ランサム被害のレポートを紹介します。
この記事は、多くの報告の中でも出色の被害詳細と対策内容の報告なので、２ページものを一つにまとめて紹介します。

ランサム被害では、2025年発生の、無印良品、アスクル、アサヒグループなど名だたる企業でシステム障害や物流停止が発生。
また、ランサムウェア攻撃で電子カルテが停止した半田病院など、まさに企業や組織の業務を支えるインフラが破壊されている。
DXが普及しCPUで仕事を行うことが普通になった現在、業務のインフラが破壊されることの影響は甚大だ。
BCPが要求されるが、最も発生可能性の高いBCP案件だ。

さらに、最近では取引先大企業からサイバー攻撃への防御要求や、システム対策の詳細な調査要求も出てくるようになった。

被害受けると、システムのプログラム・データ・バックアップ、全てがランサムに感染し暗号化され失われるという。
最近では、「盗まれたデータを公開するぞ」とか、「復旧協力する」として大金を要求する「恐喝」も行われているという。

一方で、CPUがランサムなどサイバー攻撃を受けないようにするためのシステム構築に必要な人材や機材や資金の不足も深刻だ。
このレポートが、そうしたことへの対策の一助になることを期待する。

executive.itmediaの記事を下記引用して紹介する。

理解のための用語解説
Active Directory（アクティブディレクトリ、通称 AD）
　「組織内のユーザーやPCなどの情報を一箇所でまとめて管理する仕組み」
　サーバー上で「誰がどのPCを使えるか」を一括管理します。社員はどのPCからでも自分のIDでログインでき、管理者は自分の席から全PCの設定を変更できます。

Active Directory　主な4つの機能

1. 一括認証（シングルサインオン） 一度ログインすれば、社内の共有フォルダやプリンター、対応する業務アプリなどに個別にログインし直す必要がなくなります。

2. 権限管理（アクセス制御） 「総務部の人はこのフォルダを見れるが、他部署の人は見れない」といった制限を、ユーザーグループ単位で簡単に設定できます。

3. デバイスの一括設定（グループポリシー） 「全社員のPCのデスクトップ壁紙を統一する」「USBメモリの使用を禁止する」「Windows Updateを強制する」といった設定を一斉に配信できます。

4. 資産情報の管理 「どのPCがどこにあるか」「誰にどのライセンスを割り当てているか」といった情報をデータベースとして保持します。

SSL-VPN（Secure Sockets Layer – Virtual Private Network）　
　「Webブラウザで使われる暗号化技術（SSL/TLS）を利用して、社外から社内ネットワークへ安全に接続する仕組み」

 

https://mag.executive.itmedia.co.jp/executive/articles/2601/28/news016.html

「ごく普通の会社」がランサムウェア被害で直面した損失と再生の記録――菱機工業

小川弘幹氏ITmedia エグゼクティブセミナーリポート

初期対応後、今回のインシデントの経験からシステムには4カ所の急所があったと判断し、そこを重点的に対処していった。

2026年01月28日 07時02分 公開

[高橋睦美，ITmedia]

菱機工業 経営企画部システム企画課リーダー 小川弘幹氏

 

IT専門でもなければ大手企業でもない、ごくごく普通の企業がランサムウェアに感染してしまったら、一体何が起こるのだろうか。

　石川県金沢市と東京に本社を置く菱機工業は2022年11月にランサムウェア「LockBit 2.0」に感染した。さまざまな知恵と工夫を凝らし、周囲の協力を得て通常運用に戻るまで数カ月の期間を要したという。

　同社経営企画部システム企画課リーダーの小川弘幹氏は「ぜひこうした苦い体験を共有することで再発防止に生かしてほしい」という思いから、手探りで対策に当たった生々しい経験を「被害企業が明かす、ランサムウェア攻撃の経済損失と復旧対応の実態」と題して語った。

リプレースを先延ばしにしたSSL-VPN装置から侵入、深夜に感染被害が発覚

　菱機工業は昭和29年に創業し、病院や宿泊施設、商業施設などの空調設備・給排水設備の工事やメンテナンスを手がけている。従業員数は400人弱で、石川県を中心に東日本エリアに約15の拠点を展開している。ごくごく普通の、日本のどこにでもあるような企業と言えるだろう。

　同社では少しずつデジタルトランスフォーメーション（DX）を進めてきていた。もっとも、まだパブリッククラウドが「当たり前」とは言いがたいタイミングに基幹システムの刷新が重なったことから、オンプレミス環境にコンバージドインフラを導入し、運用してきたという。

　そんな同社がランサムウェアに感染したのは2022年11月17日、0時58分という真夜中のことだった。

　最近のランサムウェア攻撃でも、外部に面したVPN機器やリモートデスクトップ接続（RDP）から侵害されて社内に入り込まれ、Active Directoryを乗っ取られて、端末やサーバに導入していたさまざまなセキュリティ対策が無効化された上でランサムウェアに感染、システムが正常に動作しなくなるという経緯をたどるケースが典型的だ。

