2025年のOTランサムウェア: セキュリティを強化する方法

高まるOTランサムウェアの脅威: 注意喚起

テキサス州からニュージャージー州まで、天然ガス、ガソリン、ディーゼルを輸送する5,500マイルのパイプラインを所有するコロニアル･パイプライン社は、2021年5月6日から5月12日にかけて同社のITネットワークを標的としたランサムウェア攻撃を受け、操業を停止しました。

この攻撃はもともとITネットワークを狙ったものであったが、業務システムを暴露し、その脆弱性を突いた結果、440万ドルの身代金が要求されました。この事件では、必要不可欠な機能を維持しようとする一方で、大規模な復旧作業が必要となりました。このような攻撃は、予算が乏しく、専門スタッフも限られている組織にとって、悲惨な事態を招く可能性があります。

コロニアル･パイプライン社の事件以降、マーサズ･ヴィニヤード･フェリー･サービス、富士フイルム、米国の食肉供給の40%を供給するJBS食肉会社など、事業体に対する大規模なランサムウェア攻撃が報告されています。過去1年では、オムニホテルズ&リゾーツ社やティッセンクルップ社といった大手企業がランサムウェア攻撃を経験し、ユナイテッド･ヘルスケア社は情報漏洩後の患者データを保護するため、2024年4月に2200万ドルの身代金支払いを公に確認しました。

今日のサイバー脅威は、かつてないスピードと巧妙さで従来のセキュリティ対策を凌駕しています。ReliaQuest 2025 Annual CyberThreat Reportは、攻撃者が最初のアクセスからわずか48分後にラテラルムーブメント(ネットワークに侵入した攻撃者がネットワーク内を横移動して侵害範囲を拡大する攻撃手法)を実現すると指摘しています。最も懸念されるのは、ハンズオンキーボードによる侵入の60%が、リモート管理のような信頼されたビジネスツールを使用していることであり、これは検知をより困難にしています。

適切なOTセキュリティ対策に投資することは、ランサムウェア攻撃に備え、その金銭的な影響を回避するために不可欠です。この記事では、ランサムウェアとは何か、なぜOTを標的にするのか、OTが影響を受けやすい要因、影響を抑えるための5つのステップ、そして実際の成功事例を取り上げながら、ランサムウェア攻撃の増加に対して組織がどのように警戒を怠らないかについて掘り下げていきます。

お問い合わせ

ランサムウェアとは何か?

ランサムウェアは悪意のあるソフトウェアの一種であり、脅威アクターはターゲットネットワークに侵入する方法(フィッシング、ソーシャルエンジニアリングなど)を見つけます。 彼らの「ソフトウェア」は、ネットワーク共有やローカルドライブを通過しながらネットワーク上を走り回り、ハッカーだけが知っているキーで見つけたものすべてを暗号化します。ファイルのロックを解除したければ、「身代金」を支払う必要がある。 キーを入手してファイルを復号化するための費用は、攻撃者と被害者の特殊性に応じて、数百ドルから数千ドル、さらには数百万ドルに及ぶこともあります。

ランサムウェアは、フィッシングメール、コンプロマイズドソフトウェア(ソフトウェアのセキュリティが損なわれた状態)、脆弱なネットワークセキュリティなどを通じて、システムの脆弱性を悪用します。AES (Advanced Encryption Standard)やRSA (Rivest-Shamir-Adleman)などの強力な暗号アルゴリズムを使用してデータをスクランブルします。ランサムウェアはネットワーク上を移動し、サーバ･メッセージ･ブロック(SMB)などの技術を使用してリモート･デスクトップ･プロトコルを悪用し、可能な限り多くのファイルを暗号化します。この暗号化プロセスにより、攻撃者が持つ固有の復号化キーがなければ、データは読めなくなります。

このような重要なリソースにアクセスできなくなると、重大なダウンタイムが発生し、顧客サービス、生産、全体的な収益に影響を及ぼします。アクセスを回復するために、脅威者は「身代金」を要求します。身代金は完全な復旧を保証するものでもなく、さらなる攻撃を助長する可能性があることに覚えておいてください。

