システムやサーバがおかしい→「再起動だ」でデータ消失も　サイバー攻撃が疑われる場合のNG対応

サイバーセキュリティの専門家が登壇

北尾辰也氏：国土交通省 最高情報セキュリティアドバイザーおよび日本シーサート協議会専門委員をやっております、北尾と申します。本日は「病院、工場、港湾コンテナターミナルのランサム被害　あの時、現場で何が起こっていたのか」についてお話ししたいと思います。

まず簡単に自己紹介です。私は三菱UFJ銀行のシステム子会社に30年間勤務していました。最後の12年間は銀行に出向して、サイバーセキュリティに従事しており、CSIRT（セキュリティ事故対応チーム）の立ち上げ等を行っていました。

2022年4月に独立して、現在はフリーランスとして、サイバーセキュリティに関するコンサルティングやアドバイザー業務を行っております。そういった関係で2022年11月から国土交通省の最高情報セキュリティアドバイザーを務めるとともに、日本シーサート協議会の専門委員や金融ISACの個人賛助会員として活動しております。



前置きですが、本公演は私が関係する組織や団体を代表して行うものではなく、それらの組織や団体の見解とも無関係です。またスライドには具体的な事例に関する記述がありますが、公表されているプレスリリースや報告書等をそのまま表示したものです。また個別の事案に対してコメントや見解を述べるものではありません。

それでは日本におけるランサムウェアの例ということで、ここに出ているような事例はすでに報道等されていて、みなさんご存知の話であると思いますので、一つひとつ説明することは省きます。

復旧に数ヶ月を要する、ランサムウェア攻撃の被害

ただここに書いてあるとおり、例えば半田病院だと復旧まで2ヶ月を要したとか、小島プレス工業だと1ヶ月を要したとか。大阪急性期・総合医療センターだと2ヶ月を要しており、やはりランサムウェア攻撃に関しては復旧までに時間がかかっています。


唯一、名古屋港のコンテナターミナルだけは2日半で戻ったということで、なぜそれが可能だったかについてはご興味があると思いますので、このあとお話しさせていただきたいと思います。

おさらいではありますけど、ランサムウェア攻撃は、コンピュータ上のファイルを暗号化して使用できない状態にした上で、そのデータを復号する対価を要求する攻撃です。


また、暗号化のみならずデータを取って「対価を払わなければデータを公開する」と対価を要求する、二重恐喝も発生しています。この攻撃は世界中で被害が発生しておりまして、日本の企業・組織における被害も増加しています。

日本での状況も詳しい説明は省きますが、要は下の矢印のところに書いてあるとおりです。攻撃者は特定の企業や業種を標的にしているわけではなく、攻撃可能なところを成り行きで攻撃していると考えられます。そのため、いろいろな業種や規模の企業や団体が被害を受けています。

ランサムウェアは「ばらまき型」から「侵入型」へ進化

ランサムウェア攻撃のタイプと変遷もご存知の方が多いので、特に詳しくは説明しません。以前はばらまき型と言われるようなメールで配るタイプでしたが、最近では侵入型ランサムウェアというかたちですね。

VPN機器（インターネット上に仮想の専用線を設定し、特定の人のみが利用できる専用ネットワーク）や、リモート接続が可能な機器のセキュリティ上の不備を突いてネットワークに侵入し、複数の機器にランサムウェアを実行するといったものです。


これについて少し細かく説明しますと、侵入型ランサムウェア攻撃は、攻撃者がターゲット組織のネットワークへ侵入しランサムウェアを仕掛けるかたちです。典型的な手口は、VPNやRDP（ネットワークを介して遠隔地のPCにアクセスし、手元の端末で操作する仕組み）を行っている機器のセキュリティ上の不備を突いて、ネットワークに侵入します。

その侵入したネットワークの中を探しまくって、攻撃可能なサーバや端末を見つけ出して、データを取ったり暗号化したりします。

そして、侵入したネットワークと接続している他のネットワークがあれば、そこへも足を伸ばして攻撃を拡大させる場合もあります。実際にいくつかの事例では、他組織経由で攻撃を受けたり、他組織への攻撃が拡大する手前で止めたという話もあります。

