【漫画】ランサムウェア攻撃対応の裏側①発覚対応編 ~サイバー攻撃発生 そのとき経営陣は何をすべきか~
はじめに
• 当ブログではこれまで2回にわたり、十分なセキュリティ投資ができていなかった企業が攻撃を受けた際のリアルな内情を解説してきました。 (過去記事:『サイバー攻撃発生、そのとき経営陣は何をすべきか? ~初動対応と顧客対応が信頼回復を左右する~』、『サイバー攻撃発生、そのとき経営陣は何をすべきか? 【続編】 ~本格化する顧客対応とメディア対応とは~』)
• 今回ご紹介するのは、ご紹介した内容を裏付ける実際に起きた複数のランサムウェア攻撃の事例をもとに、経営陣の適切な判断や行動を組み合わせて再構成した物語です。現場で目の当たりにした事実に即しつつ、緊張感や葛藤をよりリアルにお伝えするため、ドラマチックな漫画構成を選びました。
本ストーリーは「架空の企業・登場人物」で構成しています。
挿絵として使用している画像は、Microsoft 365 Copilot(AI)で生成したものです。作画のクオリティよりも、シナリオの「専門性」と「リアリティ」を最優先して現場で判断を迫られるリアルな流れを再現しているため、複雑な構成になっています。この点は、一部の画風が不安定に見える点と大げさな発言とともに、あらかじめご容赦ください。文字だけでは伝わりにくい現場の緊迫感を、少しでも補えれば幸いです。
・ストーリー
ABCXYZ株式会社は、数百名規模のWebサービス提供企業です。複数のシステムを連携させて事業を展開する一方、急成長を続けたことでセキュリティへの投資は十分ではありませんでした。そんな中、ファイルサーバー、仮想システムや管理システムなどの重要システムも暗号化の被害に遭う可能性が判明したところから、ストーリーははじまります。
登場人物
田中社長:
成功体験豊富な主人公。
Weサービス会社ABCXYZの社長。情熱的で行動力があるが、ITは専門外。
広報担当役員:
広報・マーケ担当
本件では窓口と情報管理対応
事業担当役員:Webサービス事業責任者
本件では顧客対応
管理担当役員:
管理業務責任者
本件では社員や株主対応
法務部長:
本件では法律に関わる対応
社外弁護士と連携
佐藤部長:
システム部部長
責任感の強いシステム部長。
技術的な知見と危機意識を併せ持つが、普段は経営と現場の板挟みになっている。
井上マネージャ:
システム設計・構築責任者
本件では解析を担当
宇野マネージャ:
システム運用責任者
本件では復旧を担当
外部専門家A:
インシデントハンドリング専門家
国の事案や大手組織での第三者委員や最高情報セキュリティアドバイザー経験をもつ
外部専門家Y:
フォレンジック専門家
本件では解析担当。CISSP、CEH保持・元警察でのフォレンジック捜査官
外部専門家W:
脆弱性対応専門家
本件では安全確認担当。CISSP保持・脆弱性診断やペネトレーションの資格も複数保持
第一章 攻撃発覚と緊急隔離
いつもと同じ朝が始まるはずだった。。。
ABCXYZ社のサーバー群があるデータセンター。
整然と並ぶサーバーラックに、一台だけ赤い警告ランプが点滅している。
【9時 システム部事務所】
今日も定時に出社してログインしようとしたときだった。
部下から監視システムのアラートが多数あがっているという報告が入り、直ちに状況を確認する。
ファイルサーバーから上がってくる無数のアラート。
思わず管理画面の情報を確認するとともにファイルサーバー自体がどうなっているかみにいくことにした。ファイルサーバー内を閲覧すると、ファイル名は見慣れない文字列に変わり果て、「YOUR_FILES_ARE_ENCRYPTED.txt」というランサムノートとされるランサムウェアの脅迫文が置かれていた。
