Mr Viral
QIRIN ランサムウェア、サプライチェーン、そして経営の再定義
日本を代表する飲料メーカーであるアサヒグループホールディングス(以下、アサヒGHD)が、ランサムウェアによる大規模なサイバー攻撃を受けた。国内の業務システムが麻痺し、製造・出荷・顧客対応などの中核業務が停止。影響は同社の枠を超え、流通業界、競合他社、さらには年末商戦にまで波及した。
この事件は、単なるITトラブルではない。デジタル化が進む中で、企業の根幹を揺るがす「経営リスク」としてのサイバー攻撃の現実を突きつけた象徴的な事例である。
アサヒGHDが攻撃を受けたのは9月29日午前7時。システム障害を確認した同社は即座に調査を開始し、同日中に捜査当局へ報告。国内グループ各社の受注・出荷業務、コールセンター業務が停止し、主要工場の稼働も一時停止された。
翌30日には配送遅延が発生し、株価も下落。10月1日には新製品12品の発売延期が発表され、2日にはセブンイレブンやファミリーマートのPB飲料出荷が一部停止。飲食店では他社銘柄への切り替えが進み、キリンやサントリーなど競合他社にも代替発注が殺到。結果として、これらの企業も出荷制限を余儀なくされるなど、業界全体に波及する影響が生じた。
攻撃を仕掛けたのはロシア系とされるハッカー集団「QIRIN(キーリン)」。ダークウエーブ上で犯行声明を公表、アサヒGHDの財務情報や事業計画書、従業員の個人情報など少なくとも、ファイル数約9300件、総容量27GBのデータが盗まれたと主張している。
トレンドマイクロのシニアスペシャリスト、成田直翔(なりた・なおと)氏は次のように語る。
「キーリンは2025年に最も活発なランサムウェアグループとされ、年間800件以上の被害組織を攻撃者が運営する『リークサイト』と呼ばれるウェブサイトに掲載しています。RaaS(Ransomware-as-a-Service)モデルを採用し、開発者(オペレーター)と実行犯(アフィリエイト)を分業化し、端末の言語設定がロシア語だと作動しない設計で、ロシア国内での摘発を回避しています」
RaaSとは、ランサムウェア攻撃を“サービス化”したサイバー犯罪のビジネスモデル。技術力のない攻撃者でも、開発済みのツールを使って容易に攻撃を仕掛けられる。その基本構造は、開発者がランサムウェア本体や攻撃用インフラを構築し、実行犯がそのツールを使って攻撃を実行、身代金が支払われると、開発者とアフィリエイトで報酬を分け合うという仕組みだ。
日本ではこれまでにも宇都宮セントラルクリニック(最大30万人分の医療情報)、日産子会社(Creative Box、4TBの3Dデザイン・社内文書)、丸菱HD(外国人労働者の在留カード含む353GB)、原田工業(約942GBの設計図・契約書・社員情報)などが狙われた。
Qilin型ランサムウェアの侵入経路と攻撃ライフサイクル
キーリンはアサヒGHDにどのように侵入したのだろうか。
侵入の経路についてアサヒGHDは、まだ正式に公表してはない。ただ一般的にランサムウェアは、RDP(Remote Desktop Protocol、遠隔操作)やVPN(Virtual Private Network、仮想プライベートネットワーク)の脆弱性、フィッシングによる認証情報の窃取、アクセスブローカー(企業への侵入口を売っているサイバー犯罪者)からの初期アクセス購入などが用いられる。
侵入後は組織内のユーザーや端末をまとめて管理するAD(Active Directory)を乗っ取り、ネットワーク全体に横展開。暗号化前にデータを窃取し、「復号(暗号化された情報を、元の状態に戻す処理)のための身代金+情報公開による脅し」の二重恐喝を行う。
「例えば、ある社員のパソコンが最初の侵入口となり、そこから攻撃者は社内ネットワークに入り込みます。侵入後は、ネットワーク内を探索しながら、管理者権限を持つアカウント、特に『アクティブディレクトリ』と呼ばれるシステムの中枢にアクセスできるアカウントを狙っていきます。そして、もしその管理者権限を手に入れることができれば、攻撃者はその権限を使って、社内のパソコンやサーバー、システム全体に一気にアクセスできるようになります。そこから一斉に、これらの端末やシステムを暗号化してしまうのです。ただし、暗号化の前に、攻撃者は重要なデータをこっそり外部に持ち出しておきます。そして暗号化が完了した後、『あなたたちのデータはすでに盗んである。もし私たちの要求に応じなければ、その情報を公開する』といった脅迫を行います。つまり、単にデータを使えなくするだけでなく、『盗んだ情報を暴露するぞ』と二重に脅してくるのが最近の手口です」(成田氏)
