大企業へのランサムウェア被害が大きくニュースに取り上げられることもありますが、実は、実際にランサムウェア被害に遭っている企業の多くは、中小・中堅企業です(※)。
被害にあった企業の多くは、悪意を持って対策をサボっていたわけではありません。攻撃する側のすそ野が広がったため、「忙しくて後回しにしていた」、そのわずかな隙が狙われる時代になっているのです。
※警察庁の発表によると、報告されている国内のランサムウェアによる被害件数のうち、約63%が中小企業。(出典:「令和6年におけるサイバー空間をめぐる脅威の情勢等について」)
しかし、日々の業務に追われる中で、「セキュリティ対策まで手が回らない」と感じている中小・中堅企業は、決して少なくありません。
IT担当者は一人だけ。しかも本業と兼務。トラブル対応に追われ、「万が一の備え」まで考える余裕がない。
それは、特別なことではなく、多くの企業にとっての現実です。
とはいえ、現在、サイバーセキュリティを取り巻く環境は、さらに変わり始めています。
2025年5月には、重大なサイバー攻撃を未然に防ぐための「能動的サイバー防御」に関する法律が成立し、国全体としてサイバー攻撃への対処を強化する方向が明確になりました。これにより、今後は重要インフラ事業者に加え、その取引先企業に対しても、一定水準以上のセキュリティ対策が求められていくことが想定されています。
今回ご紹介するのは、そんな変化の波を受ける前に、ある中堅の製造業企業がランサムウェア攻撃を受け、会社が完全復旧するまでに3ヶ月を要した架空のストーリーです。
この企業は、特別にずさんな会社ではありません。ただ、「まだ自分たちには関係ない」と思っていただけでした。
架空の設定・ストーリーではありますが、中小・中堅企業が直面しうる現実を描いた物語です。
地方都市に本社を置く、従業員約300名の精密部品メーカー。創業45年の中堅企業。大手メーカーのサプライチェーンの一角を担う二次サプライヤーとして、さまざまな産業向けの精密部品を製造。
主な取引先は一次サプライヤー3社。「品質と納期のトレノインダストリー」として信頼を築いてきた。
どこにでもある、普通の優良企業だった。
日々の業務に追われる、どこにでもある中堅の製造業企業。ある金曜日の夕方、それは突然起こりました。
「あれ、おかしいな……」
田中主任は、生産管理システムの画面を見つめて首をかしげた。さっきまで動いていた画面が、真っ黒になっている。
マウスを動かしても反応がない。キーボードを叩いても変わらない。
「パソコンがフリーズしたのかな」
電源ボタンを長押しして再起動をかける。起動画面が表示され、いつものデスクトップが……
表示されない。
代わりに現れたのは、見慣れない英語のメッセージだった。
画面には、中小企業にとっては到底支払えない金額が表示されていた。
「なんだこれ……暗号化?ビットコイン?」
意味が分からず、隣の席の同僚に声をかけようとした。
「田中さん、うちのパソコンも変な画面が……」
振り返ると、同僚も青ざめた顔でモニターを指さしていた。
製造部長の携帯が鳴った。
「部長!工場の設備制御用パソコンが全部止まりました!ラインが動きません!」
同時に、経理部からも連絡が入る。
「すみません、会計システムに入れないんですが……」
営業部からも。
「顧客管理システムが開けません。受注データが……」
あっという間に、会社中のパソコンが次々と「あの画面」に変わっていった。
【用語解説】ランサムウェアとは?
