投稿日:

サイバーレジリエンスとは何か―ランサムウェア時代の企業が取るべき対策と実践ガイド
第2回:Qilinサイバー攻撃に学ぶサイバーレジリエンス

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーレジリエンスとは何か 第2回:Qilinサイバー攻撃に学ぶサイバーレジリエンス

攻撃されても事業を継続できる力「サイバーレジリエンス」を解説。シリーズ第2回は、ランサムウェア攻撃グループ「Qilin」による攻撃の経緯と影響を解説します。被害状況を整理し、企業が得られる教訓と、サイバーレジリエンス強化のポイントを示します。

アサヒグループへの攻撃事例

2025年9月、日本を代表する食品・飲料メーカー、アサヒグループホールディングスは、ランサムウェア集団「Qilin(キリン)」の大規模サイバー攻撃の被害に遭いました。これにより、同社の統合システムが停止し、受注や出荷だけでなく、会計や人事、顧客対応までが全面的に麻痺しました。新商品の発売延期や決算発表の遅延、数カ月単位のビジネスインパクトが現実となり、日本社会にも サイバーレジリエンス情報セキュリティの再認識を促す事態が生まれました。

ランサムウェア攻撃グループ「Qilin」の特徴

Qilinはロシア語圏を拠点とするランサムウェア集団で、2022年に「Agenda」から改称・拡張した犯罪組織です。2025年だけで700件超もの犯行声明を出し、暗号化ツールや恐喝サイトを第三者に提供する「 RaaS(Ransomware as a Service)」モデルを主力に展開。技術力に乏しい攻撃者でも、サービスとして提供される攻撃ツールを利用して、企業システムへの侵入・データ窃取・身代金要求が可能となりました。今回のアサヒグループへの攻撃では、財務情報や従業員の個人情報を含む9300ファイル以上、計27GB超の機密データを盗んだと主張しています。

攻撃の手口については公式発表では明らかにされていませんが、一般的にランサムウェアでは、以下のような経路が考えられます。フィッシングメールやVPN脆弱性の悪用、認証情報の窃取から正規アクセスの確立、そしてシステム内へのラテラルムーブメント(水平展開)です。特にQilinは二重脅迫型で被害企業に身代金の支払いを強く迫り、支払い拒否時には盗んだデータの公開や発注先・顧客への連絡まで講じる、三重・四重の多重脅迫へと進化しています。バックアップの破壊、サプライチェーンや経営層への直接圧力まで、RaaSによるサイバー攻撃の悪質化・高度化が進んでいます。

従来型セキュリティの限界とゼロトラストセキュリティ

サイバー攻撃に対しては、従来型の情報セキュリティ対策のみでは防御しきれません。定期的なセキュリティ教育と、VPN・認証情報・アクセス権限の適切管理、多層防御(EDR/XDR、ネットワーク監視、オフラインバックアップ)の導入、そして暗号化による”システムへの侵入前提の対策“が不可欠です。完全防御は不可能であり、いかに早く侵入検知し、適切なインシデント対応計画のもと事業復旧を果たすかがサイバーレジリエンスの本質となります。

アサヒグループのケースでは、緊急事態対策本部の設置、手作業による一部業務継続、新商品の発売延期、個人情報流出の公表、そして復旧宣言までの透明かつ迅速な情報公開が、関係者との信頼維持に大きく寄与しました。政府の施策としても、重要インフラなど15業種に義務化されているActive Cyber Defense(ACD)制度拡充など、日本社会全体でのサイバー攻撃リスクへの対応強化が模索されています。

事例から学ぶサイバーレジリエンス強化のポイント

事例から学ぶべき教訓は、攻撃を未然に防ぐだけでなく”侵入前提”に立った情報セキュリティ体制の整備と、サイバーレジリエンス強化への継続的な投資・教育の重要性です。組織文化としての危機管理、復旧方針の明確化、経営陣の強いコミットメントが不可欠となります。また、暗号化やゼロトラスト、防御・検知・復旧サイクルを確立し、被害時に迅速に情報公開と初動対応が行える体制づくりが、企業の信頼回復・競争力強化に直結することを改めて理解すべきでしょう。