ハッカーは暗号化したデータを元に戻す(復号する)ことが技術的には可能だ。ただし、それには「復号鍵」が必要であり、通常は身代金が要求されることになる。では身代金を支払えば、ハッカーはデータを復号してくれるのだろうか。
「もし身代金を支払わなかった場合、リークサイトに盗まれた情報がそのまま公開されてしまいます。逆に、指定された期限内に支払えば、その情報は公開されず、暗号化されたシステムも復旧されると攻撃者は主張しています。ただし、実際には『支払ったのに、金額が足りないからもっと払え』と追加の要求をしてきたり、支払ったにもかかわらず暗号化を解除してくれなかったり、あるいは情報が結局リークされてしまったり、といったケースも少なくありません。結局のところ、相手は犯罪者なので、交渉自体が信用できるものではなく、非常にリスクが高いというのが現実です」(成田氏)
単一企業の被害がサプライチェーン全体に波及
では実際にサイバー攻撃を受けると、どのような被害があるのだろうか。
アサヒGHDは異常を検知した直後に国内の全業務システムを遮断。商品受注・出荷業務の全面停止、国内30工場の生産停止、コールセンターやお客様相談窓口の閉鎖、社外メールの受信不可、新商品発表会やイベントの中止など、広範な業務停止が発生した。復旧は段階的に進行し、紙と電話による手作業で業務継続を図ったが、完全復旧には至っていない。
この業務停止は、単一企業の問題ではなく、サプライチェーン全体の脆弱性を露呈した。セブンイレブンやファミリーマートなどのPB商品が出荷停止となり、イオンでは通販ギフトの販売が一時停止。松屋フーズでは一部店舗で欠品が発生し、福岡ソフトバンクホークスの日本シリーズ優勝祝賀会では「ビールかけ」が中止され、シャンパンファイトに変更された。
「最近の企業システムは、社内だけでなく取引先とも複雑につながっています。こうした中で、ランサムウェア攻撃が起きると、たった一つのシステムが止まるだけで、連携している他のシステムまで使えなくなってしまうことがあります。たとえば、物流拠点を運営している会社が攻撃されると、その会社に業務を委託している企業も、荷物が動かせなくなったり、納品が遅れたりして、事業が止まってしまいます。こうした影響は『ドミノ倒し』のように広がっていきます。つまり、自社だけを守っていても、取引先や委託先が攻撃されれば、自社も被害を受ける可能性が高いのです」(成田氏)
中でも注意しなければならないのがサプライチェーンに連なる中小企業だという。中小企業の中には、大企業の業務を支える重要な役割を担っている会社がある。こうした中小企業がランサムウェアの被害を受けて事業が止まってしまうと、その影響は大企業にも及び、ビジネス全体が止まってしまう可能性がある。
「たとえば、小島プレス工業という企業がランサムウェアの攻撃を受けて事業が停止した際、トヨタの工場が丸一日稼働できなくなったという事例があります。トヨタ自身が攻撃されたわけではないが、サプライチェーンの一社が被害を受けただけで、大企業にも大きな影響が出てしまうのです」(成田氏)
情報漏洩による取引先への二次被害
問題は想定されているサプライチェーン内だけにとどまらない。思いもかけないようなところにもその波紋は広がる。
「最近のサプライチェーン被害は、これまで想定されていなかったような広がり方をしていると感じています。たとえば、アサヒGHDがサイバー攻撃を受けて業務が一時停止したことで、サントリーやキリンといった大手飲料メーカーも、予定していたキャンペーンを見送らざるを得なくなりました。これらの企業は本来、競合関係にありますが、共通の委託先が被害を受けたことで、競合同士が同時に影響を受けるという事態が起きたのです。このように、一社の被害が業界全体に波及する構造になってきており、もはや『自社だけ守ればよい』という時代ではありません。しかし、こうした被害は事前に予測するのが難しく、完全に備えるのは非常にハードルが高いと感じています。だからこそ、サプライチェーン全体でのリスク共有と連携した対策がますます重要になっていると思います」(成田氏)
