セキュリティー事故が発生した際、初期対応のスピードは被害の大きさを左右します。近年のサイバー攻撃は巧妙化しており、従来のセキュリティー対策では侵入を完全に防ぐことが困難です。そのため、攻撃を受けてからの迅速な復旧作業が事故の悪化を防ぐために欠かせません。

警察庁サイバー警察局がランサムウェア被害に遭った企業を調査したところ、復旧期間が長くなるほど、復旧にかかる費用も増えることが明らかになりました。復旧に「即時〜1週間未満」と比較的早期に復旧できた組織では、1億円以上の費用を要した割合がわずか３％ですが、「2か月以上」と復旧が長期間要してしまった場合は、28%もの組織が１億円以上の費用がかかってしまっています。

サイバー攻撃は時間の経過とともにシステム内の被害範囲が広がり、被害額も大きくなってしまうのです。

ここからは復旧期間が長期にわたったことで被害が拡大した国内外の最新事例をいくつか紹介します。

１）医療支払処理会社へのランサムウェア攻撃（2024年2月発生）

米国の大手医療支払処理会社では、二要素認証が有効になっていなかったシステムの脆弱性を突かれ、攻撃者の侵入を許してしまいました。2024年2月12日から9日間にわたって機密データを奪われ続け、2月21日にシステムを暗号化されました。

システム復旧に数か月を要し、完全にサービスを再開できたのは11月になってからでした。攻撃から1年が経過した2025年2月時点でも、一部のシステムは「部分的に利用可能」な状態にとどまっています。

被害者数の公式発表は攻撃から8か月後の2024年10月で1億人とされましたが、2025年1月には1億9,000万人（米国人口の半数以上）に修正されました。費用面でも、当初予想の13億5,000万～16億ドルから最終的に30億9,000万ドルまで拡大しています。2,200万ドルの身代金をビットコインで支払ったにもかかわらず、その後も盗まれたデータの一部が公開され、追加の身代金を要求されました。

２）電気設備工事会社へのランサムウェア攻撃とダークウェブ上での情報流出（2024年9月発生）

2024年9月27日、日本の電気設備工事会社がランサムウェアの攻撃を受け、サーバーが暗号化されました。VPN機器を経由して不正アクセスが行われ、セキュリティー機器が最新版に更新されていなかったことが原因とされています。

同社はネットワーク遮断や復旧作業を行い、10月6日までにサーバーの復旧を完了させましたが、10日間もの時間を要していました。

さらに、約2か月後の11月21日になって警察当局から情報流出の可能性について連絡を受け、調査の結果、ランサムウェアグループが運営するダークウェブ上のサイトで同社の個人情報を含む取引情報が公開されていることが判明しました。

３）大手エンターテインメント企業グループへのランサムウェア攻撃によるシステム停止と情報流出（2024年6月発生）

2024年6月8日、日本の大手エンターテインメント企業グループが大規模なサイバー攻撃を受け、複数のサーバーにアクセスできない障害が発生しました。同社のサービスを標的とされ、データセンター内の専用ファイルサーバーなどがランサムウェアを含む攻撃を受けました。

その結果、人気の動画配信サービスなどが約2か月間にわたって停止する事態となりました。また、25万4,241人分の個人情報が外部に流出していることも確認されました。流出した情報には、従業員や取引先の個人情報、企業の契約書、社内文書など広範囲にわたる機密情報が含まれていました。

攻撃の原因は、フィッシング攻撃により従業員のアカウント情報が窃取されたことと推測されており、そこから社内ネットワークに侵入されてランサムウェアの実行や個人情報の漏えいにつながったと発表されています。

現在も情報流出に関する二次被害対策として、SNSや匿名掲示板での情報拡散行為に対する法的措置が継続されています。

なぜ多くの企業はセキュリティーリスクが高いと理解しながら、実際に攻撃を受けると被害を長引かせてしまうのでしょうか。現状におけるセキュリティーの課題と対策について解説します。

＜課題＞

１）検知の限界

従来のセキュリティーソフトは、あらかじめ把握したウイルスの特徴と一致するものを見つけて警告する「パターンマッチング」で脅威を検知します。しかし、新たなマルウェアはまだパターンが登録されていないため検知できません。また、正規のプログラムや既存のシステムの脆弱性を悪用した「ファイルレス攻撃」なども駆使するため、セキュリティーソフトが正常なプログラムとして素通りさせ、侵入を許してしまうケースが発生しています。

