トピック

フォレンジック調査業者が語るランサムウェア感染、情報漏えい復旧の鍵

フォレンジクス事業部事業部長 井瀧義也氏(右)、エンジニアグループグループ長 大山海児氏(左)

 企業を狙ったコンピュータ犯罪は後を絶たない。その中でも近頃耳にする機会が増えたのが「ランサムウェア」の感染だ。ひとたびランサムウェアに感染すると、業務データが書き換えられてPCが正常に利用できなくなり、犯人からは復旧するための身代金を要求される。業務を復旧させようと、焦って身代金の要求に応じてしまうケースもあるようだ。

  しかし、こうしたランサムウェアへの感染において、いかに早く業務を再開するかに主眼を置くのは正しくない。 被害の全貌をしっかりと把握した上で、再発防止策を立ててからでなければ、なんとか業務の再開にこぎつけても、また同じ手口を使われてしまい、その後の被害が拡大してしまうケースが多いからだ。

 ランサムウェア以外にも、退職者による情報持ち出しの不正事案が増加している一方だ。情報持ち出しを見過ごしてしまうと、横領や顧客の引き抜きといったさらなる社内不正被害に発展するリスクも考えられる。

  こうしたサイバー攻撃の被害や社内不正のトラブルにおいて頼りになるのが、サイバーインシデントや社内不正の調査を専門とする、「フォレンジック(forensic)」の調査会社だ。

 現在日本には少なくとも50社以上フォレンジック調査を行なっている会社がある。今回はその中で、警察への捜査協力や、感謝状受賞の実績が多数持っているデジタルデータソリューション株式会社に、フォレンジック調査の現状と、プロの目から見た業者の選び方について聞いた。

ランサムウェア感染、真の被害は機密データの流出?

 デジタルデータソリューションが展開する「デジタルデータフォレンジック(DDF)」は、国内44万件以上のデータインシデントに対応してきた同社が運営する、フォレンジック調査の専門部隊だ。

 「フォレンジック調査」は、一般ユーザーにとってはまだ耳慣れない言葉だが、PCやスマホを解析してデータの流れや操作履歴を可視化することによって、ランサムウェアなどサイバーインシデントの全貌を明らかにしたり、退職者や従業員による社内情報の不正な持ち出しといった社内インシデントの実態を明らかにすることを指す。

 そんなフォレンジック調査の専門家である同社に、具体的な事例をいくつか教えてもらおう。まず1つ目は、ランサムウェアの被害に遭った製造会社の事例だ。

 ある製造会社で、製品の出荷時にファイルを開けなくなり、またサーバにもアクセスできなくなった。調べたところバックアップも含めて全てのデータが暗号化されていたことから、LockBitの名で知られるランサムウェアへの感染が発覚。同社へ問い合わせたという事例だ。

 このケースでデジタルデータソリューションがまず行なったのは「ファスト・フォレンジック」と呼ばれる、早急な原因解明のための解析だ。

 フォレンジックの種類は、大きく分けて「ネットワーク・フォレンジック」「ファスト・フォレンジック」「コンピュータ・フォレンジック」「モバイル・フォレンジック」の4種類がある。調査するデバイスや目的に合わせて使い分けしているという。

 製造会社が社内で用いているPCはサーバも含めて千台以上あり、同社が問い合わせを受けた段階では、どのPCが安全でどのPCが感染しているかも判然としなかった。まずはそれらを特定しなければ、業務を復旧するにしても、どのPCを使えば良いのかも判断できない。

  「まずは、ファスト・フォレンジックを用いて、企業のネットワーク内にあるPC・サーバに対してスキャンを行ないました。ツールを使って表層的なログを一箇所に集め、相関関係をチェックしました。対象機器が数十台程度であれば、1日で作業を終えられますが、今回のケースでは千台以上あったため、1週間をかけてランサムウェアに感染した端末を特定できました。また、攻撃者がネットワークに侵入した際のログ情報を確認し、どのようにネットワーク内を横断したのか解析を行ないました」(大山氏)。

フォレンジクス事業部エンジニアグループグループ長 大山海児氏

 その結果判明したのは、VPNに脆弱性があり、そこから入り込んだ攻撃者によってかなりの数のPCがランサムウェアに感染し、さらにリモート管理用のソフトウェアまでインストールされていたこと。

