NITTAN - GSX：ランサムウェア攻撃対応実例インタビュー

（編集部註：本稿の全文は 8,605 文字あります）

　2022 年 9 月 13 日火曜日、グローバルに展開する自動車等の部品製造メーカーで執行役員を務める村山誠治（むらやませいじ）は、定時より早く神奈川県秦野市のオフィスに出社した。いつものことだった。気象庁の記録によれば、その日の午前 7 時 30 分の秦野市は曇天、気温 25 ℃、東 11 m の強い風が吹いていた。自席に座って PC を立ち上げタイムカードを押そうとしたが、勤怠システムを利用することができなかった。

　同じく定時より早めに出社した情報システムグループの谷口暢（たにぐちとおる）は、上司である村山からタイムカードが押せないと言われたとき、最初は PC の不具合を疑った。だがどうやらそうではない。解決するためサーバルームに赴いて当該サーバを確認すると、谷口は見たことがないファイルをふたつ発見した。

　さかのぼること約 1 ヶ月前、同業である同じく自動車部品を製造する企業の情報システム担当者と情報交換で会ったときのことが谷口の脳内に瞬時にそして鮮明に蘇った。一秒。二秒。時間が進むのがだんだんとゆっくりになっていく感覚があった。三秒。四秒。情報交換の趣旨は製造業のサイバー攻撃対策と、もし被害が発生した場合の対応について。その同業他社はランサムウェアの被害を受け復旧していた。五秒。六秒。立ち並んだサーバのファンが奏でる音が谷口の耳から遠くなり、モニターに映るファイルふたつに視線が集中していった。

　「見たことがないファイル」の片方は「Lockbit2.0」と読めた。もう片方のファイルは犯行声明に違いあるまい。株式会社NITTAN のランサムウェア攻撃との戦いはこのようにして始まった。

　谷口からサイバー攻撃について報告を受けた村山は、躊躇なく自席から歩いて数歩のところにある社長室と会長室に報告に赴く。両名ともすでに出社しており扉は中から開かれていた。アジア、北米、欧州に複数工場を持ち、グローバル展開する NITTAN の社長は国際感覚があり、サイバーセキュリティとそのリスクについて明るかった。経営課題であると明確に認識していた。

　全容がわからない現時点で 1 秒でも早く実行すべきこととして、谷口が持ってきた同社セキュリティ管理規定には「社内ネットワークを切断し外部との遮断を行う」と書かれていた。作成した日から約 10 年間内容を見直していなかったが、この項目で同社が救われたと後になって思い起こすことになる。

　回線を遮断すれば社員の業務は止まる。受発注システムや工場の製造ラインにも必ず影響がある。だが経営陣の判断は迅速だった。迅速過ぎるほどだった。ただ一言。「やれ、やれ、すぐ切れ（回線を遮断しろ）」

　その時点でまだ始業時間までいくらか余裕が残されていた。同社のネットワークは境界の物理ケーブルを抜けばインターネットから遮断される構成をとっていた。これも幸いした。サイバー攻撃を検知し回線を遮断するという初動対応は、全社員が出社し始業時間となる前に完了した。

　日本の製造業で働く誇り高き男たちの選択肢に「身代金を払う」というオプションが微塵も浮かばなかったことに本誌は立ち上がって拍手を送りたい。谷口は犯行声明とおぼしきファイルを開くことすらしなかったし、社長への緊急上申の席でも「一体いくら要求されているのか」などという疑義が差し挟まれることすら一度もなかった。

　支払いのオプションを検討したり保留しておくことが悪いなどと言うつもりは全くない。全くないが、そのオプションが、排除するどころか、初っ端から頭になかったからこそ検知後わずか数 10 分で初動対応を完了するという非凡なレジリエンスを NITTAN は成し遂げることができた。その後の困難の渦を突き抜けることができた。

　正式な緊急対策本部の発足は発覚から2日後の 9 月 15 日木曜日。しかし、その母体となる急ごしらえの混成チームが発覚当日の午前中に結成された。これもたいしたスピード感だ。谷口が持ち出した IT セキュリティ管理規程にはサイバー攻撃被害発生時の対応も記されていた。作成時から更新されていなかったことは後に何度も悔やんだが、たとえそうだとしても、緊急時に参照できる「自社の業態や業務や組織に合わせて作成したルール」がともかくにせよ存在するのはとても心強いものだった。

　全社員に、そして何よりも、取引先にこの事案発生について急ぎ報告する必要があった。しかし、メールを送ろうにもネットワークは休止している。社内には内線電話を、社外には電話を用いたが、内線の多くは話し中でなかなか要領を得なかった。

