先日、オフィス用品・日用品の通販と物流を手がける ASKUL Corporation(アスクル)が、 ランサムウェア攻撃を受けてオンライン注文・出荷を停止 しました。The Japan Times+4The Record from Recorded Future+4Nippon+4
また、飲料大手 Asahi Group Holdings, Ltd.(アサヒグループホールディングス)も、9月末に同様のサイバー攻撃に遭い、国内の出荷や受注に大きな影響が出ています。The Japan Times+3Reuters+3Business Insider+3
「うちは小さい会社だから大丈夫だろう」――そんな油断が命取りになる時代です。特に システムを扱う会社/ソフトウェア開発・運用会社 にとって、ただ「任せておけば安心」という姿勢では、攻撃者の進化には立ち向かえません。
本記事では、まず「どうやって侵入されるか(侵入経路)」を分かりやすく整理し、続いて「担当者・社員が今すぐできる実用的な対策」を紹介します。読み終わるころには、「自分の会社でも今日から何を始めればいいか」が見えてくるはずです。
① 侵入経路:ランサムウェアはどこから入ってくるのか?
ランサムウェア被害が起こる背景には、巧妙な“入り口”があります。システム会社のみなさんなら 「なるほど、そこか」 と感じることも多いでしょう。
メール/フィッシング経由
最も古典的ですが、今も最も多く使われる侵入ルートです。たとえば「請求書を送っています」「こちら採用のご案内です」といったメールに添付ファイルやリンクがあり、社員が何気なく開いてしまう。そこからマルウェアが入り込み、権限を奪って横展開され、最終的にデータ暗号化に至ります。
「システム開発会社だから関係ない」と思うかもしれませんが、実は開発者・営業・運用サポートといった多くの部門がメールを使っており、ここが入り口となることも少なくありません。
公開インターネット向けサーバ・管理ツールの脆弱性
社外からアクセス可能なサーバ(Webサーバ、ファイル共有、VPN、RDP等)は、パッチ未適用・不要サービス放置・アクセス制御不備といった“隙”を突かれることがあります。
たとえば、アスクルのケースでは、物流・注文処理のシステムインフラが攻撃を受けて停止に至りました。Nippon+2ザ・レジスター+2
ソフトウェア開発・運用会社では多数の顧客環境・サーバを管理しているため、「どこがインターネット面なのか」「誰がどの環境にアクセスできるのか」を常に把握しておく必要があります。
サプライチェーン/委託先経由の侵入
最近の大規模被害では、直接ターゲット企業だけでなく、その “つながり”にある会社(委託先・開発ベンダー・物流パートナー)を踏み台 にされるケースが増えています。たとえば、アスクルの被害は、物流パートナーであることで、ほかの小売企業(例:MUJI)のオンライン注文にも波及しました。Security Affairs+2BeyondMachines+2
つまり「自社だけセキュアなら安心」という考えは通用しません。委託先・下請け・ベンダーも含めてリスクを管理する必要があります。
内部からの横展開・アクセス権の乱用
侵入されたマシンやアカウントから、攻撃者は「もっと高い権限」「別のサーバ」「バックアップ領域」などへ移動し、複数の環境に手を伸ばします。これは「一つのPCが感染したらそれで終わり」ではなく、被害が広がるメカニズムです。
開発・運用会社では多くの権限を持つアカウントが存在するため、「誰にどの権限があるか」「不要な権限が残っていないか」を整理しておくことが肝要です。
バックアップ・復旧環境そのものの侵害
「バックアップを取っていれば安心」と思われがちですが、実際にはバックアップデータやその媒体が攻撃者から狙われ、暗号化・破壊されたり、復旧できない形にされたりするケースも報告されています。Insurance Journal+1
つまり、バックアップを取るだけでなく、その 保管方式・復旧の手順・媒体の隔離なども含めて運用する必要があるのです。
② 担当者・社員が今すぐ始めるべき対策
「自分たちでやらなければならない」ことを、システム会社の担当者・社員視点で整理します。
1. パッチ・構成管理の徹底
- インターネットに面しているサーバ・管理端末のOS・ミドルウェアは常に最新に保つこと。
- 公表済みの脆弱性(Known Exploited Vulnerabilities)には迅速に対応。放置が大きなリスクになります。
- 不要なサービス・ポートを止め、管理ツール(VPN、RDP等)に多要素認証(MFA)を必ず適用する。
- 自社・顧客環境それぞれで「構成標準」を定め、誰が見てもすぐチェックできる状態にしておく。
さらに、開発・運用会社としては「どのサーバが公開用か」「どの管理端末が社外接続可能か」「どこにデータが集中しているか」を地図化しておくと、対策が効率的です。
2. アクセス権・最小権限・アカウント管理
- 各システム・フォルダ・機能ごとに「本当にこの人が使うか?」を問う。不要ならアクセスを削除。
- 管理者アカウントは通常業務で使わず、専用ログインで、ログが必ず残るように。
- パスワードの使い回しをやめ、可能であればMFAを導入。
- 定期的にアカウントの棚卸しを実施し、「いつ誰がどこにアクセスできるか」を見える化する。
システム会社は多数の顧客/環境を持ちますから、この整理を怠ると一アカウントの侵入で多くを巻き込まれる可能性があります。
3. バックアップ設計&復旧演習
- データ・システムは「複数の媒体」「複数の場所(例えばオンサイト+オフサイト)」「最低1つはネットワークから隔離(オフライン/エアギャップ)」で保管。
- 復旧(リストア)の演習を定期的に行い、「本当に復元可能か」「どれだけ時間がかかるか」を把握。
- バックアップ媒体がネットワークにつながったままというのは脆弱です。攻撃者がそこも狙うため、媒体の隔離やアクセス制限を設けましょう.
