ランサムウェアは何カ月も潜伏するのがフツー《アスクルとアサヒGHDへの｢サイバー攻撃｣》対策していたのに被害･･･どこに隙があったのか

最大の理由として考えられるのが、管理者権限の問題です。管理者権限を奪われてしまうと、セキュリティツールを無効化することはそれほど難しくありません。いくら優れた仕組みを導入していても、運用が伴っていなければ、形だけの対策になってしまいます。

サイバー攻撃において、攻撃者が最も重視するのは「見つからないこと」です。不正アクセスが発見されれば、企業側は即座に対策を取ります。そのため攻撃者は、まず自分たちの存在を隠し、気づかれないように行動します。日常的なログの監視や、不自然な挙動への気づきがなければ、この段階で攻撃を止めることは難しいのです。

バックアップがあっても復旧できるとは限らない

アスクルは復旧に時間がかかった理由として、バックアップファイルも暗号化されたことを挙げています。これは確かに大きな問題です。

ランサムウェア対策として、「バックアップは別に保管する」「攻撃者からアクセスできない形で保存する」といった注意喚起は、すでに数年前から繰り返されてきました。ランサムウェアに対する危機感があまりにも乏しく、杜撰であったと言えるでしょう。

しかし、ここで注意すべきなのは、「バックアップがあれば安心」という考え方そのものが危険だという点です。バックアップは復旧のための重要な要素ではありますが、それだけで事業が元どおりに動くわけではありません。システムの再構築、業務フローの再確認、外部との調整など、多くの作業が必要になります。

アサヒGHDでも、バックアップは存在していたものの、完全復旧には長い時間がかかりました。これは、バックアップが「復旧の目的」ではなく、「復旧のための一手段」にすぎないことを示しています。

アスクルも今後の対策として、BCP（事業継続計画）の強化を掲げています。しかし、BCPの「P」はプラン、つまり計画です。計画をいくら立派に作っても、実際に動かせなければ意味がありません。