２）監視体制の構築が困難

サイバー攻撃は24時間365日行われる可能性があります。企業が自社でこうした監視体制を構築・維持するには、専門人材の確保、システムの導入・運用、夜間・休日対応の人員配置など、人的にもコスト的にも大きな負担が必要です。特に中小企業では、こうした体制を整備することは現実的ではありません。

３）判断の遅れ

脅威が検知されても、「これは本当に危険な状況なのか」「今すぐ対応すべきなのか」「どのような対処が適切なのか」といった判断に時間がかかるケースが多く見られます。セキュリティーの専門知識がない担当者では適切な判断ができず、上司への報告や会議での検討を重ねる間に被害が拡大してしまいます。

＜対策＞

こうした課題を解決するために「マネージドEDR（Endpoint Detection and Response）」の活用がおすすめです。EDRとは、端末やサーバーの不審な挙動を検知し、対処できるセキュリティーソリューションです。

EDRはパターンマッチングに頼らず、システムの「動き」を監視して脅威を判断するため、未知のマルウェアや標的型攻撃でも検知が可能になります。さらに、攻撃の痕跡に基づく振る舞い検知機能により、セキュリティーの専門家でも発見が難しい高度な攻撃をプロアクティブに検出できます。

ただし、通常のEDRサービスは、検知機能は提供されるものの、脅威を発見した際の判断や対応は自社で行わなければなりません。一方、「マネージドEDR」では、セキュリティーアナリストが24時間365日リアルタイムで端末の監視を行います。マネージドEDRを活用することで、企業は本業に集中しながら高度なセキュリティー対策を実現できます。

これまで見てきた課題を解決し、初期対応の遅れを防ぐために、三菱電機デジタルイノベーションが提供する「マネージドEDR」の活用が効果的です。

＜サービスの特長＞

1）24時間365日監視＆即時隔離

お客様環境をセキュリティーオペレーションセンターにて24時間365日体制で常時監視を行います。端末に不審な動作を検知した際には、お客様に代わって即座にその端末をネットワークから隔離し、被害の拡大を防ぎます。また、緊急度に応じてお客様のシステム管理者にもすぐさま通知します。

2）被害調査・対応支援もセット

脅威検知後の影響範囲の分析や、今後の対策についてのアドバイスも含まれています。セキュリティーアナリストが調査を実施し、企業の対応を支援します。また、アラート検知がない場合でも、お客様からの申告によるログ調査・解析が可能で、「何か異常があるかもしれない」といった不安を解消できます。

3）クラウド型でリモート端末もカバー

テレワークや出張中の端末も監視対象となるため、働く場所を問わず、端末が社内ネットワークの外にあってもセキュリティーを確保できます。端末の挙動ログはクラウド上に保存されるため、侵入者によるログの削除や改ざんを防ぎます。

4）未知の脅威にも対応

攻撃の痕跡ベースの振る舞い検知と、最新の脅威インテリジェンス（脅威に関する情報の集合）を活用します。従来のパターンマッチングでは検知できない未知のマルウェアや高度な攻撃手法にも対応できます。

＜導入のメリット＞

マネージドEDRを導入することで、脅威検知時のスピーディな初期対応を実現します。セキュリティーアナリストが常時監視しているため、社内に専門知識を持つ人材がいなくても適切な判断を下すことができます。

さらに、監視業務を外部に委託することで、社内リソースを他の業務に集中させることが可能です。マネージドEDRサービスでは、情報や技術を継続的にアップデートするため、常に最新の脅威に対応したセキュリティー対策が維持できます。

セキュリティー事故では、初動対応の遅れが被害拡大の最大要因となります。多額の損失や長期にわたるサービス停止などの事例が示すように、いかにスピーディに動けるかが企業の命運を左右します。

従来のセキュリティー対策では限界があり、特に専門人材の不足や24時間体制の維持は難しくなっています。マネージドEDRサービスなら、セキュリティーアナリストによる脅威検知と対応で、初動の遅れを防ぐことができます。

マネージドEDRは、セキュリティー専任の人材を確保しづらい時代にマッチしたサービスと言えます。自社のセキュリティー対応負担を減らしながら、攻撃リスクを軽減したいとお考えの方は三菱電機デジタルイノベーションに一度ご相談ください。