　結局、情報システムグループが総出で、各部門に直接足を運び現状や今後の方針等の緊急連絡事項を伝えた。工場など距離のある部門への移動で知らず知らず谷口は早足となった。季節は初秋。汗ばむのを覚えた。並行して被害の箇所や範囲の特定について情報収集を行い、関連する取引先全社に主に営業担当から電話で連絡が行われた。

　まずは受発注プロセスをなんとしても継続すること。そして生産ラインの稼働を続けること。警察に被害届も出さなければならない。もし個人情報漏えいの懸念があるなら個人情報保護委員会への報告義務も発生する。

　緊急対策チームに経理部門から参加したメンバーは、25 日の給与支払いについて懸念を表明した。2022 年 9 月 25 日は日曜日だから給与支払いは前倒して 9月 23 日金曜日になる。23 日といえばもう来週の金曜だ。被害検知の発端がタイムカードだったことから推測できる通り、勤怠情報を扱うサーバは暗号化の被害を受けていた。

　給与遅配は相当に大きい会社の落ち度のひとつである。しかし、村山を始めとする経営企画部、そして取締役会メンバーの頭の中にはもっともっと大きな気がかりがあった。懸念があった。

　PC を使った業務は完全停止、社内や取引先への連絡や調整、そして場合によっては個人情報保護委員会のような第三者への報告と、前後左右上下から刃物を向けられているような修羅場に谷口の職場は変貌した。

　「真っ青になりました。先は何も見えない。どこから手をつけていいかわからない（谷口）」

　やがて被害に関して情報が集まり始める。まず Windowsサーバを中心に被害が発生しており、復旧には時間を要する見込みだった。一方で基幹システムを構成するメインフレームのホストコンピュータはまったくの無傷であるらしいことが判明する。そこで谷口は、サーバルームに入ってクリーンな端末を使って直接メインフレームに繋げば、ほとんどの業務は遂行可能だと直観する。谷口は OA 化される前の業務手順にも通暁していた。

　また、同社はクラウドストレージへの移行を数年前から開始しており何重ものバックアップを保存していた。バックアップにも被害はなくこれにも勇気づけられた（ただし利便性を重視してオンプレミスサーバに置かれたデータはそうではなかった）。

　現状把握がある程度できたことで対策チームの面々は少し明るさを取り戻した。相当に細いルートではあるかもしれないが道はあるのだ。可能性はあるのだ。

　最終的に譲れない目標は何か。その阻害要因となる課題は何か。それをクリアするためには、どんなタスクが、いくつあるか。それぞれのタスクは誰が、またはどの部署がいつまでに、あるいはいつ対応しなければいけないのか。

　経営企画部門に在籍する村山は、これらを急ぎ資料にして視覚化し、現場にいないメンバーも含めてオンラインで画面共有をしながら課題の役割分担に励んだ。

　村山は「粗粗（あらあら）の雑なものだった」というが、緊急対応時に雑とか丁寧とかいった基準は存在するまい。あるのは被害拡大を防ぎ、原因を特定して対処し、終息宣言をすること、そしてその期間、少しでも既存業務と取引先、そしてサプライチェーン全体への影響を最小限に抑えること。それだけだ。

　メインフレームが生きていれば、直接端末を繋いで入力すれば、受発注業務を継続し、通常通り工場を稼働できる。経理部門や工場など、各部門の担当者がサーバルームに端末を携えて現れて作業に励むことで、受発注と生産プロセスは通常通り稼働していく。

　中には一度手書きで記録を残したものを手渡しして、それを PC に入力するといったことも行われた。エクセルファイルをメールで送れないので電話や口頭で伝えることもあった。取材していてなんだか映画『サマーウォーズ』のシーンを思い出した。人間が一生懸命仕事をしているだけで、なぜこんなにも人の心を打つのだろう。

　午後になるとサイバー攻撃の報を受け、完成車製造メーカーなど取引先が何社も NITTAN を訪れた。しかし人力の組み合わせ等々にせよ、納期に間に合うよう業務が回っていることを確認すると、皆安心して帰っていった。

　夕方になると神奈川県警のサイバー犯罪捜査官がオフィスに到着した。およそ 10 名はいただろうか。lockbit について少しでも情報が欲しいのでイメージのコピーをとらせてくれと請われ快諾したが、谷口はすぐに後悔することになった。その作業が終わるまで何時間も何もできなくなってしまったからだ。

　だが出てくるのはイライラではなく苦笑いだった。事案発生後すぐに谷口は、ひと月前にランサムウェア被害に遭った同業他社と情報交換した際に相手が語っていたことを思い出した。「うちは被害にあったからこそ、こうして情報を他社さんに共有して、業界の中で助け合っていく雰囲気を作っていきたいんです」そう語っていたことを思い出した。我々 NITTAN の被害に関する情報が将来誰かを救う可能性を考えるとはじめて谷口はインシデント対応が開始して以来、ほんの少しだが心が安まるのを感じた。

