韓国で発生した大規模サプライチェーンランサムウェア攻撃
2025年9月、韓国で深刻なサプライチェーン攻撃が発生しました。電算設備企業のGJテックが国際ランサムウェア組織「チーリン」の標的となり、その結果として20社以上の資産運用会社が連鎖的に被害を受ける事態となっています。
現役CSIRTメンバーとして数多くのインシデント対応に携わってきた経験から言えば、この事例は典型的なサプライチェーン攻撃の危険性を如実に示しています。一つの重要なサービスプロバイダーが攻撃されることで、その顧客企業群が芋づる式に被害を受けるパターンです。
被害の詳細と規模
今回の攻撃で確認されている被害状況は以下の通りです:
- マジェスティ資産運用、ベンコアインベストメンツ資産運用などが個人情報保護委員会に被害を申告
- オーサム資産運用が公式サイトでランサムウェア感染による個人情報流出の可能性を公表
- 金融当局の確認では最低20社の資産運用会社がハッキング被害を受けている
- 攻撃者側は「有名政治家と事業家の名前を含んだ顧客データを確保した」と主張
フォレンジック調査の観点から見ると、これほど多数の企業が同時期に同じ手法で被害を受けるケースは、確実にサプライチェーン攻撃を示唆しています。
チーリン組織とランサムウェア攻撃の手口
チーリン組織の特徴
今回の攻撃を実行した「チーリン」は、近年活発化している国際ランサムウェア組織の一つです。彼らの手口には以下のような特徴があります:
- 企業のシステムやデータを暗号化し、復号化と引き換えに身代金を要求
- 重要インフラやサプライチェーンの要所を狙い撃ち
- 攻撃後に盗取したデータの一部を公開して心理的圧迫を加える
- 複数の企業を同時攻撃することで影響力を最大化
実際の事案分析では、このような組織化された攻撃グループは事前に綿密な偵察を行い、最も効果的な攻撃経路を選定していることが分かっています。
サプライチェーン攻撃の恐ろしさ
今回のGJテックのケースが示すように、サプライチェーン攻撃は以下の理由で極めて危険です:
1. 被害の連鎖性
一つの重要なサービスプロバイダーを攻撃することで、その顧客企業すべてに影響を与えることができます。攻撃者にとって「効率の良い」攻撃手法なのです。
2. 発見の遅れ
各企業は自社のセキュリティには注意を払いますが、外部サービスプロバイダーのセキュリティ状況までは詳しく把握できません。そのため攻撃の発見が遅れがちです。
3. 対応の複雑化
複数企業が同時に被害を受けるため、調査・対応が複雑化し、時間もコストも膨大になります。
中小企業が直面するサプライチェーンリスク
実際に見た中小企業の被害事例
私がフォレンジック調査で関わった中小企業の事例をご紹介します。ある製造業のお客様は、会計ソフトウェアのベンダーがランサムウェア攻撃を受けたことで、自社の財務データが暗号化される被害に遭いました。
この企業では:
- 月次決算処理が2週間停止
- 顧客への請求書発行に大幅な遅れ
- 復旧費用として約200万円の出費
- 取引先からの信頼回復に半年以上を要した
中小企業の場合、このような被害は経営に直結します。大企業のように豊富なIT予算や専門人材を持たないため、一度の攻撃で事業継続が困難になるケースも少なくありません。
個人事業主・フリーランスのリスク
個人レベルでも、クラウドサービスやオンラインツールの利用が当たり前になっている現在、サプライチェーン攻撃のリスクは身近なものです。
例えば:
- クラウド会計サービスの障害で確定申告ができない
- ファイル共有サービスが攻撃され、顧客データが流出
- メール配信サービス経由でマルウェアが拡散
これらのリスクから身を守るには、多層的な防御戦略が必要です。
効果的な対策と予防策
基本的なセキュリティ対策
まずは基本となる対策を確実に実施することが重要です:
1. アンチウイルスソフト
の導入
定義ファイルの自動更新機能があり、リアルタイムスキャンが可能な製品を選択してください。最新の脅威にも対応できる製品選びが肝心です。
2. 定期的なバックアップ
ランサムウェア攻撃を受けても事業継続できるよう、重要データの定期バックアップは必須です。バックアップデータは攻撃者の手の届かない場所に保管しましょう。
3. セキュリティ更新の徹底
OS、ソフトウェア、プラグインのセキュリティ更新は速やかに適用してください。多くの攻撃は既知の脆弱性を悪用しています。
サプライチェーン特有の対策
1. ベンダー評価の実施
利用するクラウドサービスやソフトウェアベンダーのセキュリティ体制を定期的に確認しましょう。セキュリティ認証の取得状況や過去のインシデント履歴をチェックすることが大切です。
2. 契約書でのセキュリティ要件明記
ベンダーとの契約時に、セキュリティインシデント発生時の責任範囲や連絡体制を明確にしておきましょう。
3. VPN
による通信の暗号化
特に外部サービスとの通信では、VPN
を使用して通信経路を暗号化することで、データの盗聴や改ざんを防ぐことができます。
Webサイト運営者向けの対策
Webサイトを運営している場合は、Webサイト脆弱性診断サービス
を定期的に実施することをお勧めします。サプライチェーン攻撃では、Webサイトの脆弱性を突いて侵入されるケースも多く見られるためです。
インシデント発生時の対応手順
初期対応のポイント
もしもサプライチェーン攻撃の被害を受けた場合の対応手順をお伝えします:
1. 被害範囲の把握
まずは影響を受けたシステムやデータの範囲を迅速に特定してください。感染の拡大を防ぐため、被害システムをネットワークから隔離することも重要です。
2. 証拠保全
フォレンジック調査に備えて、可能な限り証拠を保全してください。ログファイルやシステムイメージの取得が理想的ですが、少なくともスクリーンショットや時系列のメモは残しましょう。
3. 関係者への報告
個人情報の流出可能性がある場合は、法的要件に従って関係機関への報告を行ってください。また、取引先や顧客への連絡も迅速に行いましょう。
4. 専門家への相談
復旧作業や原因調査には専門的な知識が必要です。無理に自社で対応しようとせず、セキュリティ専門企業やフォレンジック調査会社に相談することをお勧めします。
今後の展望と教訓
今回の韓国での事例は、デジタル社会における相互依存の脆弱性を浮き彫りにしました。一つの企業への攻撃が20社以上に連鎖的な被害をもたらすという現実は、もはやサイバーセキュリティが個別企業の問題ではなく、社会インフラの問題であることを示しています。
個人レベルでも、利用するオンラインサービスの選択には十分な注意が必要です。便利さだけでなく、セキュリティ面での信頼性も重視した選択を心がけましょう。
特に重要なのは、「完璧な防御は存在しない」という前提に立った対策です。攻撃を完全に防ぐことは困難ですが、被害を最小限に抑え、迅速に復旧できる体制を整えておくことが現実的なアプローチと言えるでしょう。