「暗号化…ランサムウェアだ!」過去、情報としてみてきたランサムウェア事例と同じ状況と判断した佐藤は、驚きとともにつぶやく。だが、動揺は一瞬だった。
次の瞬間には、過去の事例やJPCERT/CCの原則を参考に事前に用意していたインシデント対応手順が脳裏に浮かんでいた。
彼は自らに「焦るな」と言い聞かせ、データセンターへ受話器を向けた。
そして、手順書に従い、ファイルサーバーの物理的な隔離(LANケーブルの抜線)と、関連サービスの一部緊急停止を、冷静に、しかし有無を言わさぬ口調で指示した。
第二章 緊急報告と原則確立
【9時30分社長室】
社長室。田中は窓の外を眺め、今期の売上目標達成を確信し、一人満足気に頷いていた。
その静寂は、ドアが乱暴に開けられる音によって破られた。血相を変えたシステム部長の佐藤が、ノックもそこそこに転がり込んできたのだ。
佐藤部長:「社長、緊急事態です!」
佐藤の口から語られたのは、データセンター内システムについて、「ファイルサーバーがランサムウェアに感染した可能性が高いです」「ただちに、ファイルサーバーを含む関連サーバーを隔離したため、サービスの一部を停止となりました」「顧客情報も含まれるエリアが気がかりです」という、悪夢のような単語の連続だった。
田中の頭は、サービス停止と顧客情報という言葉で真っ白になった。ここで事業が止まれば、目前の売上目標がすべて消え去る。
田中社長:「すぐにバックアップから戻せ!システムを元通りにしてサービスを動かせ!」それは社長としての当然の命令だった。
だが、いつもなら即座に「はい」と答えるはずの佐藤が、こぶしを作るとともに唇を固く結んで動かない。
佐藤部長の脳裏には、過去に読んだ数多のサイバー攻撃事例が駆け巡っていた。その中で事業継続に大きな支障をもたらした失敗事例が激しく脳裏をよぎる。焦って復旧し、二次被害を招いて炎上した企業の末路。
社長の指示は、その失敗をなぞるだけの行為に他ならない。また、自分たちで対応するにもセキュリティに関する教育や設備の予算なども通らなかったので、対応レベルは高くないという認識もしていた。心の中で「ここで折れたら、対応を失敗した会社と同じになる…!」と覚悟を決めた。
「復旧を焦ってはいけません!二次被害を招きます!」そして、「そのためには、事件の解明のためにも、被害を受けた機器を保全(証拠保全)する必要があります。それを踏まえて、安全な環境での復旧と再開が前提となります。早期解明のためにも、我々の対応にあわせて専門家を参加させてください」と強めに発言をした。
今まで見たことのない佐藤の気迫に、田中は一瞬たじろいだ。
次に心の中で考えていた。
「二次被害ってなんだ…外部の専門家?また金がかかる話か…。売り上げが減りそうなのに、コストが高そうな外部の専門家への出費を増やすだと。だが、佐藤がここまで言うのは初めてだ…。自分たちの力で足りないと限界を認めているのか……まてよ、佐藤が前に、自社の力だけでは限界があるためセキュリティ対策への投資を強く進言していたのを、自分が先延ばしにしていたな」、数秒の沈黙の後、田中は佐藤の言葉の裏にある危機感と論理性を正確に理解した。これは、単なるシステムトラブルではない。会社の存亡をかけた戦なのだと。
「わかった」田中は静かに、しかし力強く答えた。「外部の専門家をすぐに呼んでくれ。そして、これは全社の問題だ。関係する役員を緊急招集しろ!」
佐藤は、ほっとしつつも緊張した面持ちで即座に「はい!」と返事をして、社長室から頭を下げて退出した。
第三章 役員緊急会議
役員会議室には、緊急招集に応じた役員たちの困惑と不安が入り混じった空気が漂っていた 。
田中社長「揃ったな。佐藤部長、説明してくれ」田中社長の指名を受け、システム部長の佐藤がホワイトボードの前に立つ 。
彼は「推測は入れず、事実と不明に分けて説明します」と宣言し 、判明している「事実」—ランサムウェア攻撃、ファイルサーバーと仮想システムの暗号化、サービスの一部停止—を書き出した。
