ができていなかったと考えられます。例えば、あらかじめ代替手段を整理しておけば、１週間後においても「生産効率が従来の半分にも満たない」状況は回避できます。

また、これ以外にもいくつか改善できるポイントがあります。

・原因を特定する方法の整理

⇒見積額不明なまま委託しなくて済む可能性がある。

・取引先への報告タイミングや報告内容のルール化

⇒特定の担当者への対応稼働の偏り（深夜まで勤務）が無くなる。

実際のインシデント対応時は、少ない情報に対し、限られた稼働・リソースで対応していく必要があります。あらかじめ備えておくことで、インシデント被害を抑える事が出来ます。

東京都中小企業サイバーセキュリティ対策事業では「インシデント対応強化」という事業で、インシデント対応を想定した準備を支援しています。今年度の参加企業募集は終了しましたが、来年度も事業が行われる可能性があります。東京都産業労働局のウェブサイトや公式X等を適宜ご確認ください。（ブックマークやフォローをお勧めします）

参考：令和7年度中小企業サイバーセキュリティ社内体制整備事業 インシデント対応強化

参考：東京都産業労働局ウェブサイト「中小企業向けサイバーセキュリティ対策の極意」

参考：東京都産業労働局公式X「東京都 産業・仕事」