ランサムウェア攻撃が増加、製造業は依然として包囲されている

ReliaQuestの2024年第4四半期レポートでは、ランサムウェアの活動が12月に急増し、単月で最多の被害者数を記録したことが強調されています。身代金の平均支払額は2023年の199,000ドルから2024年には1,500,000ドルに増加しました。同レポートはまた、製造業がランサムウェア攻撃のターゲットとして最も一般的な分野であることを確認しています。「製造業は経済的に重要であり、操業停止に対する許容度が低く、身代金の支払い意欲が高いため、主要な標的となっている」と、レポートで報告されています。

ランサムウェアがOTを狙う理由

ランサムウェアのルーツは詐欺や恐喝といった犯罪の世界ですが、その性質上、より大規模な資産所有者や組織を標的にしたり、より悪質と思われる他の活動を隠蔽するために使用されることもあります。

ランサムウェアは「可用性」のリスクを利用し、産業組織において高い利益を上げています。個人情報をサイバーで盗むビジネスは、かつてはかなり儲かるものでしたが、供給が増えるにつれて、その情報の価格は劇的に下がっています。しかし、サイバー犯罪者は新たな攻撃モデルを発見しました。彼らは、Confidentiality (機密性)-Integrity (完全性)-Availability (可用性)の3要素の「C」から「A」にシフトしました。産業組織は運営に可用性を必要とするため、通常、支払いは迅速かつ巨額になります。
現行の方針では、保険の存在によって支払いプロセスが円滑に行なわれています。しかし、2021年にAXA (フランスの保険･金融グループ)がフランスでのランサムウェアの支払いに対する補償を停止すると発表したように、保険会社が今後の方針を修正し始めたため、最近この状況は変わりつつあります。
IT攻撃でもOT業務を停止させることができます。 OTシステムは通常、ランサムウェアの影響を非常に受けやすいため、インシデント対応計画の最初のステップはOTシステムを切断することで拡散を阻止することになります。OTシステムの復旧には、ITシステムの3～4倍のコストがかかり、はるかに時間がかかる可能性があります。第2に、多くの場合、オペレーションはOTシステムだけに依存しているわけではなく、課金やサプライチェーンソフトウェアなどのITシステムが効果的なオペレーションに必要になっています。そのため、主要なITシステムをシャットダウンすると、実質的にOTシステムのシャットダウンも必要になる可能性があります。

なぜOTはランサムウェアに感染しやすいのか?

ほとんどのランサムウェアはパッチが適用されていない古い脆弱性を利用します。OTでは、パッチが適用されていないシステムが大量に存在することが分かっています。
ランサムウェアは多くの場合、ネットワークベースの安全性を悪用してアクセスします(例えば、リモート･デスクトップ･プロトコル(RDP)を介して)、エンドポイントからエンドポイントへと拡散します。 補償コントロール、システムハードニング、脆弱性管理などのテクニックはすべて、ウイルス攻撃の影響と拡散を軽減する上で重要な役割を果たします。
OTランサムウェアがしばしば非常に効果的なのは、多くの組織が潜在的なインシデントを認識(回避)する能力が不十分だからです。パッチが適用されていない大量の旧式の資産は、サイバーセキュリティ担当者ではない一握りの人員による監視や監督が不十分であることが多く、潜在的な問題につながる可能性があります。

以下の図は、ランサムウェアが施設に侵入する典型的な経路を示しています。

施設に侵入するランサムウェアの典型的な経路

1. 悪意のある存在が、フィッシング、ファイル導入、または悪意のあるウェブサイトを使用してランサムウェアを埋め込み、企業のITシステムにアクセスします。

2. ランサムウェアが受信ホストの脆弱性を悪用し、さらに悪意のある機能を実行します。

3. ランサムウェアは、脆弱なACL (アクセス･コントロール･リスト)や不正なNIC (ネットワーク･インターフェイス･カード)マシンを持つネットワークを通過することで、不十分な封じ込めを利用し、OTやそれ以外の場所にアクセスすることができます。

