アスクルとアサヒ｢サイバー攻撃被害｣どこに隙？

一部の専門家や、システム復旧を生業とする業者の中には、「RaaS（ランサムウェア・アズ・ア・サービス）は一種のビジネスであり、それを成立させるためには、身代金を支払えば復旧できるという信頼関係が必要だ」と説明する人もいます。

一見すると、もっともらしく聞こえる主張です。しかし、「安全で確実な復旧が本当に保証されるのか」と問われれば、その答えは極めて慎重であるべきでしょう。相手は犯罪グループであり、その約束を信じるだけの根拠はほとんどありません。

たとえ表面上はデータが復旧したとしても、バックドアやトロイの木馬といった新たなマルウェアを仕込まれている可能性は否定できません。また、気づきにくい形でデータが改ざんされている恐れもあります。

さらに深刻なのは、身代金を支払ったという事実そのものです。それは「支払う組織である」という評価が犯罪グループ間で共有され、再び標的にされる可能性を高めます。同時に、反社会的組織に資金を供与したと見なされ、社会的な批判や制裁の対象になるリスクも伴います。

このように考えると、暗号化はあくまで結果であり、攻撃のゴールではありません。攻撃者にとって本当に重要なのは、その前段階で行われる活動です。

具体的には、個人情報や業務データの探索、外部への情報持ち出し、さらには次の攻撃に使える脆弱性の調査などが挙げられます。これらはすべて、ランサムウェアが発動される前に行われています。暗号化は、こうした活動が発覚しそうになったとき、あるいは十分な成果を得たあとに実行される「最後の一手」なのです。

アスクルの報告書では、「偵察」や「侵入拡大」といった表現が使われています。専門用語を使わずに言えば、「社内を歩き回り、どこに何があり、何が重要なのかを調べていた」という状態です。また、ログが消された痕跡があったことも報告されています。これは、自分たちの行動が後から追跡されないよう、証拠を消そうとしていた可能性を示しています。

なぜ長期間、侵入に気づけなかったのか

アスクルもアサヒGHDも、決してセキュリティ対策を怠っていたわけではありません。EDR（エンドポイント検知・対応）と呼ばれる高度なセキュリティツールも導入していました。それでも、初期侵入を検知できず、長期間の潜伏を許してしまいました。

最大の理由として考えられるのが、管理者権限の問題です。管理者権限を奪われてしまうと、セキュリティツールを無効化することはそれほど難しくありません。いくら優れた仕組みを導入していても、運用が伴っていなければ、形だけの対策になってしまいます。