佐藤部長:「ランサムウェアのプログラム自体はまだ見つかっていませんが、暗号や脅迫文などからして攻撃と確定とみています。社長に報告した時は被害がファイルサーバーのみでしたが、調査が進み、停止中の仮想システム自体のいくつかも暗号化されていました。 調査であり、被害が広がる可能性もあります。現在は、被害が判明しているサービスをインターネットから切り離し、データセンターで目視による現地確認をしているため、サービスの一部は停止しています」
この説明に事業担当役員は、思わず顔がひきつった。
次に未解明の「不明」な点—侵入経路、情報漏洩の有無と範囲、被害の全体像—を明確に書き出した。
現時点で知りたいことが不明点が多いことに役員たちの間に動揺が走る。
さきほどから顔がひきつったままの事業担当役員が、勢いよく発言した。
事業担当役員:「システムが障害で停止と聞いていたが、いつ復旧できそうなのか?復元ができるのか?」という焦りの滲む質問が飛んだ。
佐藤部長:「被害範囲が不明なため、現時点ではお答えできません。ただし、私たちでは、解析や復旧などの対応が素早くできないため、午後2時から外部の専門家の方に参加してもらうことを予定しています」と冷静に返すのみだった 。
沈黙の中、田中社長は佐藤の説明を反芻していた。
「なるほど…今、我々に分かっていることはこれだけか。憶測で動くのは危険だ…」 。ITの専門家ではない彼にも、情報が圧倒的に不足していること、過去の経験からも下手に動くことのリスクは理解できた。
彼は立ち上がり、全員に宣言した。
田中社長:「憶測で混乱を招くのは避ける。公開する情報の範囲は、今ホワイトボードにある『事実』のみと決定する」
そして、立て続けに指示を飛ばした。
田中社長:「広報担当役員、メディアや関係各所からの問い合わせが殺到するだろう。対応を一手に引き受けてくれ。公表する内容は必ず共有してくれ」
田中社長:「そして全社員に通達。お客様やメディアからの問い合わせは、すべて設定した統一窓口へ誘導すること。『公表内容に記載されていること以外は話さない』。これを徹底させろ!」
第四章 専門家と全サービス停止
【午後2時 会議室】
会議室の空気は再び張り詰めていた 。専門家が会議室に登場した瞬間、役員たちが一斉に視線を向ける。佐藤が手配したインシデント対応の外部の専門家のA氏が、役員たちの前に静かに立ち、紹介をうけた。
そのあと、専門家A氏:「声をかけていただきありがとうございます。早速ですが、状況を教えてください」と形式的なことは省いて早速、本題にはいっていった。
佐藤から状況や情報を聞いた専門家A氏は、ABCXYZ社の初動対応を「理想的でした」とうなずいて評価しつつも、厳しい口調で続けた。
専門家A氏:「ですが…本当の戦いは、ここからです」
専門家A氏がホワイトボードに示したのは、「潜伏期間」「二次被害」そして「全件漏洩」という、役員たちが想定しうる最悪のシナリオだった 。
さらに専門家A氏が事前に配っていたMITRE ATT&CKというサイバー攻撃のフレームワークの資料を示してどんな攻撃がされているのかの説明を続けた。
攻撃者は長期間データセンター内のネットワークに潜伏し、管理者権限を奪取するためにネットワーク内で横展開(ラテラルムーブメント)を行い、情報を窃取した上で、証拠隠滅のためにランサムウェアを実行した可能性がある—その指摘に、役員たちは息をのむ 。
全員が全件漏洩の可能性を説明されて一斉に顔の表情を変えた、「全件漏洩!まさか、まさか…」
