はるやまホールディングスを襲ったランサムウェア攻撃の深刻さ
2025年6月30日、紳士服大手のはるやまホールディングスが発表したシステム障害は、典型的なランサムウェア攻撃の事例として注目されています。現役のCSIRTメンバーとして数多くのインシデント対応に携わってきた経験から、この事件の詳細と企業が取るべき対策について解説します。
今回の攻撃では、グループの複数サーバーに保存されていた業務データや業務用ソフトウェアが暗号化され、完全にアクセス不能な状況に陥りました。これにより、ポイントサービス、オンラインショップ、スマートフォンアプリなどの顧客向けサービスが全面停止。まさにビジネス継続性を脅かす深刻な被害となっています。
ランサムウェア攻撃の実態とは
ランサムウェアは、企業のシステムに侵入して重要なデータを暗号化し、復号化の対価として身代金を要求するマルウェアです。近年、その手口はより巧妙化しており、単なる暗号化にとどまらず、データを窃取して公開すると脅迫する「二重脅迫」も増加しています。
実際に私がフォレンジック調査を担当した中小企業のケースでは、攻撃者が3か月間システム内に潜伏し、バックアップサーバーまで暗号化してから攻撃を実行していました。このような計画的な攻撃により、復旧に6か月以上を要し、売上への影響は数億円規模に及びました。
企業が直面するサイバー攻撃の現実
実際の被害事例から見る攻撃パターン
私が関わった事例では、以下のような攻撃パターンが多く見られます:
ケース1:製造業A社(従業員200名)
フィッシングメールから始まった攻撃により、生産管理システムが完全停止。復旧まで2週間を要し、顧客への納期遅延が発生。損失額は約5,000万円に上りました。
ケース2:小売業B社(店舗数50店舗)
リモートデスクトップの脆弱性を突かれ、POSシステムと在庫管理システムが暗号化。クレジットカード情報の漏洩も疑われ、対応費用だけで1億円を超える事態となりました。
ケース3:医療法人C(病床数100床)
電子カルテシステムが暗号化され、緊急患者の受け入れを一時停止。患者の生命に関わる深刻な状況となり、社会的な信頼失墜も招きました。
はるやま事例の特徴的な点
今回のはるやまホールディングスの事例で注目すべきは、「グループの複数サーバー」が同時に攻撃されていることです。これは攻撃者が相当な時間をかけてネットワーク内を探索し、重要なシステムを特定してから一斉攻撃を仕掛けたことを示しています。
このような組織的な攻撃に対しては、従来の境界防御だけでは限界があります。システム内部での不審な動きを検知し、早期に封じ込める「ゼロトラスト」的なアプローチが必要不可欠です。
個人・中小企業が今すぐ実践すべき対策
基本的なセキュリティ対策の重要性
多くの中小企業では「うちは狙われるほど大きくない」と考えがちですが、実際は逆です。セキュリティ対策が不十分な中小企業こそ、攻撃者にとって格好のターゲットなのです。
まず最も重要なのは、エンドポイント(個々のPC)レベルでの防御力強化です。従来のパターンマッチング型のアンチウイルスソフト
では検知できない新種のマルウェアに対しても、AIを活用した行動分析型の製品であれば、不審な動きを早期に発見できます。
リモートワーク時代のセキュリティ課題
コロナ禍以降、リモートワークが常態化する中で、新たなセキュリティリスクが浮上しています。自宅のネットワーク環境や個人デバイスの使用により、企業の境界が曖昧になっているのです。
この課題に対する有効な対策の一つがVPN
の活用です。リモートアクセス時の通信を暗号化し、たとえ攻撃者が通信を傍受しても内容を読み取れなくします。また、地理的な制限機能により、不審な地域からのアクセスをブロックすることも可能です。
バックアップ戦略の見直し
ランサムウェア攻撃への最も確実な対策は、適切なバックアップ体制の構築です。しかし、単にバックアップを取るだけでは不十分です。
私が推奨するのは「3-2-1ルール」です:
– 3つのコピーを保持
– 2つの異なる媒体に保存
– 1つはオフラインまたは別の場所に保管
特に重要なのは、ネットワークから物理的に切り離されたオフラインバックアップの存在です。攻撃者がシステム内に長期間潜伏していた場合、ネットワーク接続されたバックアップも汚染されている可能性があるためです。
フォレンジック調査から見えてくる攻撃の手口
初期侵入の手法
私が手がけたフォレンジック調査の約70%で、初期侵入の原因はフィッシングメールでした。巧妙に偽装されたメールにより、従業員が悪意のあるファイルを開いてしまうケースが後を絶ちません。
最近の傾向として、攻撃者は特定の組織や個人を標的とした「スピアフィッシング」を多用しています。LinkedIn等のSNSから収集した情報を基に、実在の取引先を装ったメールを送信するため、従来のセキュリティ教育だけでは対応が困難です。
権限昇格と横展開
システムに侵入した攻撃者は、まず権限の昇格を試みます。管理者権限を奪取することで、より多くのシステムにアクセス可能となるためです。
その後、ネットワーク内を横展開し、重要なサーバーやデータベースを探索します。この段階で適切な監視体制があれば、異常なアクセスパターンを検知できるのですが、多くの中小企業では十分なログ監視が行われていないのが現状です。
被害を最小限に抑えるインシデント対応
初動対応の重要性
サイバー攻撃の被害を最小限に抑えるためには、初動対応が極めて重要です。攻撃を検知した際の対応手順を事前に定めておき、関係者全員が迅速に行動できる体制を整備しておく必要があります。
まず行うべきは感染端末の隔離です。ネットワークから切り離すことで、他のシステムへの拡散を防ぎます。同時に、攻撃の痕跡を保全するため、感染端末の電源は切らずに専門家の到着を待つことが重要です。
法執行機関との連携
重大なサイバー攻撃を受けた場合、警察への届出も検討すべきです。サイバー犯罪の取り締まりには国際的な連携が必要であり、情報提供により他の被害防止にも貢献できます。
また、攻撃者との交渉や身代金の支払いについては、法的な問題も関わるため、必ず専門家や法執行機関と相談してから判断することを強く推奨します。
今後の展望と対策の継続的改善
サイバー攻撃の手口は日々進化しており、一度対策を講じれば安心というものではありません。継続的な脅威情報の収集と対策の見直しが不可欠です。
特に中小企業においては、限られたリソースの中で効果的なセキュリティ対策を実現する必要があります。そのためには、コストパフォーマンスに優れたセキュリティソリューションの選択と、従業員のセキュリティ意識向上が鍵となります。
はるやまホールディングスの事例は、どんな企業にも起こりうる現実的な脅威として受け止め、自社のセキュリティ体制を今一度見直すきっかけとしていただければと思います。
一次情報または関連リンク
流通ニュース – はるやまHD、不正アクセスでシステム障害発生
