🫰
被害総額100億超え⁈ホワイトハッカーが解説 大手出版社をシステム停止させたランサムウェア攻撃とは
公開
2025-04-13
更新
2025-04-13
文章量
約3345字
はじめに
2024年11月21日にオンラインで開催された本イベントでは、OSS/セキュリティエバンジェリストとして20年以上の経験を持つホワイトハッカーの面氏をお招きし、大手出版社が実際に受けたランサムウェア攻撃の事例を取り上げながら、ソフトウェアエンジニアとしてどのように備えるべきかを徹底解説しました。
近年、企業のITインフラやコーポレートITだけでなく、アプリケーションレイヤーへの攻撃も深刻化しています。ランサムウェア攻撃により、数十億円規模の被害や長期のシステム停止といった大きなダメージを受けるケースが後を絶ちません。本セッションでは、攻撃者がどこから侵入してどのような経路でシステムを掌握し、最終的に大規模な被害をもたらすのか。その具体的な流れを「ポストモーテム形式」で振り返り、エンジニア目線でどう対策できるのかを学びました。
以下の内容では、面氏のLT(ライトニングトーク)で紹介された攻撃事例のポイントと、実際に飛び交ったQ&Aを中心にまとめています。
https://offers-jp.connpass.com/event/333923/
1. 攻撃の全容:大手出版社へのランサムウェア攻撃
角川グループのシステム停止
今回焦点となったのは、大手出版社・角川グループが受けたサイバー攻撃です。攻撃が発覚した後、2か月にわたる業務・システム停止が続き、被害額は数十億円規模にのぼったと推定されています。実際の公表資料によると、約24億円の特別損失を計上することになり、企業活動に非常に大きなインパクトを与えました。
停止したシステムは紙の出版管理や電子書籍の配信、動画配信プラットフォームなど広範囲にわたっており、攻撃者が内部ネットワークを自在に侵入できる状況になっていたことがわかります。
2. 攻撃者の狙いと侵入経路
ダークウェブで流通する認証情報
ランサムウェアグループは「ブラックスーツ(BlackSuit)」と呼ばれる組織で、過去に動物園や金融委員会、さまざまな団体への攻撃が確認されています。政治的意図は薄く、お金目的で世界中の企業を狙うという性質が強いのが特徴です。
彼らが最初に目を付けるのは、ダークウェブに流出した認証情報(メールアドレスとパスワード、APIキーなど)です。大手企業でも意外に「従業員が使うパスワード」が別のサービスから漏れており、それをそのまま会社のVPNやリモートデスクトップの認証に使っているケースが多々あります。
内部ネットワークへの拡大
外部からVPNなどを経由して初期アクセスを得た攻撃者は、社内で使われているWindowsやLinuxサーバー上のアカウントをさらに盗み取り、社内ネットワークを次々と踏破していきます。最終的には「ランサムウェア(ファイル暗号化)」をまき散らし、身代金を要求。その途中で大量の社内データも窃取しているため、バックアップからの復旧を困難にしてしまうのです。
特に角川グループの場合も、侵入後にバックアップ環境を含めてデータが暗号化されてしまい、一部システムが2か月停止という深刻な事態になりました。
3. ポストモーテム形式で見る被害と対策
面氏は「ポストモーテム」の振り返りフォーマットを提示し、今回の攻撃を以下の観点で整理しました。
サマリ
6月上旬に不正アクセスを検知。すでに大量のデータが窃取されていた可能性が高い。
社内システム全体をシャットダウンし、長期間の復旧作業を余儀なくされる。
インパクト
出版や映像配信など、多岐にわたる事業が停止。
数十億円級の損失、企業イメージの低下も含め、大きな経営インパクトをもたらした。
原因
ダークウェブ上に流出していた認証情報を悪用された可能性。
フィッシングメールによる従業員アカウントの搾取などが重なり、侵入を許した。
影響
顧客データの漏洩リスク、サービス停止でユーザー離脱。
バックアップ先にもバックドアが同期され、安全な状態を見つけ出すまで復旧が長期化。
対応・再発防止策
予防:MFA(多要素認証)の徹底、脆弱性のあるVPN機器やOSのアップデートの確実化。