 また情報流出の有無を確認するために並行して行なったダークウェブ調査により、社内で扱っている技術の機密データが、裏のマーケットで販売されていることも明らかになったという。

 この製造会社は、デジタルデータソリューションにコンタクトしてきた時点では、ランサムウェアに感染し、システムが使えないため出荷停止の状態だった。依頼企業は純粋に「ランサムウェアに感染した」という事実しか把握していなかった。

 実はその裏では外部への技術情報の流出という、企業の根幹を揺るがすような被害が起こっていたわけだ。情報漏えいが起きたとなれば、個人情報保護委員会への報告も必要となる。

 もし調査を行なわずに済ませていれば、これらは見逃されていた可能性も少なくない。調査の重要性が垣間見えるエピソードである。

 デジタルデータソリューションによると、ランサムウェアの被害に遭遇した企業の中には、業務の復旧を焦るあまり、原因の特定調査を実施せずに済ませようとするところも少なくないという。

 同社が2021年から2023年にかけて55社を対象に行なった調査では、ランサムウェアに感染し、感染の原因を特定する調査を実施しなかった企業は実に31%も占めていたとのことだ。

  「現状を把握して同じインシデントが起きないようにするためには、調査は欠かせません。専門家としては確実に業務の復旧をしたいのなら先に調査を行なうことが重要ですね。調査を行なわなかった31%の会社の中には、数回ランサムウェアに感染し、ようやく調査を行なった例もありました。現状の復旧を急ぐよりは、まず調査を行なって原因を特定し、対策を一緒に打っていくことをご提案しています」(大山氏)。

 感染原因の調査を行なわない限り再発の可能性が残っているのは明らかだ。

原因追求を怠るべからず。脆弱性診断や侵入テストが有効

 デジタルデータソリューションでは、ランサムウェアの感染や不正アクセスなど、すでに発生してしまったインシデントへの対応と並行して、社内ネットワークなどの脆弱性診断や、攻撃者視点でのペネトレーションテスト(侵入テスト)といった診断も推奨している。診断を行なっておくことで、システムの脆弱性を発見したり、社内の機密情報が外部から閲覧できてしまうといったトラブルを未然に防げるというわけだ。

 具体的な事例として同社が教えてくれたのは、3回もランサムウェアに感染してしまった、設立40年以上の産業廃棄物処理施設だ。

 この処理施設は2度目の感染までは独力で対処していたが、再発防止策を講じないまま事業を続行した結果、実に3度目となる感染が起こってしまい、そこでようやく重い腰を上げて同社に診断を依頼してきたという。

 このケースにおいて同社は、攻撃者視点で外部からネットワークに侵入できるか、またどういった不正行為が行なえるのかという、いわゆるペネトレーションテストを実施。その結果、本来であれば契約している取引先しか見られないページが、誰でもアクセスできる状態になっていた。その中には契約書、発注書、見積書、企業の住所などの取引情報が入っていた。さらに、Webサーバ自体が外部からコントロールできてしまう状態にあった。

  「このときは、お客様の環境と同じような条件で、ハッカーと同様な手法を用いてペネトレーションテストを実施しました。その結果、お客様のサーバは外部から操作できるような状態であって、脆弱性を悪用すれば、誰でも操作できる事実が判明しました」(大山氏)。

フォレンジクス事業部エンジニアグループグループ長 大山海児氏

 この例は、ランサムウェア感染の原因追求や再発防止を怠ったがために被害が拡大した典型例であり、診断をもっとも必要とするケースと言える。

 大きなインシデントが発生すれば、業務を何カ月も止める羽目になり、その間の売上がなくなるのはもちろん、顧客や取引先からの信頼も地に落ちる。これに加えてランサムウェアからの復旧には莫大な費用がかかる。それらと比べれば、こうした診断にかかるコストなど安いものだ。

  「このような診断は1回で終わらせず、定期的に実施することをおすすめしています。というのはシステムの更新が行なわれたときに、別のところで脆弱性が出てしまうというのは、よくあるパターンだからです。ベストなのは、システムの変更があった後に実施するか、あるいは数カ月に1回といったペースで定期的に実施することですね」(大山氏)。