4. OTサイト(または企業)内の管理が不十分なため、ランサムウェアが複数の事業部門、サーバ、ワークステーションに拡散し、混乱がさらに拡大します。

5. 一貫性のある、テストされた、オフラインの安全なバックアップの欠如、既知の良い設定やソフトウェアの欠如は、リストアが非常に複雑で時間のかかるプロセスであることを意味します。

OTにおけるランサムウェアの影響を抑える5つの方法

リスクの現状と、産業環境におけるランサムウェアのインシデントが再び加速する可能性を考えると、組織はどのように対応すべきなのでしょうか。

1. ランサムウェア攻撃による業務リスクと安全リスクを把握する

このイメージを収集するために、組織は3つの重要な情報を持つ必要があります。

最初に、環境内のさまざまな資産の運用上の重要性を理解することです。例えば、事業の財務実績にとって絶対的に重要な特定の工場、製造所、施設があるかもしれません。また、財務的なクリティカリティは低いものの、そのようなクリティカルな拠点にとって重要なサプライヤである場合もあります。サイト/施設のクリティカリティをビジネスとして理解することが基礎となります。
第2に、施設内の資産に対するランサムウェアのリスクを包括的に把握することができます。Verve®は通常、「Technology Enabled Vulnerability Assessment」を通じてこれを行ないます。 このプロセスでは、OT環境内のソフトウェアやハードウェアの脆弱性、ネットワーク保護、資産保護、パッチ状況などを詳細に把握することができます。この360°のリスクビューは、サイト/施設/工場に対する潜在的な脅威を明確にします。
そして第3に、復旧･対応能力の現状です。どのようなランサムウェアイベントも、十分に準備された組織であれば、その範囲を縮小することができます。堅牢で更新されたバックアップ、迅速なインシデント対応計画、ランサムウェアを初期段階で捕捉するためのカナリアファイルに関するアラートなど、すべてが制限要因となり得ます。これらの対応･復旧能力を評価することで、組織は攻撃の潜在的な影響範囲を判断し、影響を軽減することができます。

2. サイトレベルの修復と保護ロードマップの作成

ランサムウェア(およびその他の潜在的なOT攻撃)によるリスクを軽減しようと、組織が特定の取り組みに飛びつくのを私たちはしばしば目にしてきました。 例えば、ITとOT間の接続を減らすための包括的なネットワークセグメンテーションの取り組みや、OT環境内のパーティショニングが、よく見られる出発点です。このステップは強固なロードマップの一部ではありますが、プログラム全体の中で最もインパクトのある最初のステップではないかもしれず、孤立した取り組みとしては不十分です。

リスクを理解するだけでなく、適切な順序で取り組みを進めることが、迅速かつサステナブル(持続可能)な進展のために不可欠です。ネットワークセグメンテーションの前に資産のインベントリを実施することで、攻撃から保護するためのより強固な基盤を構築し、セグメンテーションの取り組みを加速させることができます。脅威検知ソフトウェアやネットワークモニタのような既存のツールを活用することは、戦略的計画の中で最も効果的です。Verveはお客様と協力し、互いに構築し合う「イニシアチブのポートフォリオ」を作成します。長期的なセキュリティ基盤の構築と短期的な防御のバランスをとることが、効果的なOTランサムウェア防御には不可欠です。

3. 上記のサイトと資産の優先順位付けと#1を使用して、OTセキュリティのロードマップを加速する

前述したアセスメントの利点の1つは、パッチ適用から構成のハードニング、リスクのあるソフトウェア、ユーザ、アカウントの管理まで、特定されたリスクを迅速に修正できる技術がすでに導入されていることです。当社の評価は、保護までの時間を短縮するのに役立ちます。

エンドポイントの検出を迅速化するだけでなく、さまざまな追加保護や対応機能が必要になります。最大の課題の1つは、最も重要なサイトと資産を保護するための適切な実行計画を決定することであり、一方で、これらの複雑なサイトや、重要度が「中程度」のサイトに対する保護の幅が広がらないようにすることです。

Verveは、私たちが「バイフォーカル」と呼ぶ実行アプローチを推奨しています。一方では、最も重要なサイト全体に強固なプログラムを展開します。しかし、並行して、重要なサイトでより深い取り組みが行なわれている間、企業レベルですべてのサイトに限定的な保護を適用する広く浅いアプローチをとることをお奨めします。

