今回は、情報セキュリティ上の緊急周知としてお話をします。近年世の中を騒がせているランサムウェアについて、具体的にどのように被害が発生するのかをストーリーとしてお伝えします。
※ネットワークシステムはオンプレミスのWindows ServerのADを運用している前提とします。
ランサムウェア被害シナリオ
第1段階:危険なサイトへのアクセスと気付かない初期侵入
- マルウェア感染 –
ある日、社員が業務中や休憩中に、「悪意のあるウェブサイト」にアクセスしてしまいます。これは、巧妙に偽装された「Phishing」(フィッシングサイト)や、普段よく見る正規のサイトが改ざんされた「Watering Hole」(水飲み場型攻撃)だったかもしれません。
サイトを開いただけで、「ブラウザ、拡張機能の」脆弱性が悪用されます。ここで特に注意すべきは、ブラウザ本体の更新忘れだけでなく、便利だからとブラウザに追加している「拡張機能(アドオン)」の脆弱性も、攻撃者にとって格好の入り口となり、感染リスクを大きく高めてしまうという点です。
これらの脆弱性を突かれることで、本人がファイルのダウンロードボタンなどを一切クリックしなくても、「マルウェアの直接ダウンロード (Drive-by Download)」(DBD)が裏で自動的に実行されてしまいます。
この時、PCに入っていた「従来のウィルス対策 (バターンマッチング方式)では、未知のファイルに対して検出できない」ため、セキュリティソフトの監視をすり抜け、まずは「Dropper / Downloader」と呼ばれる、後続のウイルスを呼び込むための引き込み役のプログラムがPC内に侵入してしまいます。
第2段階:司令塔からの指示とランサムウェアの降臨
- ランサムウェアの引き込み –
初期侵入を果たした「Dropper / Downloader」は、外部の攻撃者インフラである「C2(Command and Control)」「サーバー」に対して「違法行為の指示」を仰ぎ、「ランサム」ウェア本体をダウンロードしようとします。この際、会社のルーターや「FireWall / VPN/UTM」は、以下のようなメカニズムで合法的に突破されます。
- アウトバウンド(内から外)通信の悪用:
この通信は、外部からの不正アクセス(インバウンド)として始まるわけではありません。感染した社内PCを起点として、外部のC2サーバーへ向けてセッションを確立します。一般的な企業ネットワークでは、社員のWeb閲覧業務を妨げないよう、内部から外部への通信(Egressトラフィック)は基本的に許可されています。そのため、ルーターやファイアウォールの「ステートフル・インスペクション」機能により、戻りの通信(ダウンロードされるデータ)も正規の応答として自動的に許可されてしまいます。 - 悪用されるポート(主に TCP/443):
通信には、通常のセキュアなWebブラウジングと同じ TCPポート443 (HTTPS) が最も頻繁に悪用されます(場合によっては TCP/80 (HTTP) や、DNSクエリに偽装する UDP/53 も使用されます)。これにより、ファイアウォールのポート制限を容易にすり抜け、ネットワーク監視機器からは「社員が通常のWebサイトを閲覧しているだけのトラフィック」にしか見えません。 - SSL/TLS暗号化によるUTMの無力化(ブラインドスポット):
C2サーバーとの通信がHTTPS(TCP/443)で行われる場合、ダウンロードされるランサムウェア本体のデータストリームはTLSで暗号化されています。もし境界にあるUTMやプロキシサーバーで「SSLインスペクション(暗号化通信の復号・検査)」を有効にしていなければ、UTMはパケットのペイロード(中身)を検査できません。シグネチャによる検知を完全に回避され、危険な実行ファイルが堂々と通過してしまいます。
結果として、正規のWeb通信に紛れ込んだ暗号化ストリームを通じて、ランサムウェア本体がルーターの許可ポート(443等)を通り抜け、社内PCへ引き込まれて実行されてしまいます。
第3段階:社内ネットワークへの「横展開」とパスワードの窃取
初期侵入を果たしたマルウェア(攻撃者)は、感染したPCを踏み台(ペイシェント・ゼロ)として、社内システムの中枢であるActive Directory(AD)のドメインコントローラー(DC)の掌握を最終目標に「横展開(ラテラルムーブメント)」を開始します。
