ランサムウェアの被害が報じられるとき、表に出やすいのは「システムが止まった」「身代金を要求された」といった最初の段階です。もちろんそれだけでも深刻ですが、実際には、そのあと静かに広がっていく被害のほうが長く尾を引くことがあります。
最近のランサムウェアは、ファイルを暗号化して業務を止めるだけでは終わりません。暗号化の前に情報を持ち出し、支払いがなければ公開すると脅す手口がかなり一般的になっています。しかも、企業が身代金を支払わなかったとしても、持ち出された情報が消えるわけではありません。
現場で見ていて厄介だと感じるのは、復旧の見通しが立ち始めた頃に、別の種類の被害が始まることです。システムは戻っても、漏えいした情報は別の場所で流通し続ける。ここを軽く見てしまうと、インシデントの後半で判断を誤りやすくなります。
TABLE OF CONTENTS
ランサムウェアは、もう「システム停止」だけの問題ではない
ランサムウェア被害の初動では、次のような症状が目立ちます。
- 端末やサーバーの挙動が急におかしくなる
- ファイルが開けなくなる
- 拡張子が変わる
- 身代金要求のメッセージが表示される
ただ、最近の攻撃では、こうした見える症状が出る前に、すでに情報が持ち出されていることがあります。攻撃者にとっては、暗号化は交渉材料のひとつにすぎません。顧客情報、従業員情報、契約書、社内文書、財務データなどを先に抜いておけば、たとえ復旧されても別の形で圧力をかけられるからです。
この段階になると、もはやIT部門だけで閉じる話ではありません。法務、広報、経営、顧客対応、場合によっては取引先との調整まで含めて、組織全体の対応が必要になります。
身代金を払わなくても、情報は公開されることがある
攻撃者はしばしば、「支払わなければデータをダークウェブに公開する」と警告してきます。企業としては、支払いを拒否する判断を取ることもありますし、実際にそう公表するケースもあります。
この判断自体は、法的、倫理的、実務的な観点から慎重に検討されるべきものです。ただ、ここで誤解しやすいのは、「支払わなかったので攻撃者は何も得られなかった」と見えてしまうことです。実際には、支払いがなくても、持ち出した情報そのものが収益源になります。
公開される可能性がある情報は、たとえば次のようなものです。
- 従業員の個人情報
- 顧客情報
- 社内資料
- 財務関連情報
- 本人確認書類の写し
- メールアドレスや電話番号
- 契約情報や取引情報
一度出てしまった情報は、元の場所へ戻せません。公開された時点で終わりではなく、そこから別の犯罪に使われる段階が始まります。
ダークウェブに出た情報は、ひとつの場所にとどまらない
漏えい情報というと、どこか一か所の掲示板やサイトに載って終わるように見えるかもしれません。実際には、そう単純ではありません。攻撃者が出したデータは、別の犯罪者にまとめて売られたり、フォーラムで共有されたり、別のデータと組み合わせて再販売されたりします。
この広がり方が厄介です。最初に公開された場所だけを見ていても、全体は追いきれません。しかも、情報はそのままの形で使われるとは限らず、他の漏えいデータと結びついて価値が上がることがあります。
たとえば、ある企業の従業員名簿が出たとして、それ単体では限定的に見えるかもしれません。ところが、過去の別の漏えいから得たパスワード、電話番号、住所、取引情報と結びつくと、なりすましや不正ログインの成功率が大きく変わります。
データ漏えいの怖さは、漏れた瞬間だけではなく、その後に何度も使い回されるところにあります。
漏えいした個人情報は、どう悪用されるのか
企業から漏えいした情報は、会社そのものを狙う攻撃だけでなく、従業員や顧客を狙う詐欺や不正にも使われます。ここは被害の実感が持ちにくい部分ですが、かなり重要です。
本人確認情報を使ったなりすまし
氏名、生年月日、住所、電話番号、メールアドレス、本人確認書類の断片などがそろうと、新規アカウント開設や各種申込みに悪用されることがあります。すべてが成功するわけではありませんが、確認の甘いサービスを狙って試行が続けられることは珍しくありません。
SIMスワップ・eSIM不正移行
電話番号が攻撃者に狙われるケースもあります。本人になりすまして回線を別のSIMやeSIMへ移されると、認証コードやアカウント回復用メッセージを受け取られてしまいます。これが起きると、メール、金融サービス、クラウドサービスなどの乗っ取りがかなり現実的になります。
オンラインアカウントへの不正ログイン
漏えいした情報は、パスワード推測、過去に漏れた認証情報の再利用、複数サービスへのログイン試行に使われます。攻撃者は手作業ではなく、自動化された仕組みで大量に試すことが多いため、一件ずつは小さく見えても、放置すると被害が広がります。
精度の高い詐欺やソーシャルエンジニアリング
企業名、部署名、担当者名、電話番号、取引先情報などが含まれていると、詐欺の精度は一段上がります。
- 人事を装ったメール
- 銀行や決済事業者を装う電話
- 配送通知を装うSMS
- セキュリティ確認を名目にした偽通知
- カスタマーサポートを狙ったなりすまし
情報が正しいほど、受け取った側は疑いにくくなります。だからこそ、漏えいそのものより、その後の“使われ方”を意識しておく必要があります。