上述のようにランサムウェアの被害を受けると、自社の業務が止まるだけでなく、取引先にも深刻な影響が及ぶ。社内システムに保存されていた取引先の情報が攻撃者に盗まれ、その情報が外部に流出する可能性も生まれてくる。
そのため、単なる情報漏洩にとどまらず、取引先の信用や業務にも直接的なダメージを与えることになるため、取引先から「自社の情報が漏れたことで損害を受けた」として、損害賠償を請求されるリスクも生じる。特に、契約書の中で情報管理の責任が明記されていた場合や、個人情報保護法などの法令に違反していると判断された場合には、法的な責任を問われる可能性が高くなる。
「ランサムウェアの被害は業務だけの問題ではなく、取引先との信頼関係や契約上の責任にも関わる重大なリスクを含んでいるのです。だからこそ、日頃から情報管理体制を整え、万が一の事態に備えておくことが重要です」(成田氏)
復旧の決め手はバックアップ
実際にサイバー攻撃に遭った場合、どのくらいの期間で復旧することができるのだろうか。復旧のスピードは、暗号化されたシステムやデータの範囲、被害の規模によって大きく左右される。
「ランサムウェアによって暗号化されたファイルは基本的に元に戻せません。そのため、バックアップから復元するか、あるいはシステムを一から作り直すしかない。早く復旧できるかどうかは、『バックアップを取っているか』、『それをどれだけ早く適用できるか』にかかっています。しかもバックアップといっても、単にデータだけでなく、システム全体のバックアップが必要です。たとえば名古屋港のケースでは、数日で復旧できており、非常に模範的な事例といえます。一方で、KADOKAWAのように数ヶ月も業務が停止したケースもあります」(成田氏)
つまり、復旧の度合いは、バックアップの可用性と実効性、システムの複雑性と相互接続の度合い、感染範囲の特定と再感染防止策の徹底に左右される。名古屋港の場合は、接続されているシステムの範囲が比較的限定されていたため、復旧が早く進んだと考えられる。
一方でKADOKAWAのケースでは、システムがあまりにも肥大化していたため、バックアップの復元が困難だったことから、最終的にはすべてを一から再構築することになった。こうしたケースは決して珍しくなく、特に大企業の場合、バックアップの適用よりも再構築の方が早いと判断されることも少なくない。アサヒGHDにようにシステムが非常に大規模になると、バックアップの適用自体が困難になる。
「企業のセキュリティ対策は、もはや自社だけの問題ではありません。現在求められているのは、サプライチェーン全体をどう守るかという視点です。サプライチェーンのどこかにセキュリティの脆弱性があれば、自社も被害を受ける可能性がある。だから全体としての防御力を高めることが不可欠なのです。特に、サプライチェーンの上位層に位置する企業は、関連企業に対してセキュリティガイドラインを策定・提示し、調達基準の中に『セキュリティ対策の有無』を明示する責任があります。また、中小企業であっても、海外企業への納入などグローバルな取引を行っている場合には、セキュリティ対策を講じなければ、将来的にサプライチェーンに参加できなくなる可能性も出てきます」(成田氏)
今後の対策としては、サプライチェーン全体のセキュリティガイドラインと調達要件の策定に加え、RDPやVPN、ネットワーク機器の脆弱性スキャンとパッチ適用の運用化が求められる。また、オフラインで改ざんできないようなバックアップを行うことと、サイバー攻撃などを想定した定期的なリストア訓練の実施も重要だ。さらに、フォレンジック調査(デジタル版の鑑識調査)や初動対応マニュアルの整備、経営層向けのサイバーレジリエンス訓練(サイバー危機への対応力を鍛える訓練)とBCP(事業継続計画)との統合も、今後のセキュリティ強化に欠かせない要素となる。 「アサヒGHDの事件は、セキュリティが単なるITの問題ではなく、経営そのものの問題であることを明確に示しました。企業経営においては、セキュリティを『コスト』としてではなく、『事業継続の前提』として捉える必要があります。サプライチェーン全体の防御を自社の防御と位置づけ、復旧能力、すなわちサイバーレジリエンスを競争力の源泉として捉えることが、今後の企業戦略において不可欠なのではないでしょうか」(成田氏)…
GIPHY App Key not set. Please check settings