- 内部ネットワークの探索とプロトコルの悪用(East-Westトラフィック): 図にある「RDP/SMBへの総当たり・脆弱性悪用」のフェーズです。攻撃者は内部ネットワークをスキャンし、ファイル共有プロトコル(SMB: TCP/445)やリモートデスクトップ(RDP: TCP/3389)が稼働している他の端末やサーバーを特定します。ここで、弱いパスワードに対するブルートフォース攻撃や、SMBの既知の脆弱性(パッチ未適用のCVEなど)を突いて、次々と別のノードへアクセス範囲を広げていきます。
- クレデンシャル・ダンピング(認証情報の抽出): 図の「脆弱性を突いてアカウント情報を抜き取る」挙動です。侵入したPC上でローカルのSYSTEM権限などを奪取(権限昇格)した後、攻撃者はMimikatzなどのツールを用いて、Windowsのメモリ空間(LSASS.exeプロセスなど)から、キャッシュされているユーザーのパスワード(平文)やNTLMハッシュを抽出(ダンプ)します。
- Pass-the-Hash(PtH)攻撃による特権の奪取: 図の「ドメイン管理者がこのPCを利用していた形跡があると…」という最も致命的なシナリオです。もし過去に、情報システム部のエンジニアが保守作業などでこのPCに「ドメイン管理者(Domain Admin)」権限でログインしていた場合、ログオフ後もそのハッシュ値がメモリ上に残留しているケースがあります。 攻撃者は、パスワードの平文を解読(クラック)する必要はありません。盗み出した「ハッシュ値」そのものを認証プロトコルに直接投入して再利用するPass-the-Hash(PtH)攻撃を実行し、正規のドメイン管理者になりすましてDCへのアクセス権限を完全に奪取します。
- 境界防御(UTM)の死角と検知回避: 図にある「UTMは、正規のアカウントで入られたら検知できない」という点について。この横展開の通信は、社内ネットワーク内部の通信(East-Westトラフィック)であるため、そもそも境界(North-South)に設置されたUTMやファイアウォールを経由しないことがほとんどです。さらに、使われているプロトコル(SMB/RDP)も、使用しているアカウント(奪取した特権ID)も「正規のもの」であるため、ネットワーク監視機器からは通常の管理者による保守作業にしか見えず、シグネチャベースの防御は完全に無力化されます。
第4段階:社内システムの中枢陥落と一斉攻撃
第3段階でドメイン管理者(Domain Admin)の権限(ハッシュ値など)を奪取した攻撃者は、標的である「Windows Server DC/AD」へ到達し、ドメインの完全掌握(Domain Dominance)を果たします 。ここから先、攻撃者はマルウェア固有の動きではなく、Windowsの「正規の管理ツール」を使って社内網を破壊しにかかります。
- ドメインコントローラー(DC)の制圧: 奪取した特権を利用してDCにログインします。DCを掌握されるということは、社内ネットワークの認証基盤と構成管理の全権が攻撃者の手に渡ったことを意味し、「AD管理下のデバイスへの 支配・破壊・ポリシー変更」が完全に攻撃者の自由に行える状態になります 。
- GPO(グループポリシーオブジェクト)の悪用: 攻撃者はランサムウェアを1台ずつ手作業で感染させるような非効率なことはしません。ADの強力な統合管理機能であるGPOを「一斉攻撃の兵器」として悪用し、「GPOによりランサム配布」を実行します 。
- SYSVOL共有などへのペイロード配置: 具体的には、ランサムウェアの本体(実行ファイルや難読化されたPowerShellスクリプトなど)を、ドメインに参加している全クライアントPCが読み取り可能な SYSVOL や NETLOGON といった共有フォルダに配置します。
- セキュリティの無効化(Defense Evasion)と強制実行: 攻撃者は、全端末に適用されるGPO(Default Domain Policyの改ざんや新規作成)を設定します。多くの場合、まずはGPOを使ってWindows Defenderやその他のエンドポイントセキュリティ製品(EDR/AV)のサービスやプロセスを強制的に無効化・停止させます。 その上で、スタートアップスクリプトやログオンスクリプト、あるいはGPOの「スケジュールされたタスク」の配布機能を利用して、先ほど配置したランサムウェアを各PCの最高権限である「SYSTEM権限」で実行するように仕向けます。
- 全社同時の暗号化と業務停止(結末): 各クライアントPCがバックグラウンドで定期的なポリシーの更新(gpupdate)を行ったタイミングや、翌朝社員がPCを起動・ログオンしたタイミングで、全社一斉にランサムウェアが起動します。正規のシステム管理プロセスを通して実行されるため防ぐ間もなく、社内の全デバイスとファイルサーバーが一瞬にして暗号化され、完全に業務が停止します。