検出:侵入を疑うログ監視、アプリケーションやファイルの不審な振る舞いを検知するEDR/IDSの導入。
緩和:権限の最小化(rootやAdministratorを安易に使わない)、ゾーニング設計による侵害拡大の防止。
修正:バックアップポリシーの見直し、復旧手順や撤退ラインの明確化。
4. ソフトウェアエンジニアとしての具体策
全エンジニアが狙われる時代
「攻撃者にとって開発者はおいしい標的」と面氏は強調します。開発者が持つアカウントには、広範囲に操作できる権限があるケースが多いのです。攻撃者がエンジニアをだましてマルウェアを踏ませる「面接オファーを装った手口」も確認されており、日常のすべてが危険にさらされていると言っても過言ではありません。
MFAやオペレーション設計で被害を縮小
認証情報の取り扱い
同じメールアドレスとパスワードを他サービスに使い回さない
GitなどにAPIキーを直書きしない
ロール分割と権限管理
ルート権限・管理者権限を安易に付与せず、必要最小限に抑える
コンテナやクラウドの役割分担を明確化し、1つが侵害されても全体が崩壊しないようなアーキテクチャ設計
多層防御の考え方
「すべては陥落する前提」でログ監視や不審通信遮断の仕組みを導入
復旧のためのバックアップは「1か月遡ってクリーンな状態に戻せるか」など、複数のシナリオを用意しておく
5. Q&A ピックアップ
「ショートメールを使った多要素認証は弱いのか?」
近年はSIMスワッピング攻撃などでSMS認証を突破される事例が増加。可能であればハードウェアキーや専用アプリによるMFAが望ましい。
「バックアップ時にアンチウイルスやEDRが反応しない?」
多くの場合、バックアップはファイル単位でなくビット単位で複製するため、ファイルとして認識されず検知が働かない。
バックアップ専用のストレージ側で検知する仕組みが存在するが、負荷や費用の問題が大きい。
「オクタなどのID管理サービス導入は有効?」
MFAやアクセス制御の整備は非常に重要だが、VPN機器の脆弱性やOSアップデートなど基盤の対策も並行して行わなければ万全ではない。
「Windowsでアドミンを取られた場合、どうしようもないのでは?」
ドメインアドミンとローカルアドミンを厳格に分けるなど、権限を徹底的に細分化する設計が求められる。アドミンを取られるリスクを最小限にするのが現実的。
6. 全体を踏まえた感想
本イベントでは、大手出版社のランサムウェア攻撃を事例として、企業システムだけでなくアプリケーション開発領域も含めたセキュリティ対策を再検証する重要性が強調されました。
近年のサイバー攻撃は、思いもよらない手段でエンジニア個人を狙い、そこからコーポレートのネットワークへ侵入する手口が多様化しています。「自分は狙われない」という意識ではなく、常に高リスクを前提とした“多層防御”の設計やMFAの導入、脆弱性を放置しない運用が不可欠です。
一方、開発現場では便利さを優先して権限を大きく与えたり、ルートで動かし続けたりする場面が後を絶ちません。そこに“運用コストの都合”や“負債化への無頓着”が絡むと、攻撃者にとっては好都合な状況が広がります。今回の事例は、こうした構造的な弱点を突かれた結果とも言えるでしょう。
ソフトウェアエンジニアこそ、バックアップやアクセス制御、ログ監視などの運用レイヤーを「他人任せ」にせず、どこに潜むリスクがあるのかを理解し、最小限の権限で安全にアプリを動かすという視点を持つべきです。企業全体が、セキュリティ担当だけに対策を任せるのではなく、エンジニアも含めたスクラムで「攻撃を想定した設計・運用」を実践できるようになることが、今求められています。
今回のセッションをきっかけに、自分自身の開発環境や運用状況、また組織のセキュリティ体制を改めて見直す方が増えることを期待したいです。攻撃リスクのなかでより強固なサービスを作り続けるために、エンジニアが果たせる役割は想像以上に大きいのではないでしょうか。
Yardでは、テック領域に特化したスポット相談サービスを提供しています。
興味がある方は、初回の無料スポット相談をお申し込みください。
また、資料請求やお問い合わせもお待ちしております。テック領域の知見を獲得し、事業成長を一緒に実現していきましょう。