 情報システム部門に携わる人であれば、ネットワーク機器を入れ替えたり、あるいはスタッフが入れ替わったタイミングで、本来は外部に開放されていないはずのサーバが見られるようになるなど、設定ミスが起こりうる経験はあることだろう。こうした状況下で、外部からの不正アクセスに遭遇しないのは、ただの幸運でしかない。定期的な診断が必要だとする同社の言葉には説得力がある。

退職者による機密データ持ち出しにも効力を発揮

 ここまで見てきたフォレンジック調査は、ランサムウェアのような顧客や取引先を巻き込んだサイバーインシデントに限らず、退職者や従業員が機密情報を社外に持ち出したり、横領やキックバックの痕跡を消したり、職務怠慢や不当解雇など、社内で発生しているあらゆるインシデントの実態を明らかにする調査にも効力を発揮する。

デジタルデータソリューションのエンジニアがフォレンジック調査を行なっている様子

 同社が挙げる具体例は、施工会社の元社員が顧客情報を持ち出し、転職先である他社でそれらを流用したという事例だ。

 1人目の退職者が後輩に声をかけて数名が同時に退職し、そのまま他社へと移籍。その他社から営業をかけられていると、取引先からの情報が寄せられたことで、顧客情報の持ち出しが疑われ、デジタルデータソリューションへと調査を依頼してきたのだという。

 このケースにおいてデジタルデータソリューションが行なったのが、退職者が在籍中に使っていたPCの調査だ。

 PCの中にはUSBメモリの接続履歴や、クラウドサービスの利用履歴が残っているほか、削除したメールに関しても復旧させることができる。会社の顧客情報を、USBメモリにコピーして持ち出していたり、メールに添付してプライベートなアドレスへと送信していれば、一発で分かってしまうというわけだ。

 調査の結果、メールやクラウドに関しては痕跡は見付からなかったものの、USBメモリを用いて約80件のデータをコピーし、持ち出されていたことが発覚。それらは顧客情報にとどまらず、技術関連の機密データや、取引先に対する見積書などが含まれており、被害総額は約3千万円にもおよぶことが判明したという。

  「この案件は、発生から2年ほど経ってお持ち込みいただいたため、端末にメールなどはあまり残っていなかったのですが、USBメモリの履歴はしっかりと残っていました。コンピュータ・フォレンジックで操作履歴を追っていく場合、端末の電源を入れたり切ったりといった一般的な履歴はかなりの頻度で上書きされていくのですが、ファイルの操作履歴はあまり更新されないので、2年が経過していても、残っている可能性は十分にあります」(大山氏)。

 デジタルデータソリューションによると、こうした退職者による情報の持ち出しは非常に多く、同社が2022年から2023年にかけて社内不正被害に遭った企業300社を対象に行なった調査でも、退職者による情報持ち出しは、全社内不正事の44%を占めるなど、ダントツに多かったのだそうだ。

 ちなみにこうした案件で、データ復旧の知見があることは同社の大きな強みだ。

  「社内不正はその痕跡を隠そうとするため、データの削除やフォーマットを行なったり、デバイス自体を壊す人も出てきます。そのためフォレンジック調査本来のログの解析だけでなく、データ復旧の技術も重要になります」(井瀧氏)。

フォレンジクス事業部事業部長 井瀧義也氏

 データ復旧業界で14年連続No.1の実績を持つ同社は、こうしたケースにおいて、同業他社に比べて圧倒的な優位性があるというわけだ。

 このほか、メールのレビュー案件も増えているとのこと。これは数年にもおよぶ社内のメールのやり取りの中から、不正を働いた社員が用いた特定のキーワードを含むメールのやり取りだけを探してほしいという調査だ。フォレンジック調査の中でも、特に弁護士などから依頼されるケースが多いという。

 いずれにせよ、こうした社内不正の調査は、デバイスの解析によって分かりづらいデータの流れや操作の履歴を可視化するという点において、ランサムウェア感染時の被害状況の把握を行なうサイバーインシデント調査と共通しており、用いられる技術も共通している場合が多く、フォレンジック調査の中で大きな割合を占めているとのことだ。

フォレンジック調査にふさわしい事業者の選び方とは

 ここまで見てきたようなフォレンジック調査は、まだ新しい分野だけに、いざ自身が当事者となった場合に、どのような事業者を選んで良いのか、判断がつきにくいもの。しかし以下3つのポイントをしっかり守っておけば問題ない。