高度化するランサムウェア攻撃と情報セキュリティリスクを前に、企業・組織は一時的な対策の実施に留まらず、「いかに早く立ち直るか」「次の攻撃にどう備えるか」に重点を置く必要があります。サイバーレジリエンスの本質、それは「攻撃されても倒れない」現実的な強さであり、アサヒグループへのランサムウェア攻撃事例はその象徴的な例として日本社会全体に警鐘を鳴らしています。

―第3回へ続く―

【参考情報】

【関連ウェビナー開催情報】
弊社では12月3日(水)14:00より、「【最新事例解説】Qilin攻撃に学ぶ!組織を守る“サイバーレジリエンス強化のポイント”喫緊のランサムウェア被害事例からひも解く ― 被害を最小化するための“備えと対応力”とは?」と題したウェビナーを開催予定です。最新のランサムウェア被害事例をもとに、攻撃の実態と被害を最小化するための具体的な備えについて解説します。ぜひご参加ください。詳細・お申し込みはこちら

サイバーインシデント緊急対応

セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

  • 2025年11月26日(水)13:00~14:00
    【好評アンコール配信】「クラウド設定ミスが招く情報漏洩リスク -今こそ取り組むべき「クラウドセキュリティ設定診断」の重要性-
  • 2025年12月3日(水)14:00~15:00
    【最新事例解説】Qilin攻撃に学ぶ!組織を守る“サイバーレジリエンス強化のポイント”喫緊のランサムウェア被害事例からひも解く ― 被害を最小化するための“備えと対応力”とは?
  • 2025年12月10日(水)14:00~15:00
    【最短7営業日で報告書納品】短納期で実現するWeb脆弱性診断の新提案-SQAT® with Swift Delivery紹介セミナー

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    【長期休暇前の見直しを!】ネットワーク図が消えた瞬間─ランサムウェア時代のインシデント対応を左右する“準備”の質

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    インシデントレスポンス・フォレンジック記事アイキャッチ画像(パソコンと火のイメージ)

    長期休暇は攻撃者にとっての“ゴールデンタイム”─攻撃の隙を突かれ、組織のネットワーク図や構成情報が暗号化されてしまえば、インシデント初動対応やフォレンジック調査に大きな支障が生じます。本記事ではランサムウェア攻撃の実例を交えつつ、サイバー攻撃への対策の要点を解説します。

    図面サーバが暗号化された実例が突きつけた現実

    2021年1月、プエルトリコ財務省(Hacienda)の共有サーバがランサムウェア「Ryuk」によって暗号化されました。困難を極めたのは業務システムそのものではなく、インシデント対応の羅針盤となるIDSログとネットワーク図まで人質に取られたことでした。CompSec Direct社は、外部のDFIR(Digital Forensics & Incident Response)チームが構成を把握するまでに数時間を費やし、その間オンライン納税が全面停止した結果、1日あたり2000万ドルを超える税収が失われたと報告しています。さらに同様のリスクが民間企業にも差し迫っています。Microsoft Igniteで発表されたランサムウェアバックアップ戦略ガイド「Ransomware attack recovery plan」では、「ネットワーク図やCMDBは攻撃者が真っ先に狙う復旧用ドキュメントであり、失えば復元計画そのものが成立しなくなる」と警鐘を鳴らしています。

    ネットワーク図はフォレンジック調査とCSIRTの羅針盤

    マルウェア感染が判明した直後、CSIRT(Computer Security Incident Response Team)はネットワークをどこで遮断すべきか、どのホストでメモリダンプやパケットキャプチャを始めるべきかを瞬時に決めなければなりません。その判断を支える“地図”こそ最新のネットワーク図です。AWS Incident Response「Document and centralize architecture diagrams」でも、アーキテクチャ図を一元的に保管し常に更新しておくことが「迅速かつ正確な封じ込めの前提」と明示しています。