これが現実的に意味するのは、「ゴールド」つまり最も重要なサイトでは、包括的なネットワークセグメンテーション、新しいインフラ、高度な異常･脅威検知、バックアップ、パッチ適用、ユーザアクセス管理が必要になるかもしれないということです。しかし、「シルバー」や「ブロンズ」のサイトでは、個々にはそれほどクリティカルではないが、全体としては重大なリスクとなるため、より包括的なネットワークセグメンテーションの取り組みを待つ一方で、優先的に脆弱性管理やバックアップを適用することが考えられます。

4. 達成した成功の維持

多くの場合、セキュリティプログラムの導入はリソースを集中的に投入する作業です。プログラム期間中に達成された改善を維持するために、組織が計画を立てることが重要となります。Verveの経験では、これには2つの重要な要素が含まれています。

分散したOT資産のセキュリティ確保に必要なコストとリソースを大幅に削減できる可視性、優先順位付け、資産管理能力を集約した集中型OTセキュリティ管理プラットフォーム
最初の修復プログラムの展開にとどまらず、導入した管理策の継続的なサポートとメンテナンスを含むリソース計画

ある同僚は、「セキュリティは腐敗する傾向がある」と言っています。彼のメッセージは、セキュリティプログラムが失敗する理由はたくさんあるということです。

初期に設定したネットワークルールがメンテナンス中に変更される
更新パッチが適用されない
アンチウイルスシグネチャの更新が遅れる
新しい資産が追加されたが、インベントリが作成されない
バックアップに失敗し、修復されない

5. 組織のコミットメント

このステップは、プログラムの維持期間において最も重要です。セキュリティプログラムは、経営幹部の賛同なしには軌道に乗せることができません。経営幹部の支援によって、OTセキュリティがより広範なビジネス目標と整合していることが確認され、セキュリティ対策のサステナブルな基盤が構築されます。

プログラムが開始され、コミットメントを維持するための大変な作業が始まると、多くの課題が発生するのをよく目にします。チームメンバーが本業に戻り、優先事項が発生し、予算が配分され、その他多くの障害が優先される可能性があります。このような場合にこそ、運営を担うリーダはセキュリティチャンピオンとして一歩前に出て、セキュリティ対策の重要性を一貫して強化し、定期的なセキュリティ研修を通じてチームの説明責任を維持しなければなりません。

組織的なコミットメントは、1回限りの努力で終わらせないことが重要です。これを達成する最善の方法は、バランススコアカードを調整してOTセキュリティを中心と据えることです。このアプローチは、保護がセキュリティチームだけの責任ではなく、全員の責任となるようなセキュリティ文化を生み出します。

IT/OTセキュリティ管理者にとっての成功は、導入したセキュリティ管理策の継続的な保守とサポートにかかっています。セキュリティプロセス、インシデント対応計画、システム構成の包括的な文書化は、チームが発展していく中で、継続性と効果的な知識移転のために不可欠です。

サクセスストーリー: グローバルな製紙会社が30工場を保護

世界最大級の製紙･包装会社の一社が、ランサムウェア攻撃を受けました。同社は、ダウンタイムと混乱を最小限に抑えながら、30工場と300の製紙工場内の脆弱性を保護する必要がありました。私たちは、サイバーセキュリティを強化し、将来の攻撃リスクを低減するための包括的なOTネットワークセグメンテーション戦略の策定を支援しました。

既存業務の徹底的な評価
各サイトに合わせたオーダーメイドのネットワークセグメンテーション
適切なメンテナンスと調整のための広範なトレーニング
ロックウェル･オートメーション傘下のVerveによるリソース管理
プライチェーンの混乱に対処するための国内外からの機器調達

当社の支援により、製紙･梱包業界のグローバルリーダはランサムウェア攻撃から回復し、将来の脅威に対する強固な防御策を構築しました。

広範な保護機能により、標的型および非標的型のランサムウェアの脅威から重要なインフラを守ります。

公開 2025年3月26日