「ランサム(Ransom)」は英語で「身代金」の意味。パソコンやサーバー内のファイルを勝手に暗号化して使えなくし、「元に戻してほしければ金を払え」と脅迫するコンピューターウイルスの一種です。警察庁の統計によれば、2024年の被害報告件数は222件に達し、高水準で推移しています。
(出典:警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」)。
総務部長が社長室に駆け込んだ。
「社長、大変です。どうやらランサムウェアというウイルスに感染したようです」
「ランサム……なんだって?」
「身代金要求型のサイバー攻撃です。会社のデータを全部暗号化して、元に戻したければお金を払えと……」
社長の顔から血の気が引いた。
「それは……いつ直るんだ?」
「分かりません。とにかく、システム担当の佐藤くんに連絡を取っています」
情報システム担当は、たった1人。佐藤(28歳)は、総務部に所属しながらITも兼務している「一人情シス」だった。
【セキュリティ問題①】一人情シス体制
従業員300名の会社で、IT担当がたった1人。しかも総務との兼務。これでは日常業務に追われ、セキュリティ対策まで手が回りません。パソコンの設定やトラブル対応だけで精一杯になり、「会社を守る」という本来最も重要な仕事が後回しになってしまいます。
実際、ランサムウェア被害の約63%(2024年、222件中140件)は中小企業で発生しており、その多くがIT人材不足を抱えています(出典:警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」)。
社長、各部長、そして佐藤が会議室に集まった。
「警察への被害申告もしておいた方がいいです。義務ではありませんが、後の捜査協力や保険対応で記録が役に立ちます」
と佐藤が言った。社長は黙ってうなずいた。
佐藤は徹夜で状況を調べていた。その報告は絶望的だった。
「社内のサーバー8台、PC約200台が感染しています。バックアップサーバーも……やられています」
「バックアップがあるんじゃないのか?」
「ありますが、バックアップサーバーもネットワークにつながっていたので、一緒に暗号化されてしまいました……」
バックアップの意味がなかった。
【セキュリティ問題②】バックアップがネットワークに接続されたまま
バックアップとは、大切なデータのコピーを別の場所に保存しておくこと。火事で金庫が燃えても、別の場所に控えがあれば安心、という考え方です。
しかしトレノインダストリーでは、バックアップ用のサーバーも社内ネットワークにつながっていました。これでは、泥棒が家に侵入したとき、金庫も控えの金庫も同じ部屋にあるようなもの。一緒に盗まれて当然です。
警察庁の調査によれば、バックアップから復元できなかった企業の約7割弱が「バックアップも暗号化された」ことを理由に挙げています(出典:警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」)。バックアップは、ネットワークから切り離して保管する(オフライン保管)ことが鉄則です。
「どこから入られたんだ?」
「おそらく、VPN機器です。リモートワーク用に3年前に導入したものですが、ソフトウェアの更新が……できていませんでした」
【用語解説】VPN機器とは?
社員が自宅から会社のネットワークに安全に接続するための装置です。コロナ禍でリモートワークが広がり、多くの企業が導入しました。いわば「会社への裏口ドア」のようなもの。便利ですが、きちんと管理しないと、そこから泥棒(攻撃者)に入られてしまいます。
【セキュリティ問題③】VPN機器のソフトウェア更新を3年間放置
コロナ禍で急遽導入したVPN機器。その後のメンテナンスは後回しになっていました。
ソフトウェアには「脆弱性(ぜいじゃくせい)」と呼ばれる弱点が後から見つかることがあります。メーカーは弱点を修正するプログラム(パッチ)を配布しますが、それを適用しなければ弱点は残ったまま。
3年間更新していないということは、3年分の「鍵のかかっていないドア」を放置していたのと同じです。
警察庁の2024年統計では、ランサムウェア感染経路の約55%がVPN機器経由、約31%がリモートデスクトップ経由であり、合計約86%がこの2つの経路から侵入されています(出典:警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」)。
製造部長が頭を抱えた。
「月曜日、納品予定の部品が3万個あるんです。出荷システムが動かないと、どの部品をどこに送ればいいか分からない」
営業部長も続く。
「取引先には何て説明すれば……『サイバー攻撃で出荷できません』なんて言ったら、信用がた落ちだ」
社長は決断を迫られた。
「隠しても仕方ない。正直に伝えよう。一次サプライヤー3社には、私から直接電話する」
その電話は、予想以上に厳しいものだった。
「トレノさん、困りますよ。うちも元請けさんへの納期があるんです」
「セキュリティ対策、ちゃんとやってたんですか?」
「他のサプライヤーに切り替えることも検討しないと……」
【セキュリティ問題④】サプライチェーンへの影響を想定していなかった