結末:全社の電子ファイルが暗号化され、業務停止へ
全社に展開されたランサムウェアが起動すると、手当たり次第にディスク全体を破壊するわけではありません。攻撃者の目的は「システムを破壊すること」ではなく、「身代金を払わせること」であるため、非常に計算されたアルゴリズムで暗号化を実行します。
- OSの保護と価値のないファイルの除外(効率化と確実性): 攻撃者は脅迫文(Ransom Note)を被害者に読ませ、支払い手続きをさせるために、OS自体は正常に稼働させ続ける必要があります。そのため、C:\Windows などのシステムディレクトリやブート領域は意図的に暗号化対象から外します。 また、暗号化処理にはCPUリソースと時間を消費するため、身代金の価値を生まないブラウザのキャッシュ(Tempファイル)やごみ箱の中身、アプリケーションの実行ファイル(.exe / .dll)などはスキップします。その代わり、業務に直結する拡張子(.docx, .xlsx, .pdf, .zip, .sql などのDBファイルやソースコード)のみを狙い撃ちにして、効率よく暗号化を進めます。
- 「王冠の宝石」を探すネットワーク探索(共有サーバーへの攻撃): ローカルPCのデータだけでは被害が限られるため、ランサムウェアはOSのAPI(NetShareEnum や WNetOpenEnum など)を叩いたり、ARPテーブルやActive Directoryの情報を読み取ったりして、現在ネットワーク上に存在し、アクセス可能な「ファイルサーバー(SMB共有)」を自動的に探し出します。見つけ次第、ネットワーク越しに共有ドライブ内の重要ファイルを高速で暗号化していきます。
- Google Drive環境における致命的な連鎖(クラウド同期の罠): 「当社は物理的なファイルサーバーではなく、Google Driveを全面導入しているから安全」と考えるのは危険な誤解です。 多くの社員は利便性のために「Google Drive パソコン版(旧ファイルストリーム)」を使用し、クラウドストレージをローカルの仮想ドライブ(例:G: ドライブ)としてマウントしています。ランサムウェアから見れば、これは単なる「書き込み可能なローカルドライブ」です。
- ランサムウェアが、マウントされたGoogle Drive上のローカルキャッシュファイルやストリーミング対象のファイルを暗号化(上書き)します。
- すると、Google Driveの同期クライアントはそれを「ユーザーによるファイルの正規の更新」と誤認します。
- 結果として、「暗号化された壊れたファイル」が即座にクラウド上のGoogle Driveへ同期(アップロード)され、正常なクラウドデータが上書きされてしまいます。
- 業務の完全停止と復旧の困難さ: Google Driveにはバージョニング(履歴管理)機能があるため、理論上は過去のバージョンに戻すことが可能です。しかし、GPO悪用によって「全社員のPCで同時に」数万〜数百万のファイルが暗号化・同期された場合、それを1つずつ手作業やAPIで正常なバージョンにロールバックする作業は天文学的な工数となり、実質的に長期間の業務停止(ビジネスダウンタイム)に陥ります。
復旧の困難さ
これまでの「1つのクリックから全社がダウンするまで」のストーリー、そして「なぜハードウェアを丸ごと入れ替えるのか」という技術的背景を踏まえて、「ランサムウェア感染後の復旧作業の手順とその絶望的な困難さ」を解説します。
ITエンジニア向けの教育用として、「単なるバックアップからのリストア作業」では済まない、インシデントレスポンスの過酷な現実を時系列でまとめました。
【復旧編】システム再構築の終わりのない道のり
全社のPCが暗号化され、Active Directory(AD)が掌握された「最悪の事態」から業務を再開させるには、以下のような血の滲むような復旧プロセスが必要になります。
フェーズ1:初動対応とネットワークの物理遮断(Containment)
感染が発覚した直後、被害の拡大(外部へのデータ持ち出しや、別セグメントへの横展開)を防ぐための緊急措置をとります。
- 作業手順: 感染が疑われる全端末のネットワークケーブルを物理的に引き抜き、Wi-Fiルーターの電源を落とし、外部とのVPNやインターネット接続を強制遮断します。