「身代金は払っていない」は、それだけでは安心材料にならない
企業の発表で、「身代金の支払いには応じていない」と説明されることがあります。これは重要な情報ですが、それだけで被害の評価が終わるわけではありません。
攻撃者にとって、身代金は収益の一部でしかありません。持ち出した情報を売る、再販売する、別の詐欺に使う、他の犯罪グループへ渡す、被害企業の顧客や従業員を直接脅す。こうした形で、あとから利益を得る余地が残ります。
整理すると、攻撃者の利得は次のように分かれます。
| 攻撃者の収益源 | 内容 |
|---|---|
| 身代金 | 復号や非公開を条件に要求する支払い |
| 個人情報の販売 | 従業員・顧客データの再販 |
| 社内文書の転売 | 契約資料、内部文書、財務資料などの売買 |
| なりすまし悪用 | 漏えい情報を使った詐欺や不正申請 |
| 二次攻撃支援 | 他の犯罪グループへの情報提供 |
| 追加恐喝 | 顧客や従業員に対する直接的な脅迫や詐欺 |
つまり、身代金を払っていなくても、攻撃者が何も得ていないとは限りません。むしろ、データの価値によっては、そちらのほうが長く利益を生むこともあります。
漏えいデータが厄介なのは、被害が長期化しやすいから
システム停止は、数日から数週間で復旧の見通しが立つことがあります。ですが、漏えいデータの影響はそれより長く続きやすいものです。
一度ダークウェブに流れた情報は、基本的に回収できません。削除依頼を出せば終わる類のものではなく、コピーされ、保存され、別の名前で売られ、何年も使われることがあります。しかも、時間がたってから別の漏えい情報と組み合わされることもあります。
企業としては復旧が終わった感覚になっていても、影響を受けた従業員や顧客にとっては、そこからが長い場合があります。突然の不審電話、不正申請、怪しいログイン通知、なりすまし連絡。そうしたものが後になって続くと、インシデントの印象はむしろ強く残ります。
漏えい後の説明で求められるのは、言い訳より具体性です
情報漏えいが起きたあと、企業がどのように説明するかは非常に重要です。責任追及を恐れて曖昧にすると、かえって不信感が強まります。逆に、何が起きて、何が漏れ、何に気をつけるべきかを具体的に示せると、二次被害の抑制につながります。
伝えるべき内容としては、少なくとも次のようなものがあります。
- 何が起きたのかの説明
- どの情報が漏えいした可能性があるのか
- 対象者にどんなリスクがあるのか
- パスワード変更や認証強化などの具体的な対策
- 不審な連絡への注意喚起
- 問い合わせ先
- その後の継続的な対応方針
必要に応じて、クレジット監視や不正利用監視の支援を案内することも検討に値します。大切なのは、責任逃れに見える表現を避け、影響を受けた人が次に何をすべきか分かる状態にすることです。
復旧で終わったと思わないことが、次の被害を減らします
ランサムウェア対応では、どうしても復旧作業に意識が集中します。それ自体は当然ですが、持ち出された情報がある場合は、復旧完了をインシデントの終わりにしないほうが現実的です。
その後に必要になるのは、たとえば次のような視点です。
- 漏えい情報がどこで流通しているかの継続監視
- 従業員や顧客への追加周知
- 認証情報の再設定とMFA強化
- なりすましや不正申請への備え
- 委託先や取引先を含めた影響範囲の確認
- 公開情報と内部情報の組み合わせで悪用されうる点の洗い出し
漏えいは、起きた瞬間より、そのあとにどう扱うかで組織の信頼への影響が変わります。表面上の沈静化だけで判断しないことが大切です。
ファイルの向こう側にいる人まで見えているか
ランサムウェアの被害は、システムを元に戻した時点で区切りがついたように見えることがあります。ですが、持ち出されたファイルの中には、顧客や従業員、取引先の情報が含まれていることが少なくありません。その情報は、ダークウェブのどこかで商品になり、別の犯罪の材料になります。
技術的な事故として処理するだけでは足りないのは、そこに人がいるからです。漏えいしたのが単なるデータではなく、誰かの連絡先であり、本人確認情報であり、生活や仕事に結びついた記録である以上、企業の対応も長期的な視点を持つ必要があります。
ランサムウェア後の漏えい対応は、復旧の話だけでは終わりません。情報がどう流れ、どう使われるかまで見据えておくことが、次の被害を減らすいちばん現実的な出発点だと思います。
投稿者プロフィール
-
Offensive Security Engineer
15年以上の実績を持つ国際的なホワイトハッカーで、日本を拠点に活動しています。「レッドチーム」分野に精通し、脆弱性診断や模擬攻撃の設計を多数手がけてきました。現在はCyberCrewの主要メンバーとして、サイバー攻撃の対応やセキュリティ教育を通じ、企業の安全なIT環境構築を支援しています。
主な保有資格:
● Certified Red Team Specialist(CyberWarFare Labs / EC-Council)
● CEH Master(EC-Council)
● OffSec Penetration Tester(Offensive Security)