侵入可能な機器をもれなく攻撃できるように

侵入型ランサムウェア攻撃なんですけど、近年は分業モデル、RaaS（サービスとして提供されるランサムウェアやその提供形態）と言われていたりもするんですけど……あまりこういう言い方は好きではないんですが（笑）。この分業モデルで、多くの攻撃者が攻撃に参加するようになってきています。

まずランサムウェアを作るような人たちは、運営組織というかたちでランサムウェアを開発したり、リークサイト（何らかの方法で入手した機密情報や個人情報を不特定多数に公開するウェブサイト）を運用したりします。

実際に攻撃するのは、アフィリエイトと呼ばれる人たちです……要は、都度人を募集して攻撃しているという感じですね。このアフィリエイトの人たちは世界中に散らばっていて、特に組織化されているわけではないです。

そして、「このネットワークのここに脆弱なVPNがある」といった攻撃対象になる情報は、不正アクセス仲介人と言われる、Initial Access Broker……かっこいい呼び方なんですけど、別に呼び方はどうでもいいわけですが。この人たちが、ネットワーク中を探しまくって侵入可能な機器を見つけ出して、その情報を売るといったかたちですね。


Initial Access Brokerは以前からいたのですけど、RaaSの登場によって活発化しています。要はお金になるからということですね。この人たちが積極的に弱点のある機器を見つけ出すので、侵入可能な機器はもれなく洗い出されてしまいます。

それで世界中の攻撃者がアフィリエイトに群がってくるので、もれなく洗い出されて、なおかつ攻撃も受けるといった時代になっているのです。この侵入型ランサムウェアなんですが、少し長いので、以降は単にランサムウェアと表記します。

ランサムウェア攻撃の被害は、ネットワーク単位で拡大

それでは実際にランサムウェア攻撃を受けた際に、どういった対応をしているのか。インシデント対応の実際について話していきます。

ランサムウェア攻撃を受けた場合、どういう状況となるのか。また、実際の現場ではどのような対応を行ったのか、行わざるを得なかったのかについて、実際の事例の報告書やレポートから読み解いていきたいと思います。

まず基本的な認識ですが、ランサムウェア攻撃を受けるとどうなるのか。侵入型ランサムウェア攻撃は、基本的にシステム単位ではなくネットワーク単位になりますので、多くのサーバや端末に被害が発生します。

また、先ほども言いましたが、他のネットワークへ拡大する場合もありますし、他のネットワークが侵入経路である場合もあります。

このあと初動からいろいろ見ていくわけなんですけど、攻撃を認識した時点では進行中という場合がありますので、迅速な初動が望ましいです。うかうかしているとどんどん広がっていったり、隣接するネットワークに攻撃が移っていくということが起こり得ます。

システムがおかしい→「うまく動かなければ再起動だ」はNG

インシデント対応の流れについては、教科書どおりというかたちですけど。今回は検知・分析の部分と封じ込め、根絶、復旧に焦点を当てて見ていきます。


なお、よく「初動」と言われますけど、検知・分析から封じ込めくらいまでを指すことが多いです。非常に大切なところですね。初動できっちりとわかって封じ込めを行うことで被害を極小化できます。

まず検知・分析という最初のところですが、ランサムウェア攻撃の場合、多くはシステムやサーバにおける異常の発生から始まります。

最初に攻撃者が侵入しているところは当然気づきづらいものですから、いよいよ何かを仕掛け始めた時。具体的にはデータが暗号化されたりして、システムが動かなくなるといった異常を検知するところから始まります。

この異常を検知するのは保守担当者ですが、普通はサイバー攻撃に関する知見はありませんよね。当然ですけど、システムがうまく動かないので普通のシステム障害と同様に対応しようとします。だいたいうまくいかなかったり、こんな状況は見たことがないという感じになって、どんどん時間が経過していきます。


また、特に分散系は多いんですけど、日頃から「うまく動かなければ再起動だ」という対応をしてしまうケースも少なくありません。再起動してしまうことで調査に使うデータが消失する……特にメモリなどの情報がクリアされてしまうので、あまりこういうことは行われないほうが、のちのちの調査は楽になっていきます。

サイバー攻撃が発覚する時間帯は未明や深夜

まずサイバー攻撃が疑われる場合、迅速に保守担当部署からCSIRTへ連絡が入ることが重要です。ランサムウェア攻撃は、攻撃者が判明するタイミングを自分でコントロールしていますので、だいたい気づきづらい未明とか深夜といった時間帯にやってきます。