- ここが困難: エンジニアにとって一番辛いのは、「ネットワークを遮断する=会社の全業務を完全に停止させる」という経営判断を即座に下さなければならない点です。また、ADが落ちているため、どの端末が生きているのかリモートで把握することすらできず、社内を走り回って物理的にLANケーブルを抜くというアナログな対応を強いられます。
フェーズ2:証拠保全とフォレンジック調査(Forensics)
先ほどお話しした通り、感染したPCは「犯罪の現場(証拠品)」となるため、すぐに初期化してはいけません。
- 作業手順: 感染端末はそのまま隔離・保管します。並行して、ファイアウォール(UTM)の通信ログ、プロキシのログ、残存しているサーバーのイベントログなどを収集し、「どこから(Patient Zero)、いつ、どのように侵入され、どのデータが盗まれたのか」を専門業者とともに解析します。
- ここが困難: 攻撃者は自身の痕跡を消すために、イベントログを消去・暗号化していることが多々あります。また、侵入の起点(第1段階のウェブサイト閲覧)が数ヶ月前であることも珍しくなく、膨大なログの海から1つの不審な通信を見つけ出す作業は、数週間から数ヶ月を要する気の遠くなる作業です。
フェーズ3:認証基盤(Active Directory)のスクラップ&ビルド
ここが、ITエンジニアにとって最大の難関です。ADの管理者権限が奪われた以上、現在のシステムは「隅々まで毒されている」と見なすしかありません。
- 作業手順: 前日のバックアップからADをリストアしてはいけません。攻撃者が仕掛けたバックドアや不正な管理者アカウント(Golden Ticketなど)ごと復元してしまうからです。完全にクリーンな環境でADサーバーを「ゼロから新規構築」するか、特殊な手順でADのオブジェクトを徹底的に洗浄する(全パスワードのリセット、全サービスアカウントの再発行など)必要があります。
- ここが困難: ドメインを一から作り直すということは、社内の全サーバー、全端末のドメイン参加のやり直し、ファイルサーバーのアクセス権(ACL)の再設定、グループポリシー(GPO)の再設計を意味します。これは、会社のITインフラをもう一度創業時から作り直すのと同じレベルの工数です。
フェーズ4:新しいハードウェアの配布とデータ復旧(Restoration)
クリーンなネットワークとADが用意できたら、いよいよ社員が業務を再開するための環境を整えます。
- 作業手順: 先述の理由(UEFI感染リスクや証拠保全)から、数百〜数千台の「新品のPC」を急遽調達し、クリーンなOSと最新のセキュリティツール(EDRなど)をインストールして全社員に配布します。
- ここが困難(Google Driveの罠): 当社のようにGoogle Driveを全面導入している場合、クラウド上のデータも「暗号化されたファイル」で上書き同期されてしまっています。Google Workspaceの管理者機能やAPIを使ってファイルのバージョンをロールバックする必要がありますが、「数千人のユーザーが持つ数百万のファイル」を個別に正常な日時のバージョンに巻き戻す作業は、APIの制限(Rate Limit)にも引っかかりやすく、スクリプトを組んで自動化しても数日〜数週間かかる巨大なデータ復旧プロジェクトになります。
個人情報その他
ランサムウェアやマルウェアの被害において、暗号化されてシステムが止まるだけでも大惨事ですが、そこに「個人情報の漏えい(またはそのおそれ)」が加わると、インシデントの性質が「社内のシステム障害」から「社会的なコンプライアンス違反・経営危機」へと一気に跳ね上がります。
改正個人情報保護法により、個人情報の漏えい(またはランサムウェアによるアクセス制御の喪失)が発生した場合、個人情報保護委員会(PPC)への報告が「法的な義務」となっています。
また、ランサムウェアに感染したという事実は攻撃グループにより暴露サイトに掲載され、その事実は金融機関にも共有されて財務上のリスクがある会社としてマークされることもあるようです。
警句
『万が一感染しても、バックアップから戻せばいい、PCを初期化すればいい』という時代は終わりました。ADを掌握された時点での復旧コストは、数億円の金銭的被害と、IT部門の数ヶ月にわたる不眠不休の対応を意味します。 だからこそ、最初の図に戻りますが、『第1段階の不審なサイトへのアクセスを防ぐこと』、そして『第3段階の横展開を許さないための、管理者権限の厳格な分離やEDRによる早期検知』という侵入を前提とした初期防衛が、私たちエンジニアと会社を守る唯一の手段なのです。