 まず1つは、すでにフォレンジック調査についてある程度の実績があること。PC数百台から数千台の大規模な調査を手掛けた実績があるのはもちろん、官公庁や捜査機関、大手法人など、調査に正確性を求められるクライアントからの受注実績がある事業者であることが望ましい。歴史の短い業界とは言え、ある程度の実績があることは、適切な診断をする上で欠かせない。

 またフォレンジック調査業者の中には、サイバー攻撃の調査だけを行なっている業者や、社内情報持ち出しの調査だけを行なっている業者もあるほか、法人だけ、個人だけといった具合に、規模を特化している事業者もある。なるべく広範囲の経験があり、かつどのような規模でも対応し得る業者の方が、信頼できることは明らかだろう。

 デジタルデータソリューションが2017年1月以降に手掛けたフォレンジック調査は、相談件数を含めて累計3万2千件以上。これらの中には、官公庁や上場企業、大手保険会社などの対応実績も含まれる。さらに警察など捜査機関への協力は、2011年1月以降、相談件数も含めて全都道府県で360件以上と豊富な実績を誇り、感謝状受賞の実績も多数ある。

 2つ目はスピードだ。特にランサムウェアにおいては、すでに感染の事実や情報漏えいの可能性があると分かっている状況であれば、どれだけ迅速に対応できるかが、成否を決めると言っても過言ではない。

 こうした中で、翌営業日まで待たされるようなことがあれば、信頼を取り戻すことなど到底不可能だ。365日の対応が可能なことは不可欠であり、さらに言うならば現地に足を運んでの初動対応も可能であることがベターだ。

 デジタルデータソリューションは24時間365日の受付体制を整えており、休日はもちろん年末年始などであっても、インシデントに対して即日の対応が受けられる。初動対応のWeb打ち合わせを初回の問い合わせから最短30分で実施できるほか、即日の現地駆け付けにも対応しているので、突然のアクシデントで社内が大混乱に陥り、何から手を付けて良いか分からない場合も、頼もしいパートナーとなってくれる。

 ちなみに上で紹介した製造会社のランサムウェア感染の案件では、3連休中に問い合わせがあり、すぐにエンジニアに連絡を取って当日中に打ち合わせを設定。問題を全部ヒアリングして、翌日には調査・復旧スケジュールの提出に至ったとのこと。このスピード対応は、件の製造会社から高い評価を得られたという。

 3つ目は、自社内にエンジニアが在籍しているかつ技術力があること。

 フォレンジック調査は、ほかのデータ復旧などの分野とも密接に関係しているだけに、症状に応じてドライブの複製を取り、データの復旧作業にあたるといった、データ復旧のノウハウも必要となる。

 これらに対応できるエンジニアが社内に在籍しておらず、外注先に作業を委託しなくてはいけないような事業者では、時間がかかるのはもちろん、コストまで膨れ上がりかねない。

 デジタルデータソリューションでは、40名以上のエンジニアが在籍しており、セキュリティ専門資格者も多数在籍している。世界各国から導入した最新の調査・解析ツールを用い、フォレンジック調査にあたっている。これらの調査を自社内で行なうことから、外注による間接コストも発生しない。

  「他社の場合、特定のツールを用いての解析技術しか持たない場合も少なくないようですが、事実を調べるために必要な技術は、同じランサムウェアでもそれぞれ異なります。弊社はツールを多数保有していますので、お客様の状況に合わせて適切な技術を提供できることは、技術的な部分での強みだと思っています」(井瀧氏)。

フォレンジクス事業部事業部長 井瀧義也氏

 さらに同社はデータ復旧の分野でもエキスパートとして知られた存在であるため、調査を進めるうちにドライブの修復などが必要となった場合も、オールインワンでの対応が可能だ。結果的にこれらは調査期間を引き延ばすこともなく、スピーディーな結果の提出へとつながっていく。

 ランサムウェアを中心としたサイバーインシデントの被害や、退職者による情報持ち出しの不正事案は昨今広がる一方で、どのような規模の法人であっても、狙われるのは不可避と言っていい。こうした中、万が一の場合に相談できる相手として、また調査や診断を依頼する相手として、デジタルデータソリューションが運営する「デジタルデータフォレンジック」の名を覚えておいて損はないだろう。