専門家A氏:「「『まさか』ではありません。データセンター内は同じネットワークで管理者権限が盗られているとみるべきです。被害は現時点、一部しか把握できてない状況と考えたほうがよいです。常に最悪を想定して動くのが鉄則です」そして、続けて「侵入元不明、侵入範囲不明でウイルスも未発見です。動かし続けるのは顧客への被害拡大をもたらす可能性があります。サービス全体を停止してください」更に続ける。「被害拡大防止と早期収束の原則は、インシデント対応の専門機関であるJPCERT/CCなどの資料にもある通り、基本となります。あとでこれをしていなかったのが顧客に分かった場合には信用の失墜および法的な責任につながります」
サービスをすべて停止する。。。経営陣の中では、今起きていることに対して信じたくないそれぞれの思いが浮かんだ。「この稼ぎ時に…」「売上達成が…」役員たちの心に、事業への打撃という現実的な懸念が渦巻く 。
売上か、信頼か。その究極の選択を前に、田中社長は深く目を閉じ、自問していた。
そして他役員が田中に注目していた。「当初思っていた以上に長く大きく影響する状況だ…わが社にとってのサービス停止とは未来の安全確保のための封じ込めか…確か保険にははいっていたので補填はされる可能性があるかもしれない…それはおいて我々が本当に守るべきものは、一体なんだ。売上か… ?」
数秒後、田中はカッと目を見開き、決然と机を叩いた。
田中社長:「決めた。お客様からの信頼が第一だ!」。彼は驚く役員たちを見渡し、力強く宣言した。
田中社長:「直ちに全サービスを停止する!この対応は、お客様からの信頼を優先するという、企業の根幹をなす倫理に基づいた決定だ!そして、これは『守りの封じ込め』から『攻めの信頼獲得』への戦いだ!」
その言葉は、単なるインシデント対応の方針ではなく、会社の未来を賭けた経営陣の覚悟そのものだった。
専門家A氏は、思わず、「この経営者たちならば、この難局を乗り越えられる」とつぶやいた。
第五章 初動公表
【16時 ホームページ】
広報で他社掲載事例も参考に起案し、専門家や外部弁護士の助言もえて修正して、役員承認で提示ホームページに本件に関する情報が公表された。
【重要】不正アクセスに伴うXXXXサービス停止のお知らせ
202X年10月3日
ABCXYZ株式会社
平素より弊社サービスをご利用いただき、誠にありがとうございます。 このたび、弊社システムへの不正アクセスにより、サービスを停止せざるを得ない状況となり、 お客様ならびに関係者の皆様に多大なるご迷惑とご心配をおかけしておりますことを、心より深くお詫び申し上げます。
・日時:202X年10月3日 午前9時頃
・確認内容:外部からの不正アクセスを示す異常を検知
・初動対応:ネットワーク隔離・XXXXサービス停止
・現状:復旧の目途は未定ですが、安全性確認を最優先に全力で復旧に取り組んでおります
社長を本部長とする「不正アクセス対策本部」を設置し、外部のセキュリティ専門家も加えて解析および復旧を進めていきます。情報漏洩は現在確認されていませんが調査を継続的に実施しています。今後の進捗状況につきましては、法令等に基づき事実が判明次第、速やかに弊社ホームページにてお知らせいたします。
お客様ならびに関係者の皆様には、重ねて深くお詫び申し上げますとともに、何卒ご理解、ご協力をお願い申し上げます
・本件に関するお問い合わせ窓口
担当部署 広報部 特別対策室 電話番号 XXX-XXX-XXXX
メール emergency@●●●●●●.co.jp
ABCXYZ株式会社
代表取締役社長 田中一郎
攻撃発覚当日、対策本部が発足し、身代金不払いという『断固たる決意』が固まった。この方針は、『自力での完全復旧』という前例のない試練を現場に課すこととなる。
************
★本資料の学びのポイント
・早期検知の重要性:監視アラートの設定・運用を徹底する
・初動判断の原則:復旧を急がず、証拠保全と被害拡大防止を最優先とする
・経営層への報告:事実と不明点を区別して説明する
・外部専門家の活用:自社対応の限界を認識し、早期に専門家へ依頼する