この時間帯に異常が判明することが多いですが、それでも迅速にサイバーインシデントとして対応が開始できることが望ましいです。朝になるまで待つなんてことは当然できないわけですね。

また、いろいろな組織に無差別にこういった事象が発生しますので、自社・自組織にサイバーインシデントに関する知見を持った人がいないような組織もあるかもしれません。そういうところは自分たちだけで無理して対応しようとせずに、外部の組織や専門家に協力を求めることも重要です。

実際にこれから紹介する事例でも、やはり警察と連携するとか専門家の協力を仰いでいるところが報告書には書かれています。

まず最初のところですね。名古屋港のコンテナターミナルは、国土交通省の『コンテナターミナルにおける情報セキュリティ対策等検討会 取りまとめ』資料に書いてあるんですけど。


ここの記載にあるとおり、朝6時半にシステムの作動が停止しました。NUTSはNagoya United Terminal Systemで、まさに名古屋港のコンテナターミナルのシステムです。

そのあと、しばらく調査を行っていたりするんですけど、プリンターから英語の脅迫文書が大量に出てですね。「これは只事ではない」ということで、やはり警察に相談というかたちで、9時頃にはランサムウェア攻撃の可能性があると。普通の障害ではなくて、大規模なシステム障害を伴うような攻撃であることがわかりました。

迅速な「ネットワークの遮断」がカギ

これは小島プレス工業さんのプレスリリースですけど、ここも夜の21時頃にサーバに障害が起こりましたね。やはり脅迫メッセージを見て「これはやばい！」と思ったのでしょう。あっという間に、もう未明には外部のネットワークを遮断しています。おそらくトヨタ本社とのネットワークも含まれていると思うんですけど。


拡散を防止するということで、すばやく遮断をしています。ここで動けていなければ、被害はもう少し広がっていたかもしれません。

もう1つの事例は長いので、全部は読まないですけど、大阪急性期・総合医療センターの報告書ですね。これは非常に良くできているので、みなさんにぜひ読んでいただきたいです。


この報告書は、フォレンジック（セキュリティ事故が起きた際に、端末やネットワーク内の情報を収集し、被害状況の解明や犯罪捜査に必要な法的証拠を明らかにする取り組み）の結果を、きちっと時系列に並べてくれているんですけど。

順番にやられていってることがあとでわかってきています。やはり最初に気づいたのは朝の4時頃ですけど、どんどん時間が経っていって、最後に「ネットワークを遮断する」と決断したのは8時です。

これがもう少し早く対処が早ければ、最後のほうで被害を受けたシステムはその手前で止まったかもしれません。

また、ここで気づいていなければ……実際どれくらいの割合の機器が被害を受けたかまでは報告書に書いていないんですけど、残りの機器ももれなく全部やられてしまった可能性すらあります。

侵入経路もわからない中で、攻撃者を封じ込めるには？

当然ランサムウェア攻撃は進行中ですので、わかってきたところで封じ込めをしないといけないんですけど、実際の現場では非常に難しいです。


なぜ難しいかというと、一番上に書いてあるとおり、侵入経路がわかっていない状態で封じ込めを行う必要があるからです。何かサーバがやられている。何にやられているかさえわかっていない状態ですね。なんとなくランサムウェアにやられているっぽいよねという感じです。

ですので、侵入経路がわかっていない状態の中で封じ込めを行う必要があります。当然、侵入経路が判明するのはもっと後になります。場合によってはログがなかったりして、最後までわからないケースもあったりするんですけど（笑）。

そういう状況であるために、まずいったんインターネットとの接続や他のネットワークとの接続を止めることが必要になります。どこから入ってきたかわからないわけですね。被害が見えている機器に到達できるようなネットワークの範囲は、かなり広いのが現実です。

システムの外部接続ポイントとか、保守のVPNからしか被害を受けているシステムに到達できないような、きちっとセグメンテーションされているところはなかなかないと思います。日本の企業の場合、どこからでも攻撃できるような構造になっているケースが多いものですから。

組織のネットワークが複数のポイントでインターネットと接続していますし、複数の他のネットワークを接続していることが少なくありませんよね。すると、どこから来たかわからないので、すべての接続ポイントをいったん止めるしかないんですよ。