　千葉県警や京都府警など全国の警察本部にはサイバー犯罪捜査の実績を多く持ち、経験が深い警察本部がいくつかあるが神奈川県警もそのひとつである。サーバのコピーを完了するとアイディアや情報を次々と提供してくれたという。復号手段についても調べ上げていた。

　「復号とか言っていてもうまくいくのだろうか」そう思いながら見ていた谷口の目の前で、暗号化されたデータがいくつも復号に成功したという。「こんなにもいろいろやってくれるんだと思うくらい対応してくれて感謝している（谷口）」

　被害発覚から 2 日後。新たな巨大な問題が出来（しゅったい）する。サイバー攻撃の原因を調査し、復旧に向けて伴走してくれるセキュリティベンダがアサインできないのだ。長年付き合ってきたファーストベンダからの支援を期待していたものの、先方からハッキリと断られてしまった。

　「フォレンジックをしてほしいとファーストベンダに相談したのですが、『できません』と言われました。本当に衝撃的でした（村山）」

　ファーストベンダーは、インシデント発生から 2 日後の 9 月 15 日になってようやく来訪はしたものの、フォレンジック対応は「できません」、どこか他の会社への紹介も「できません」と、にべもない回答だった。

　これは超後付けの考えだが、最終的にこの「できません宣言」は良い方向に作用したと記者は思う。いや NITTAN はこのピンチをすら逆にチャンスに変えたというべきか。もう逃げられないどころか崖から突き落とされるような目に遭うことは、このインシデントが NITTAN にとって紛うことなき「じぶんごと」に変わった瞬間だったのではないだろうか。

　CSIRT があるわけでもない。CISSP や EC-Council のようなセキュリティの有資格者が在籍していたわけでもないにも関わらず、とっさの素早い判断を次々と積み重ね、効率的に対応を行い、信じがたいレジリエンスをここまで NITTAN は発揮し続けていた。

　ファーストベンダーに頼らずに、すぐにマインドを切り替えて他社を探しはじめたが、その道のりは容易ではなかった。セキュリティ専門企業に手当たり次第に架電するも、どこも時期的にプチ繁忙期であり、次々に断られた。「10 月からなら対応できる」と、とある企業は言ってくれたが、給与支払いは来週金曜に迫っているのだ。「現地対応はできないが資料を送ってくれればコメントはできる」という親切なんだかそうでないんだかよくわからない会社もあったが、分析や改善計画より、今目の前の出血を止血して欲しいのだし、今目の前の火を消して欲しいのだ。

　あらゆる伝手をたどっていた際、日頃 NITTAN に M365 のようなサービスやソフトウェアなどを提供していたリコー・ジャパンの担当者が「ひょっとしてここなら」と推薦してくれたのがグローバルセキュリティエキスパート株式会社（GSX）だった。

　GSX 社長青柳史郎は 2019 年本誌 ScanNetSecurity のインタビューで現在のセキュリティ産業の現状について聞かれて「怒りと無力感」と答えている。実は NITTAN のようにいざインシデントに見舞われてフォレンジック調査を頼もうとしても、早くて翌月、ひどい場合半年先（！）などと真顔で返答されることは少なくない。そうした状況に青柳は無力感を持ち怒りを感じるのだと企業の代表としては異例の強い言葉を用いてコメントした。こうして GSX がフォレンジックとその後の対応にあたることになった。

　GSXのフォレンジックチームによって攻撃経路は UTM の VPN であることが特定された。よくあるような放置された脆弱性からの侵入ではなく、正規の認証情報を用いて入り込まれていた。UTM ベンダーが脆弱性を公開し、担当者が通常手順でパッチをあてていたが、その僅かな期間に認証情報を抜かれたと推定される。

　再発防止策として EDR 導入と、そして VPN ログインにシングルサインオンと端末認証を導入すること等が決まった。ちなみに再発防止対策と組織体制強化の全容については GSX の公式サイトに整理されているので、本記事を読んだセキュリティ管理者は、必ずそちらにも目を通していただきたい。

　経理担当者の懸念だった給与支払いは 25 日に基本給のみを支払い、10 月初めに差額を払うということで切り抜けた。柔軟な対応だと思う。だが先に書いた通り、経営企画部門と取締役会にはもっと大きな懸念がすぐ近くの未来に横たわって、刻々と近づいていた。上場企業である株式会社NITTAN の上期決算の発表である。もし決算発表が遅れたらこれまでと違う影響が及ぶことが推定された。

　実は多重に残されたバックアップをもとにして経理担当者がサーバルームに PC を持ち込みデータを入力し続け、決算に必要なデータは完全な復元を果たしていた。それを財務担当者が何度も検算を行い間違いないと承認もしていた。

