#1030 侵入手口はリモートデスクトップソフト ～ トンボ飲料にランサムウェア攻撃

今回は、ある飲料メーカーで発生したランサムウェアによる不正アクセス事件の最終報告について取り上げます。この事件では、インターネット経由で操作可能なリモートデスクトップソフトウェアが侵入の糸口となりました。企業において便利なリモートワーク環境を支えるシステムが、一転して深刻な脅威を招くリスクについて考えていきます。リスナーの皆様には、この事例を通じて、自社のサーバーやパソコンがどのように外部から狙われる可能性があるのか、そして被害を防ぐためにどのような監視や対策が必要になるのか、具体的な防御のポイントを学んでいただける内容となっています。

ある飲料メーカーにおいて1月15日に発覚したサイバー攻撃についての最終報告ですね。概要としては、同社が管理するサーバーがランサムウェアの被害に遭い、会計ソフトに登録されていた仕入先の銀行口座情報が流出した可能性が確認されました。原因となる侵入手口は、外部からパソコンを操作できるリモートデスクトップソフトウェアでした。同社は初動対応として、警察や外部の専門家と連携し、システムの隔離と調査を実施しています。そして再発防止策として、全社的にセキュリティ製品を更新し、24時間体制での監視と検知のプロセスを強化することで、現在は安全な環境を復旧させています。

リモートデスクトップソフトウェアとは、離れた場所からネットワークを経由して、別のパソコンの画面を呼び出し、直接操作できる仕組みのことです。例えば、自宅から会社のパソコンに接続して仕事をする際などによく使われます。非常に便利なツールですが、インターネット上に設定をそのまま公開してしまうと、悪意のある第三者からもアクセス画面が見えてしまいます。そこへパスワードの推測攻撃などを仕掛けられ、突破されてしまうと、社内のネットワークに堂々と侵入されてしまうため、厳格なアクセス制限が欠かせない技術なのです。

まずは社内のパソコンやサーバーに、管理者が把握していないソフトウェアが勝手にインストールされないよう、権限を制限することが重要です。今回の事例でも、なぜそのソフトが入っていたのかは引き続き調査中とのことですが、従業員が個人的にインストールしてしまうケースや、攻撃者が別の小さな隙を突いて侵入し、後から操作用のソフトを仕掛けるケースがあります。そのため、社内ネットワークの通信を常に監視し、許可されていない外部との通信や、未知のソフトウェアの動きを素早く検知して遮断する仕組みが根本的な対策となります。

一般的にランサムウェアによる攻撃は、ある日突然サーバーのデータが暗号化され、画面に身代金を要求するメッセージが表示されることで発覚します。この企業は1月15日に被害を検知し、わずか5日後の1月20日には第一報として、攻撃の事実と情報流出の可能性を迅速に公表しました。そして今回、3月2日に外部専門家の調査を終えて最終報告を行っています。被害の全容が分からない初期段階でも、まずは関係者への注意喚起を優先して公表し、その後に詳細な調査結果を改めて報告する姿勢は、インシデント対応として非常に適切だと言えます。

仕入先の銀行口座情報が流出した場合、直接的にお金が引き出されるわけではありませんが、振り込め詐欺やフィッシング詐欺などの標的にされるリスクが高まります。例えば、攻撃者がその飲料メーカーを装い、仕入先に対して支払先の口座が変更になったという偽のメールを送りつける手口などが考えられます。口座番号などの正確な情報を知っている相手からの連絡は信用してしまいやすいため、二次被害を防ぐためには、流出した可能性のある関係企業に対して状況を素早く共有し、不審な連絡に注意するよう呼びかけることが最も大切な対応となります。

自社のネットワーク環境において、外部から接続できる入り口がどこにあり、どのような状態で公開されているかを、改めて徹底的に洗い出すことの重要性です。テレワークの普及により、VPNなどの接続環境を急いで構築した結果、設定の甘い機器が放置されているケースが少なくありません。便利な機能は、常にリスクと隣り合わせであることを認識し、定期的にセキュリティ設定を見直すこと。そして万が一侵入されたとしても、早期に発見して被害を最小限に食い止めるための監視システムを導入することが、今後の企業防衛において必須の教訓となります。