　菱機工業のインシデントも、まさにその通りのシナリオをたどった。

　小川氏によると、当時利用していたSSL-VPN装置経由で侵入され、Active Directoryの特権アカウントの情報を詐取されてアンチマルウェアソフトを無効化され、たった6時間程度でドメインに参加していた各サーバやクライアントにランサムウェアが流し込まれ、多数が暗号化された。

　そして、他の企業や病院での感染被害と同じようにPCの画面にランサムノートが表示され、脅迫文が社内のプリンターから紙がなくなるまで吐きされ続けたという。

　この結果、ファイルサーバや支店サーバをはじめ、Active Directoryに参加していたサーバのほとんどが被害を受けた。バックアップも取得してはいたが、「一部支店と営業所設置ファイルサーバにおいて、保存先がUSB接続のハードディスクになっていたため、ほとんどのバックアップファイルも同様にやられてしまいました」（小川氏）。

　幸い、アプリケーションサーバのバックアップには被害が及ばずリストアできたが、一方でデータの2割強は今も復旧できていないという。

　また、物理PC12台のほか、仮想デスクトップも被害を受けた。常時電源をオンにしていたこともあり、200台強のうち約3分の1に当たる70台が感染被害を受けてしまったという。

　菱機工業が感染したランサムウェアは、当時、国内の複数の組織や医療機関にも被害を及ぼしていたLockBit 2.0だった。

　「運用側として最も悔やまれることは、SSL-VPN装置のリプレースのタイミングを誤ったことです。この年の7月に機器の更新時期が到来しており、ベンダーに更新を依頼したところ、納期が6カ月以上かかるという回答を受けて手配を待つ判断を下しました。あのとき別のメーカーに変えてもいいから新しい機器を導入するという判断をすればよかったと考えています」と、小川氏は率直に振り返った。

　加えて、仮に機器を最新のものに入れ換えなかったとしても、物理機器の代わりに仮想アプライアンスで対応したり、二要素認証を追加してなりすましログインを防ぐ仕掛けを導入したり、あるいはMACアドレスによるアクセス制御を追加するといった手を打っていれば、被害を防げた可能性は高かったとした。

　実は同社は、数社に見積もりを取りながらサイバー保険の加入も検討していたという。しかし「一通り施策ができあがったら加入しよう」と考えているうちに被害を受けてしまった。この経験を踏まえると、「施策が完璧にできていなくても、保険加入は急いだ方がいいかもしれない」という。

社内の大部屋に緊急サイトを設け、制限された形でなんとか業務を継続

　菱機工業では11月17日の被害を受け、早速復旧に取りかかった。

　しばしばインシデント対応訓練では、大部屋に机とホワイトボードを並べ、関係者が顔を突き合わせて対応に当たる、という場面が見られる。菱機工業も、70人程度が詰めることができる社内で一番大きな部屋に机を並べ、対応に取り組んだ。

　部屋の中には、サーバ復旧エリアやクライアント復旧エリアのほか、基幹システムの入力エリアと積算システムの入力エリア、人給システム等入力エリアという3つの島を設けてバックアップから重要なシステムをリストアし、これらをつなぐ閉じたネットワークを構築して、この部屋の中だけで業務を行う形とした。データ入力を支援する派遣社員も依頼したという。

復旧対応

　菱機工業の社内システム担当チームは5人だったが、これだけの被害からの復旧作業にはとても手が足りない。そこで設計部門をはじめ、いろいろな部署のコンピュータに詳しい人に片っ端から声をかけ、手伝いを依頼した。

　サーバ復旧に加え、クライアントの再構築・クリーンインストールといった作業を手分けして行う一方で、取引先や石川県警、個人情報保護委員会やIPAといった関係機関への連絡を進めていった。

　外部のセキュリティベンダーにも協力を仰いだが、残念ながら、経験がなかったり、人手が足りないといった理由から断れたところもあったという。幸い、ある企業からベテランのシステムエンジニア2人の協力を得ることができ、主にネットワーク周辺の整備やActive Directoryのサーバ再構築といった専門性が求められる領域をサポートしてもらった。

　初期対応を済ませ、対策サイトで基幹システムを復旧させてデータを入力できる体制を整えた後は、再発防止策を進めていった。小川氏らは、今回のインシデントの経験からシステムには4カ所の急所があったと判断し、そこを重点的に対処していったという。

守るべきポイントの考察、4カ所の急所

　1つ目はSSL-VPNによるリモートアクセス環境だ。「脆弱性対策が貧弱だったために侵入を許した」という反省から、SSL-VPNからZTNAへ移行し、同時に、デバイスの状況を確認し、承認したもの以外からのアクセスを遮断するデバイスポスチャ機能も追加した。