　しかし監査法人は「万が一の懸念が存在する」と、まだゴーサインを出していなかった。監査法人・NITTAN・GSX の 3 社で会議の場が持たれたのはインシデント発生からほぼ 1 ヶ月後の 2022 年 10 月 12 日水曜日だった。行われた協議の内容はサイバーセキュリティ攻撃被害事案であり、なおかつ有価証券取引等に関わる極めて繊細な事柄であるため思い切って全部を割愛するが、株式会社NITTAN の 11 月 1 日の上期決算発表は無事予定通り行うことができた。

　ここまで書いた事例から読者が学べることは何だろうかと考えてみる。最後に箇条書きでリスト化したりすると、かえって大事なことが抜けてしまいそうだから、あえてそうしない。たとえば初動対応が鬼のスピードでできた理由だ。日頃から村山や谷口が定時前に出社していたことも良い方向に働いたし、社長と会長も同様に朝早い習慣だったことも良い作用をもたらしている。何かあったらすぐに社長室に入っていける風通しの良い組織だったこともそうだ。全てが結びついて、鬼早い初動対応が完成したのだから、これらの要素をバラバラに抜き出すことは難しい。

　この物語には、海外の CTF で上位入賞したり、小学生でセキュリティキャンプに参加したといった、天才やスーパーヒーローはただのひとりも登場しない。CSIRT もなく、セキュリティ規定にいたっては作成以来見直しが行われていなかった。そんな会社の中の、真面目なそして冷静な、誇り高き人々が自分の仕事をただ一生懸命に頑張ったことで、悪名高きランサムウェアギャング集団の攻撃に屈することがなかったばかりか、通常業務をいつも通りに継続し続け、あまつさえ決算開示にも間に合った。

　取材対応してくれた村山と谷口を中心に話を進めざるを得なかったが、情報共有してくれた日本の同業の部品メーカーの担当者や、インシデント検知から最終報を出す日まで、毎朝 9 時に取引先に状況報告をし続けたそれぞれの営業担当者、そして室温 26 ℃のサーバルームで寒さに震えながらデータを入力した各部署や経理部門の担当者、GSX を推薦したリコージャパンの担当者、資料を送ってくれればコメントするという著しく歯切れの悪い発言をしたセキュリティ企業すら、できるだけ誠実に自分の職務をこなそうと考えてはいたように感じる。

　普通の人たちが頭を使って、手足を動かして、そしてコミュニケーションを続けて、つまり業務を精一杯頑張ったことで凶悪サイバー犯罪に対してこれだけのことができたということを、こうして自分の手で書き留めることができることは、記者冥利に尽きるとしか言いようがない。

　人は皆、日常生活の中で自分と他人に対して小さいウソを山ほどついて生きている。自分は仕事ができるだの、部下思いだの、愛社精神があるだの、顧客の笑顔が大事だの、そういった類のたくさんの検証されない小さい物語たちである。通常その嘘は暴露されることなどないが、突発的な危険や事故の発生で日常が崩壊したとき真の姿をあらわす。サイバー攻撃被害もそのひとつである。

　株式会社NITTAN 代表取締役社長李太煥（りてーふぁん）は今回のインシデントを振り返って「GSX と出会えたことが最大の収穫だった」とまで発言しているという。インシデントの修羅場は人や組織が平時に身にまとう「メッキ」の下にある地金をあらわにする。こんなことを書くと怒られそうだが GSX という会社は、日頃メッキでピカピカに輝く企業かというと必ずしもそうとは言い切れない。どちらかというと光るというよりはいぶし銀のような持ち味の企業だ。NITTAN 社長はランサムウェア被害という修羅場を通じてその下に隠された光を見つけたのだと思う。

　ランサムウェア被害のインシデント対応事例をこうして取材できること自体きわめて異例なことである。ちなみに Mandiant や Okta のような一部の例外を除くと 1998 年に ScanNetSecurity が創刊してからまるっきり初めての経験だ。通常、過去のインシデントの取材など、セキュリティ専業会社が特別な意図でも持たない限り応じることなど絶対ない。

　では NITTAN はなぜ応じたか？　NITTAN は「GSX の頼みなら」と応じたのだ。

　最後にひとつだけ書いておきたいことがある。ランサムウェア発生などで現場に赴いた際に対応してくれたセキュリティ担当者が、半年か一年経って同じ会社を訪問すると退職していたというのはよく聞く話だ。記者もやりとりをしていたとある中央官公庁のセキュリティ担当者の方が「インシデントが発生したので」と連絡がしばらく途絶え、数か月後に退職の連絡を受け取ったことがある。

　2022 年のインシデント対応当時、経営企画部門の中の情報システムグループの課長だった谷口は、2025 年の取材時には DX の推進のため情報システム部として独立する際に部長に昇進した。ここにも世の経営者が学ぶことがあると思う。