東京都港湾局委託先企業がランサムウェア攻撃を受けた深刻な実態
2025年6月20日、東京都港湾局から調布飛行場の受付システム運用保守を委託されている株式会社システムエグゼが、ランサムウェア攻撃を受けるという事件が発生しました。
この攻撃は、システムエグゼの社内サーバに対して実行され、幸いにも港湾局の業務用サーバとは別のシステムだったため、直接的な行政サービスへの影響は回避されました。しかし、現役のCSIRTメンバーとして数々のインシデント対応を経験してきた私が言えるのは、**これは氷山の一角に過ぎない**ということです。
なぜ委託先企業が狙われるのか
フォレンジック調査の現場では、メインターゲットよりも関連企業や委託先企業が攻撃の入り口として利用されるケースが急増しています。その理由は明確です:
- セキュリティ対策の格差:大企業に比べて中小企業のセキュリティ投資は限定的
- 信頼関係の悪用:委託先として既に信頼されているネットワークアクセス権限を持つ
- 監視の盲点:本体企業の監視体制が委託先まで及んでいない場合が多い
実際のランサムウェア攻撃パターンと被害事例
私が過去に調査した類似事例では、以下のような攻撃パターンが確認されています:
パターン1:メール経由の初期侵入
ある製造業の委託先企業では、経理部門宛ての偽装請求書メールからEmotetに感染し、その後Ryukランサムウェアが展開されました。被害額は復旧費用だけで約3,000万円に達し、委託元企業との契約も解除となりました。
パターン2:リモートアクセス環境の脆弱性
建設業界の事例では、VPN装置の既知脆弱性を突かれ、Contiランサムウェアによって設計図面や顧客情報が暗号化されました。攻撃者は復旧と引き換えに約1億円を要求し、結果的に事業継続が困難となった企業もあります。
システムエグゼ事例から読み取れる対応の重要ポイント
今回の事例で注目すべきは、港湾局が取った迅速な対応措置です:
1. 即座のネットワーク遮断
港湾局は「全ての影響調査が完了し、脆弱性が解消されるまでの間」のネットワーク遮断を指示しました。これは正解です。多くの企業では、業務継続を優先してネットワークを完全に遮断することを躊躇しがちですが、**二次被害を防ぐためには必須の措置**です。
2. 徹底した調査報告の要求
単なる復旧ではなく、原因究明と技術的対策の実施を求めている点も重要です。フォレンジック調査では、攻撃の全容を把握せずに復旧を急ぐと、同じ手口での再攻撃を招くリスクが高まります。
企業が今すぐ実践すべき具体的な対策
基本対策:多層防御の構築
1. エンドポイント保護の強化
個人レベルでも法人レベルでも、まず重要なのは信頼性の高いアンチウイルスソフト
の導入です。特に、従来の署名ベース検知だけでなく、行動分析機能を持つソリューションが効果的です。
2. ネットワーク通信の監視
ランサムウェアの多くは、感染後に外部のC&Cサーバーと通信を行います。企業のネットワークからの不審な通信を検知するために、VPN
を活用した通信経路の監視が有効です。
3. 定期的な脆弱性診断
システムエグゼのような委託先企業も含めて、定期的なWebサイト脆弱性診断サービス
の実施が不可欠です。特に、外部からアクセス可能なWebシステムについては、四半期ごとの診断をお勧めします。
組織的対策:インシデント対応体制の確立
1. 初動対応手順の明文化
- 感染疑いの端末の即座のネットワーク遮断
- 関係者への緊急連絡体制
- 外部専門機関(フォレンジック業者、警察)への連絡フロー
2. 定期的な訓練の実施
机上の計画だけでなく、実際のインシデント発生を想定した対応訓練を年2回以上実施することが重要です。
委託先企業との連携強化策
契約面での対策
1. セキュリティ要件の明確化
委託契約において、以下の項目を明確に定義する必要があります:
- 最低限のセキュリティ対策基準
- インシデント発生時の報告義務
- 定期的なセキュリティ監査の実施
2. 継続的な監視体制
委託先企業のセキュリティ状況を定期的に監査し、必要に応じて支援を行う体制の構築が重要です。
個人事業主・中小企業向けの現実的な対策
大企業と同等のセキュリティ投資は困難でも、以下の対策は必須です:
最低限の技術的対策
- バックアップの3-2-1ルール:3つのコピー、2つの異なるメディア、1つのオフサイト保存
- OS・ソフトウェアの定期更新:自動更新設定の活用
- 従業員教育:フィッシングメール対策の定期研修
費用対効果の高いセキュリティ投資
限られた予算の中で最大の効果を得るためには、以下の優先順位で投資することをお勧めします:
1. **信頼性の高いアンチウイルスソフト
の導入**(月額数千円〜)
2. **業務用VPN
の活用**(月額数百円〜)
3. **年1回のWebサイト脆弱性診断サービス
実施**(数十万円〜)
まとめ:明日から始められる具体的アクション
システムエグゼの事例は、どの企業でも起こり得る現実的な脅威を示しています。特に委託先企業の立場にある中小企業は、自社のセキュリティ対策が不十分だと、委託元企業からの信頼を失い、事業継続に深刻な影響を及ぼす可能性があります。
**今すぐできる3つのアクション:**
1. **現状のセキュリティ対策を見直す**:アンチウイルスソフト
の導入・更新、VPN
の活用検討
2. **委託先・取引先との連携を強化する**:セキュリティ要件の確認と改善
3. **専門家による診断を受ける**:Webサイト脆弱性診断サービス
で現在のリスクを可視化
フォレンジック調査の現場で痛感するのは、「事後対応の困難さ」です。ランサムウェア攻撃を受けてからの復旧には、技術的な困難さだけでなく、膨大な時間とコストが必要となります。
だからこそ、**今この瞬間から予防策を講じることが、企業の未来を守る最も確実な方法**なのです。