製造業は、何百社もの部品メーカーが連携して成り立っています。1社が止まれば、その影響は取引先全体に波及します。トレノインダストリーは「自社のシステムが止まる」ことは想像しても、「それが取引先や業界全体にどう影響するか」までは考えていませんでした。
実際、2024年には製造業がランサムウェア被害の業種別で最多を占めています(出典:警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」)。攻撃者は、サプライチェーンへの影響が大きい企業ほど身代金を支払う可能性が高いと考えて標的にしています。サイバー攻撃は、自社だけの問題では済まないのです。
「うちの力だけでは無理です」
佐藤の言葉に、社長もうなずくしかなかった。
しかし、日曜日にサイバーセキュリティの専門会社を探すのは困難を極めた。ようやく連絡が取れた会社からは、こう言われた。
「現在、複数の案件を抱えておりまして……最短でも火曜日の午後になります」
「火曜日?それまで何もできないのか……」
結局、月曜日の夜になってようやく専門家が到着した。2日間のロスだった。
専門家の診断は厳しかった。
「感染範囲が広すぎます。すべてのシステムを一からクリーンインストールする必要があります」
「どのくらいかかりますか?」
「最低でも1〜2ヶ月。完全復旧は3ヶ月以上かかるかもしれません。正直に申し上げると、一人情シス体制でこの規模の復旧作業を行うのは、かなり厳しい状況です」
【セキュリティ問題⑤】外部専門家との事前連携がなかった
事故が起きてから慌てて専門家を探すのでは、初動が遅れます。火事が起きてから消防署の電話番号を調べるようなものです。平時から「何かあったときに相談できる専門家」を確保しておくことが重要です。契約を結んでおけば、緊急時にすぐ対応してもらえます。
一人情シス体制の企業こそ、外部リソースの確保が不可欠です。
【セキュリティ問題⑥】ネットワークが分離されていなかった
サーバー8台、PC約200台が一斉に感染したのは、社内ネットワークが一つにつながっていたから。
家に例えると、すべての部屋のドアが開けっ放しの状態。一カ所から侵入されたら、家中どこでも自由に歩き回られてしまいます。
重要なシステムは「ネットワークを分ける(セグメント分離)」ことで、被害の拡大を防げます。
「何ヶ月も待てない。明日から何とかするしかない」
製造部長が立ち上がった。
「紙とペンで管理しよう。昔はそうやっていたんだ」
ホワイトボードが引っ張り出された。在庫表が手書きで作られた。出荷指示書がエクセルではなく、複写式の伝票に戻った。
40年前の創業時と同じ光景だった。
この3日間で、トレノインダストリーに起きたことを整理してみましょう。
社内のサーバー8台、パソコン約200台が一斉に暗号化された
バックアップもネットワークにつながっており、暗号化されてしまい復元できなかった
侵入経路は、3年間更新されていなかったVPN機器だった
社内ネットワークは分離されておらず、被害は一気に全社に広がった
外部の専門家との事前の連携はなく、初動対応は大きく遅れた
どれも、特別な失敗ではありません。「忙しくて後回しになっていた」ことが、積み重なった結果でした。
そして何より深刻だったのは、これらの問題が“同時に”表面化したことです。
この時点で、問題は「システム障害」ではなくなっていました。事業そのものが、止まるかどうかの局面に入っていたのです。
製造ラインは、手動に切り替えて何とか動かした。しかし、効率は通常の3分の1以下。
生産管理システムなしでは、「どの部品を何個作ればいいか」が分からない。ベテラン社員の記憶と勘だけが頼りだった。
「この製品、今日何個作ればいいんだっけ?」
「たしか、月末に5000個納品だったはずだけど……」
「受注データが見れないから、確認できないんだよな……」
不良品の発生率も跳ね上がった。品質管理システムが使えず、検査記録も手書き。トレーサビリティが確保できない状態が続いた。
経理部は、給与計算の締め日を迎えていた。
「従業員の給与データ、全部消えてます……」
「タイムカードのデータもシステムに入っていたんです」
「どうやって計算すれば……」
結局、各部署に紙のタイムシートを配布し、全員に手書きで勤怠を報告してもらうことになった。
給与支払いは3週間遅れることが決まった。従業員からの不満と不安の声が上がり始めた。
営業部は、顧客からの問い合わせに答えられなかった。
「先月の注文、ちゃんと入ってますか?」
「すみません、今システムが……確認できないんです」
「いつ確認できるんですか?」
「……分かりません」
信頼は、日に日に削られていった。
「一人情シス」の佐藤は、最初の1週間でほとんど寝ていなかった。
専門会社と連携しながらサーバーの復旧作業を進め、社員からの問い合わせに対応し、経営陣への報告資料を作り……
8日目の朝、佐藤は会社で倒れた。
過労と極度のストレスによる体調不良。1週間の自宅療養を医師から命じられた。
復旧の中心人物を失い、作業は大幅に遅延した。外部の専門会社だけでは、社内システムの詳細が分からない部分も多く、佐藤の復帰を待つしかなかった。
【セキュリティ問題⑦】インシデント対応計画がなかった
「サイバー攻撃を受けたら、誰が何をするか」が決まっていませんでした。
最初に誰に報告するか?
