SPECIAL
追跡!ネットアンダーグラウンド

プリンターが止まらない 戦慄のランサムウエア 被害企業が語った

2021.11.09 :

プリンターから、突如、大量の紙が出てきた。止まらない。

紙には「あなたの会社のデータは盗まれ、暗号化された」という脅迫のメッセージ。

ことし8月、日本国内の企業で実際に発生した、身代金要求型のサイバー攻撃だ。

これ以上、被害を増やさないためにと、その企業が取材に応じてくれた。

いま何が起きているのか。

地方の産業を支える企業にサイバー攻撃

東北地方にある中堅の食品加工会社。

ことし8月、システム担当者の男性が、出勤して異変に気づいた。
(システム担当の男性)
「基幹システムが起動できない。どうもアイコンが変わっているちょっと変だぞ」
パソコンの画面をクリックして、ファイルを調べると、取り引きデータのファイルがすべてLockbitというファイル名に書き換えられていた。


クリックしても「問題が発生しました」と表示され、開くことができない。
その直後、複数の部署から、次々と連絡が入った。

「取引などに使用する基幹システムが使えない」
対応に追われていた昼過ぎ、さらに異様な事態が起きた。

突然、プリンターが、大量の印刷物を吐き出し始めたのだ。
「あなたの会社のデータは盗まれ、暗号化された。このままだと闇サイトに公開されることになる」
ハッカー集団からの犯行声明。脅迫のメッセージだった。

印刷物は、社内のほかの拠点のプリンターからも一斉に出てきた。

システム担当者は、ただちに、プリンターの電源を切るよう、各部署に指示した。

プリンターは、ふだんインターネットには直接つながっていない、いわゆるイントラのプリンターだった。
「ネットワーク全体に感染したんだなと思いました。
まさか、うちにもこういうことが起きるなんて、非常に怖かったです」
この会社では、警察のアドバイスに従い、ハッカー集団とは、やりとりをしないことにした。

その後、更新していなかったソフトウエアを狙われた可能性があることが分かった。

システムは今も復旧していない。

取引の処理をすべて手入力で行うなど業務の負担は格段に増えている。
(事務担当の女性)
「1時間で終わったものが半日かかったり1日でも終わらないときもある。どういうふうにやっていけばいいのか不安がある。」
この会社は、東日本大震災の津波で壊滅的な被害を受けた。

パソコンなどもすべて流された。

10年をかけ復旧を進めてきたが、今回の被害は、その震災の被害に匹敵すると、担当者は話した。
(システム担当の男性)
「震災を思い出しました。絶望感というか悲壮感というか、なぜ当社がこういう被害にあうんだろう。元に戻す労力と時間と費用を考えると本当にばく大な費用がかかります。本当にお願いだから元に戻してくれという気持ちです」

誰が攻撃したのか?Lockbit2.0

この会社を攻撃したのは何者なのか。

私たちは、身代金要求型のサイバー攻撃に詳しい、三井物産セキュアディレクションの吉川孝志さんに分析を依頼した。

闇サイトの調査などから、その正体は、ハッカー集団Lockbit2.0だと分かった。

ハッカー集団は、「ランサムウエア」と呼ばれる、身代金要求型のコンピューターウイルスを使って攻撃する。

企業などが狙われ、感染すると、データがロックされて開けなくなり、ハッカー集団は、「元に戻して欲しければ身代金を払え」と脅すのだ。

吉川さんは、Lockbit2.0が、盗んだ情報を公開する闇サイトを見せてくれた。

赤色を基調とした、企業のホームページのような画面に、さまざまな会社の名前が載っている。
被害にあった企業の名前だ。

画面にはカウントダウンの表示もあった。

盗んだデータを公開するまでの残り時間を示していた。
速やかに身代金を支払うよう、脅しているという。

ハッカー集団の手口を知る上で欠かせないのが、彼らが使う、攻撃プログラムの解析だ。

Lockbit2.0のプログラムは、日本有数の解析能力を持つ吉川さんをてこずらせるものだった。

プログラムには、解析を妨害する仕掛けもあったが、吉川さんは、2か月かけて解析に成功した。
解析結果を説明する吉川孝志さん
Lockbit2.0の攻撃の特徴は、そのスピードにあった。