　2つ目は、Active Directoryの管理者アカウントが詐取されてしまったことだ。これにより、ドメインに参加していた多くのサーバやPCが被害に遭ってしまった。そこで、不審なログオンが繰り返し発生している、通常ならばアクセスしないはずの時間にアカウントが作業しているといった状況があれば、遠隔から当該アカウントを無効化させる、Active Directoryの監視サービスに加入した。

　3つ目は、侵入された後に拡散を防止する仕組みが存在しなかったことだ。対策としてEDRを導入し、さらにマネージドサービスに加入した。「当社以外にも数例の被害事例を聞いていますが、いずれも休み明けに被害が発覚したと聞いています」（小川氏）ということから、夜間や休日でも不審端末をネットワークから遮断できる体制を整備した。さらに、メール検疫サービスやセキュアWebゲートウェイも導入して強化している。

　4つ目のポイントはバックアップデータだ。特に、支店に設置したサーバでは、バックアップをUSB接続でハードディスクに保存していたため、ひとたびサーバ本体に侵入されればバックアップも同様に暗号化される状態となっていた。そこでのバックアップについては、イミュータブルバックアップシステムを導入した。念には念を入れて、バックアップデータのファイルの改変履歴などを分析し、ランサムウェアなどに侵害されている可能性がないかどうかを検知するオプションも導入した。

　こうして、「もし導入していれば、被害を矮小化できたはず」といった部分に、着実に手を打っていった。

　　　　

被害額はトータルで2億規模に、痛感したバックアップの重要性

　では、この攻撃によって菱機工業の業務や業績にはどのような影響が生じたのだろうか。小川氏はそれもまとめている。

　前述の通り、緊急サイトにシステムをリストアし、入力作業が可能な場所を物理的に1つの部屋に制限する状況が、11月17日の被害発生から同年末まで続いた。さらに、リモートアクセスに関しては根本的な見直しを加えることとし、翌年3月中旬まで実施できない状態となった。取引先の中にはデータ共有のためにクラウドストレージを利用するケースもあったが、それも対策が完了するまでは接続が制限されるなど、通常通りに業務ができない状態が長く続いた。

　通常通りに社内システムが利用できるようになるまで一カ月半はかかり、この間の業務パフォーマンスは、通常時の50％くらいだった。

　ただ幸いなことに、「ランサムウェア被害が原因で失注した案件はないと聞いています。数百社に上った請負先に対し、注文期日を1回後ろ倒しして、2週間後に変更するよう依頼したケースはありましたが、支払だけは守り抜きました」（小川氏）

　また、上層部が年末の挨拶がお詫び行脚となる事と思い各社を訪問した際も、「大変な目に遭いましたね」と、むしろ同情的な声を多くもらったという。加えて「実際にどういった経験をしたか共有してほしい」という言葉もあり、それが今回の講演にもつながっているとした。

　ランサムウェア感染による経済的な損失は、まず、フォレンジックや復旧対応、再発防止に向けたベンダーからの支援費用やサーバの再構築などに要した直接的な費用として、約3000万円の臨時予算を取り、これをほぼ使い切った。ここに、新たなシステムやサービスの導入といった再発防止策も追加したことで、7000～8000万円の費用がかかり、これれらに業務パフォーマンスの低下に伴う人件費などを加えると、2億を超える額になる。

　そして、後からでもある程度は進捗を取り戻せる建設業の性質上、影響はこの程度にとどまったが、小売りや製造業の場合はさらに損失が積み上がる可能性があると指摘した。加えて、大量の個人情報を保有している場合には、見舞金や顧客・取引先に対する損賠賠償によってさらに損害が生じるリスクもある。

　ただ、こうした事態に備え、例えばNISTのサイバーセキュリティフレームワークに沿って包括的な対応を実施したくても、中堅・中小企業では絶対的にリソースが足りない。「対策を全方位的に実施するのはとても困難であり、有事対応が中心になってしまう現状があります」（小川氏）というのが実情だ。

　そんな中でも推奨したい対策として小川氏が挙げたのが、バックアップだ。必ずしも高額なソリューションを導入せずとも、必要とするデータの鮮度や量によっては、シンプルな仕組みで、かつコストを抑えながらバックアップを導入することができる。

　一般に経営層や役員からは「セキュリティ施策はお金ばかりかかる」と受け止められがちだ。だが、ランサムウェアに感染した同社の場合、システムが止まって仕事にならない状態となり、人件費だけで一日1000万円が飛んでいった。このように、もし業務が停止したらどのぐらい損失が生じるかをそれぞれの会社で思い描くことで、施策に納得してもらいやすくなるでしょう。また、災害に備えたBCPをすでに検討している場合には、そこで算出した数字も参考になるとアドバイスした。

　「実際に被害を受けてみると、未然に防ぐのは困難な状況があると思います。当社とは桁違いに大きな企業でも被害を防ぐことはできていません。そんな中でわれわれにまずできることは、バックアップデータを守り切る、ということかもしれません」と小川氏は述べ、バックアップの重要性を繰り返し強調した。