    フォレンジック担当者にとっても図面は欠かせません。感染セグメントの境界を論理的に隔離し、ログ残存率の高い経路を優先してトラフィックを保存し、横展開を想定したホストに的を絞ってメモリを取得する—こうした分単位のオペレーションは、正確な構成情報があって初めて迷いなく実行できます。図面が欠落した状態では、調査は手探りになり、感染拡大のリスクが急激に高まります。

    攻撃者が真っ先に狙う“復旧用ドキュメント”

    近年のランサムウェアは単にシステムを暗号化するだけでなく、復旧の要となるバックアップやドキュメントを破壊・窃取する二重・三重恐喝が主流です。Microsoftは前述した「Ransomware attack recovery plan」の中で、図面を含む復旧ドキュメントを必ずイミュータブルまたはオフラインの領域へ隔離し、管理者権限を奪われても書き換えられないように設計することを強調しています。この”文書奪取型”の攻撃は、組織が身代金を支払わざるを得ない状態へ追い込む目的で計画的に行われます。したがって、図面の退避先をシステムとは別レイヤーに置く設計思想そのものが、ランサムウェア時代の事業継続計画(BCP)の根幹となります。

    三層バックアップと3-2-1 ルール—図面を守るための冗長化設計

    攻撃者がドキュメントを狙う前提を踏まえ、Microsoft Azureや多くのクラウド事業者は「三層バックアップ」を基準として推奨しています。第一層は多要素認証を必須化したオンラインバックアップで、日常的な迅速リストアを担います。第二層はクラウドのイミュータブルストレージで、週次コピーを保管し、管理者権限の奪取による改ざんを防ぎます。第三層は完全オフラインの隔離媒体で月次アーカイブを保持し、最悪のシナリオでも“最後の砦”として機能します。この三層構造の流れは下図の通りです。

    三層バックアップのイメージ図

    三層バックアップは、しばしば「三つのコピー・二種類の媒体・一つはオフサイト」という 3-2-1ルールとも呼ばれ、ログやアプリケーションデータだけでなくネットワーク図のような復旧必須ドキュメントにもそのまま適用できます。重要なのは、図面を単なるPDFとして保存するのではなく、バージョン管理システムやIaC(Infrastructure as Code)ツールで変更履歴を残し、更新が発生するたびに自動でイミュータブル層へ複製する運用プロセスを組み込む点にあります。

    長期休暇は“攻撃者のゴールデンタイム”

    大型連休や年末年始は、内部管理者の不在や監視体制の手薄さを突く格好のタイミングです。実際、米CISAと FBIは2021年のレイバー・デー (Labor Day=労働者の日)を前に、「過去の大規模ランサムウェア攻撃は、週末や祝日の直前に集中する傾向がある」と共同アドバイザリRansomware Awareness for Holidays and Weekends」を公開し、平時よりも高い警戒レベルを求めました。

    国内でも2024年4月、独立行政法人情報処理推進機構(IPA)が「2024年度 ゴールデンウイークにおける情報セキュリティに関する注意喚起」を発表し、「長期休暇中は管理者が長期間不在になるため、インシデント発生時の対応が遅れ、休暇明けの業務継続に影響が及ぶ恐れがある」と警告しています。連休を狙った攻撃が成功しやすい背景には、VPNリモートデスクトッププロトコル(RDP)のパッチ未適用、監視ログの見落としといった“人的スキマ”が重層的に生じる点があります。

    「連休前点検」と「連休後フォロー」を年間行事に

    休暇入りの二週間前を目安に、ネットワーク図とCMDB(構成管理データベース)の最新版をイミュータブル層へ複製し、外部ベンダーとも共有確認を行う—これだけで、もし連休中に図面サーバが暗号化されても代替コピーを即座に展開できます。さらに休暇明け初日に、ログの異常値とバックアップ整合性をチェックする“フォローアップ窓”を設ければ、潜伏期間の長いマルウェアを早期に検知できます。