彼らは自身のページ上で、他のグループよりも速いことを誇示して、攻撃の実行役を募っていたが、解析してみると、実際に速いことがわかった。

ファイル全体ではなく、一部だけを暗号化するなど、複数の仕組みで、高速化をはかっていたという。

今回、感染が確認された会社では、ネットワーク上のすべてのパソコンのファイルが使えなくなっていたが、基幹サーバーを乗っ取ったあと、間を置かずに、ほかのパソコンへの感染も自動的に行うようプログラムされていた。
暗号化されたファイル
吉川さんは、企業が気づく前に攻撃を完了させる意図を強く感じるという。
(吉川さん)
「これまでのランサムウエアを使った攻撃では、ファイルを使えないようにする暗号化の作業にそれなりの時間がかかるものだった。攻撃に時間がかかると、企業側が途中で気づいてシステムをシャットダウンするなど防御策をとる。そうすると攻撃は失敗するが、Lockbitの場合、攻撃が極めて速い。いままでより凶悪な攻撃だと言える」

Lockbit2.0に接触

今回、私たちは、ハッカー集団、Lockbit2.0への接触を試みた。

ロシア語圏で活動しているとみられ、情報セキュリティー会社・テリロジーワークスの現地調査員を通じて取材ができた。
ロシアの調査員とのやりとり
Q:なぜ中小企業を攻撃しているのか?
(Lockbit2.0)

「われわれは見つければどんな企業だって攻撃する」

「コロナ禍で多くの従業員が私用パソコンで在宅勤務をするようになった。私用パソコンはセキュリティが弱く、企業にアクセスする認証情報を簡単に盗める」
Q:日本企業を狙っているのか?
(Lockbit2.0)

「われわれは日本企業を専門的に狙っているわけではない。しかし、リモート接続をぜい弱なまま使い、単純なパスワードを使っているところも多く狙い目だ」

ランサムウエアのサイバー攻撃 今後はどうなる

「Lockbit2.0」のような、身代金を支払わないとデータを公開すると脅すハッカー集団は、分かっているだけでも世界で40ほど存在している。

この1年の間に、日本でも被害が相次いでいる。

東芝テックや鹿島建設、キーエンスなど、業種や規模を問わず、さまざまな企業や組織が狙われている。

アメリカではことし5月、石油パイプラインがサイバー攻撃を受け、ガソリンの提供が一時的にストップする事態も起きた。

攻撃は犯人が国外から行われるため、警察の捜査も容易ではなく、対策には国際的な協力が必要だ。

アメリカのバイデン大統領は、先月、日本を含めた30か国に呼びかけ対策会議を開くなど、ランサムウエアのサーバー攻撃を行うハッカー集団への対決姿勢を強めている。
ことし9月28日には、ウクライナ警察が、ハッカー集団の拠点を摘発。

突入した部屋からは、大量の米ドル札が見つかった。

捜査には、アメリカのFBI=連邦捜査局や、フランス警察、インターポール=国際刑事警察機構なども協力した。

国際的な捜査協力による摘発が進む可能性がある一方、ハッカー集団側も、名前を変えたり、離合集散を繰り返したりしながら、攻撃を続けている。

新たな被害を出さないためには、国や企業が情報を速やかに共有し次の攻撃を防ぐ仕組みを作っていくことが重要だ。

世界的に被害が止まらない中、日本に住む我々も、わがごととして、脅威と向き合う必要がある。   

ご意見・情報をお寄せください

札幌放送局記者

黒瀬総一郎

2007年入局。岡山局、福岡局を経て2014年から科学文化部で海洋や天文のほか、サイバーセキュリティーやAI倫理、ネット社会の問題を中心に取材。また、全国の水辺を巡って、ウナギやサンゴなど、生態系の保全や資源管理に関する取材を続けてきた。2021年からは札幌放送局で、北海道の自然環境やデジタルに関する取材を進めている。川で取ってきたニホンウナギを、長年、自宅で飼育し、体長は80センチに(すでに死亡)。

黒瀬総一郎記者の記事一覧へ

おはよう日本

村上隆俊

おはよう日本 ディレクター

村上隆俊記者の記事一覧へ

記事の内容は作成当時のものです

SPECIAL一覧に戻る