どのシステムを優先的に復旧するか?
取引先への連絡は誰がいつ行うか?
外部への公表はどうするか?
担当者が倒れた場合の代替要員は?
これらが事前に決まっていれば、混乱は最小限に抑えられたはずです。特に一人情シス体制では、その一人が倒れた場合のバックアップ体制が不可欠です。
【補足】より深刻な「二重脅迫型」にも注意を
今回のストーリーでは、ファイルを暗号化して身代金を要求する「従来型」のランサムウェアを取り上げました。しかし近年は、暗号化の前にデータを外部に盗み出し、「支払わなければデータを公開する」と脅す二重脅迫型が主流になっています。
この場合、仮にバックアップから復旧できたとしても、顧客情報の流出という別の深刻な問題が残ります。業務停止と情報漏洩が同時に発生するため、被害の深刻さはさらに増します。
対策の基本は従来型と同じですが、「データを外に持ち出させない」という観点での対策(通信の監視など)も重要になっています。
なお、従来型・二重脅迫型いずれの場合も、身代金を支払ったからといってデータが必ず元に戻るとは限りません。支払いは「解決策」ではなく、犯罪者への資金提供につながるリスクもあります。
|
No. |
問題点 |
一言で言うと |
|
① |
一人情シス体制 |
IT担当が1人では、守りに手が回らない。倒れたら復旧も止まる |
|
② |
バックアップがネットワーク接続 |
控えの金庫も同じ部屋では意味がない |
|
③ |
VPN機器を3年間更新せず |
鍵のかかっていないドアを放置 |
|
④ |
サプライチェーン影響の未想定 |
自社だけの問題では済まない |
|
⑤ |
外部専門家との事前連携なし |
火事になってから消防署を探す状態 |
|
⑥ |
ネットワーク分離なし |
一カ所から全部屋に侵入される |
|
⑦ |
インシデント対応計画なし |
誰が何をするか決まっていない |
これらすべての問題は、「サイバーセキュリティを経営課題として捉えていなかった」という一点に帰結します。
社長の言葉が、この物語の核心です:
「サイバーセキュリティは、IT部門の仕事ではなかった。会社を守る経営の仕事だった」
必要な3つの意識転換
|
問題の根本 |
必要な意識転換 |
|
経営トップの関与不足 |
① 経営トップの直接関与 |
|
IT部門任せ(しかも一人) |
② 全社的な取り組みと適切なリソース配分 |
|
「うちは大丈夫」という認識 |
③ 「必ず起きる」という前提での備え |
この物語を、研修会社であるトレノケートが紹介しているのには理由があります。
これまで私たちは、多くの企業でサイバーセキュリティの研修や相談に携わってきました。そこで繰り返し目にしてきたのは、技術やツールだけではなく、「人」と「考え方」の問題でした。ルールや仕組みがあっても、共有されていなかったり、使われていなかったりすれば意味がありません。また、IT担当一人だけが頑張ればよいものではなく、会社全体の課題として取り組む必要があります。
トレノインダストリーの事例が示すように、サイバーレジリエンスの強化には「人」への投資が欠かせません。トレノケートでは、経営層から現場まで、立場ごとに必要な視点を整理した体系的なセキュリティ研修をご提供しています。
|
意識転換 |
推奨トレーニング |
|
① 経営トップの直接関与 |
|
|
② 全社的な取り組みと適切なリソース配分 |
|
|
③ 「必ず起きる」という前提での備え |
また、1社向けのカスタマイズや、50名以上の大規模教育向けeラーニングもご用意しています。
抽象的な課題感のヒアリングから開始し、一緒に課題を整理していくことも可能ですので、ぜひお気軽にご相談ください。
VPN機器やネットワーク機器のソフトウェアは最新ですか?
バックアップはネットワークから切り離して保管していますか?
サイバー攻撃を受けた場合の対応計画はありますか?
IT担当者が休んでも、最低限の対応ができる体制ですか?
経営層はサイバーセキュリティを「経営課題」として認識していますか?
一つでも「いいえ」があれば、今日から対策を始めてください。
「まだ大丈夫」な今こそが、備えを考えられる最適なタイミングかもしれません。