    平時にベンダー契約を結び、図面を安全に共有する

    インシデント対応は社内リソースだけで完結しない局面が多くあります。経済産業省が公開した中小企業向け手引きでも、専門知識が不足する場合は外部ベンダーへ速やかに支援を依頼するよう明記されています。ところが緊急時に初めて見積もりを取得し、社内決裁を経て、機密保持契約(NDA)を交わすようでは手遅れになりかねません。またNIST SP 800-61 Rev.3でも、外部サービスプロバイダーとの契約には責任分界点・連絡フロー・緊急時の権限を事前に文書化し、図面や資産リストを暗号化して共有しておくべきだと指摘しています。

    図面を平時から共有しておけば、ベンダーは現地到着と同時に封じ込めポイントやログ取得手順を提示できる―これが、初動を数十分で完了させるか、半日を失うかの分岐点となります。

    図面更新運用「変更が起きた瞬間にバックアップを取る」

    ネットワーク構成は日々変化します。クラウドのセキュリティグループを1行書き換えるだけでも、感染経路や封じ込め手順は一変します。したがって、図面更新の責任を特定の担当者に寄せるのではなく、CI/CDのパイプラインに組み込んで自動化するアプローチが有効です。例えば、IaCテンプレートを最新版にマージすると同時に、図面を自動生成し、イミュータブル層へコミットする―こうして「変更=バックアップ」のトリガーを組織文化として定着させることで、人為的な更新漏れを防止できます。

    クラウド・オンプレミスを跨ぐハイブリッド環境への適用のポイント

    ハイブリッド環境では、クラウド側のアーキテクチャ図とオンプレの物理配線図を統合的に管理する必要があります。AWS Systems Manager Application ManagerやAzure Arcなどのサービスを活用すると、マルチクラウド/オンプレ資産を単一のリポジトリへ収集できる。こうして得られたメタデータをエクスポートし、Visioやdraw.ioで図面化して保管すれば、プラットフォームを跨いだ封じ込め手順を迅速に策定できます。

    90日で構築する“図面と契約”のロードマップ

    まず、30日以内に既存図面の所在を棚卸しし、漏れや重複を洗い出します。次の30日で三層バックアップを設計し、イミュータブル層とオフライン層へのコピーサイクルを自動化します。最後の30日でMSSPやクラウドベンダーとの契約書に図面共有条項を追加し、緊急連絡網と責任分界点を明文化します。こうした段階的な取り組みを通じて、図面が失われても数分で代替コピーを展開できる体制が完成します。

    まとめ:今日から始める“図面と契約”の棚卸し

    ネットワーク図は初動対応の生命線であり、失えば封じ込めもフォレンジックも大幅に遅れます。図面そのものが攻撃者の標的になる現実を踏まえ、イミュータブルストレージと完全オフライン媒体を組み合わせた三重の防御を施すことが不可欠です。さらに、平時からMSSPやフォレンジックベンダーと契約し、暗号化した図面を安全に共有しておけば、いざという時に“地図を持った専門家”が数分で封じ込めを開始できます。図面が手元にあるか否かで、インシデント対応は「数時間」で済むか「数日」を要するかが決まります。ランサムウェアが猛威を振るう2025年、まずはバックアップ設計とベンダー契約を棚卸しし、次の長期休暇を迎える前に備えを万全にしましょう。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    【参考情報】

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ウェビナー開催のお知らせ

  • 2025年8月5日(火)14:00~15:00
    企業サイトオーナー向け ユーザーからのレピュテーションを高めるWebサイトの在り方-Webサイトを取り巻くリスク・規制・要請とユーザビリティ向上-
  • 2025年8月20日(水)13:00~13:30
    EC加盟店・PSP必見!クレジットカード・セキュリティガイドライン6.0版対応ウェビナー

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像