実務的には、「顧客環境の緊急復旧を支援できる設計」も視野に入れておくと、システム会社としての価値も高まります。
4. 社内教育&フィッシング訓練
- 社員(開発・運用・営業・総務を含む)全員に対して定期的に「フィッシングメールの見抜き方」「怪しいリンクや添付を開かない習慣」の教育を。
- 実際に訓練用メールを配信し、クリック率・報告率を測定・改善サイクルを回す。
- 「怪しいメールをクリックしたらどう報告するか」「疑わしい挙動を見たら誰に相談するか」のルートを社内に明示する。
これは開発ベンダー任せではなく、自社が自分たちの“人”を動かせる仕組みを作ることが重要です。
5. 監視・ログ・異常検知体制
- ネットワーク・サーバ・クラウドのログを集約し、異常なアクセス(管理アカウントの急な使用、ログイン失敗多数、ファイル大量暗号化イベントなど)を検知できるように。
- 各端末(PC・サーバ)に対して、EDR(Endpoint Detection & Response)など、通常とは異なる動きを検知できるツールの導入を検討。
- 定期的に「侵入後」の動き(横展開・権限昇格)を想定し、監査・ハンティングを社内体制に組み込む。
システム会社では、「お客様環境含めてどこまでログが取れているか/異常を検知できるか」を契約段階でも明確にしておくと安心です。
6. インシデント対応計画(IR)策定
- 万が一被害を受けたときの手順(誰が、何を、いつ、どうやって動くか)を文書化。関係者(社内・顧客・法務・広報・保険会社)をあらかじめ定めておく。
- テーブルトップ演習(実際に“もしこうなったら”を想定して机上訓練)を定期的に実施。
- システム会社としては、「顧客環境が被害を受けたときに支援できる体制(復旧・フォレンジック・報告)を備えておく」ことが差別化にもなります。
被害が起きた後に「どう動くか」が信頼を左右します。準備しておきましょう。
7. サプライチェーン/委託先リスク管理
- 自社が委託しているベンダー・クラウド・物流サービスのセキュリティ状況も把握する。契約書に「セキュリティ要件」「監査権」「脆弱性対応義務」などを盛り込む。
- 自社が“攻撃の足掛かり”にならないよう、自社から委託先へのアクセスを制限・ログ化・監査できるようにする。
開発・運用会社ならではの“つながり”リスクを軽視してはいけません。
③ なぜ“任せきり”では危ないか?
システム会社でも「この部分はセキュリティ会社に任せているから大丈夫」と思ってしまうことがあります。しかし、以下の理由からそれだけでは不十分です。
- 攻撃手法は日々進化しており、昔の“ウイルス対策ソフト+ファイアウォール”では対応しきれないケースが増えています。
- 攻撃者が狙うのは「システムの構成ミス」「アクセス権の放置」「委託先の脆弱性」など、“技術”だけでなく“人・運用”の隙です。
- 被害が出た時、「誰が/いつ/どこを通じて」やられたかが問われるため、社内で“責任・体制・対応手順”を明確に持っておくことが、被害回復を左右します。
開発・運用会社が主体的に対策を進めることで、単に「任せておく」から「自分たちで守る」へと転換できます。これは顧客にも「安心して任せられる会社」というメッセージになります。
④ 今日からできる「3つの即効対策+2つの注意点」
記事を読み終わった今、すぐに始められることを整理しておきましょう。
即効対策
- 管理アカウント・公開サーバのパスワードを全部見直す — 昨日まで放置していたアカウント/サーバがないか確認。多要素認証を必須に。
- バックアップ媒体の“隔離”状態をチェック — ネットワーク接続中か?外部媒体か?リストア演習を次の運用ミーティングに入れる。
- フィッシング訓練を1回実施する — 全社員にテストメールを送り、「クリックした人」「報告した人」を把握し、ひとつ改善点を決める。
注意すべきポイント
- 「ソフトウェアベンダーやセキュリティ会社に任せているから安心」という気持ちを捨てる。自社で“何ができているか”を把握すること。
- 被害が出たら「お金を払えば終わる」と考えない。むしろその後の“信用・データ流出・報復攻撃”が大きくなります。全体的防御を整えることが重要です。
⑤ まとめ:他人ごとではない、今すぐ“守る”を始めよう
冒頭に紹介したアスクル・アサヒの被害は、「大手だから」「資金があるから」安心という常識を覆します。システムを扱う会社にとって、「技術屋任せ・委託任せ」ではもう十分とは言えません。
侵入経路を知り、自社でできる対策を動かし、今日から“小さくとも確実に”始めること。
「管理者アカウントの整理」「バックアップの隔離」「フィッシング訓練」——この3つだけでも動き出せば、「万が一」に備える一歩となります。
そして、被害が出たときに「どこが弱かったか」を振り返り、改善を続ける体制を整えておくこと。これが、システム・ソフトウェア開発会社ならではの“守りの姿勢”です。
今日から「他人ごと」ではなく「自分たちのこと」として、動き始めましょう。
