本サイトの記事や画像はAIが公的資料や報道を整理し制作したものです。ただし誤りや不確定な情報が含まれることがありますので、参考の一助としてご覧いただき、実際の判断は公的資料や他の報道を直接ご確認ください。[私たちの取り組み]
管理端末の前で記録が動き続けていた。美濃工業は2025年11月3日、10月に受けたランサムウェア攻撃の調査結果を「第四報」として公表し、侵入から復旧の初動までを分単位で示した。正規IDの悪用で社内に入られ、短時間で権限を奪取され、約3日間の探索と破壊、暗号化、そして脅迫に至った流れが、具体的な時刻とともに並ぶ。何が起き、どこまで見えたのか。同社は事実の輪郭を示し、同様の被害を減らすために情報を共有していくとしている。
侵入から暗号化までの足取り
始まりは2025年10月1日 19:31だった。攻撃者は社員用VPNアカウントのID・パスワードを不正に利用してネットワークに入り、20:32にはシステム管理者アカウントの権限を悪用できる位置についた。以後は社内の端末を踏み台にしながら探索を重ね、権限を足場にクライアントへ遠隔操作を広げた。分刻みのログが残り、内部の移動や取得済みデータの把握に役立ったという。
10月3日 20:58、システム破壊やファイル暗号化、サーバ初期化が実行され、業務を支える環境は大きく揺れた。翌4日 01:21には身代金の要求文書が社内フォルダに保存され、意図的な停止と恐喝の段階に移ったことが確かめられた。侵入から04:45まで、内部の横展開と持ち出しが並行していた実態がタイムラインに刻まれている。短い準備の後に一気呵成、そんな攻撃者の呼吸がうかがえる。
発見と初動、遮断の判断
同社が異常を捉えたのは10月4日 02:25だった。監視で兆候を見つけると、02:49にネットワークを遮断し、04:45にVPNを切断して外からの経路を断った。混乱の渦中でも、分単位の判断が並ぶ。これにより暗号化の拡大や追加の横展開を抑え、同日中に警察や関係各所への連絡と復旧の準備へと進んだ。対外連絡は制限付きで再開し、安全確認済みの端末からの発信に絞った。
10月8日には個人情報保護委員会へ漏えいの可能性を報告した。外部の専門機関と連携したフォレンジック調査も動き、ログの整理や端末の証拠保全が続いた。社内では優先度の高い機能から段階的に復旧し、停止と再開の切り替えを繰り返しながら、影響を受けた範囲の見極めに努めた。遮断の判断が早かったことは、のちの分析と再発防止策の設計にも直結した。
見えてきた持ち出しの規模
調査が進むにつれ、外部への通信量が当初の見立てから修正された。10月28日にはダークウェブ上に本件の掲載を確認し、翌29日に当該サイトは閉鎖を確認。詳細の追跡は難しくなったが、フォレンジックの結果として約300GBの不正な通信が把握されたとする。顧客情報や個人情報の一部流出を認め、具体の対象や影響の確認を継続している。
時系列は、権限奪取の早さと、持ち出しと破壊が重なる局面の危うさを浮かび上がらせる。短時間で要の権限に手が届けば、暗号化や消去と並行して外部送信を仕掛けられる。記録の精度が高かったことで、後から通信の流れや端末間の関係をたどれた点は救いだった。閉じたままの痕跡もあるが、表示された数字が現場での判断を支えている。
講じた対策とこれから
同社は対策として、EDRや振る舞い検知の新規導入を進め、サーバと端末の全体にわたる高度なウイルススキャンを実施した。ID管理では全アカウントのパスワードを変更し、入口となり得る経路はVPNを含めて封鎖した。外部との接続は、業務系から切り離したクリーン端末を介して限定的に運用し、攻撃面の縮小と連絡の両立を図っている。並行して外部機関のフォレンジック調査も継続中だ。
入口の再開は拙速に行わず、段階的な安全宣言を目指す構えだ。暴れた痕跡の除去だけでなく、権限設計や監視のしきい値、バックアップの分離と検証など、基盤の作り直しも求められる。分単位の記録で示された透明性は、社内の教訓を外部と共有する態度にもつながる。復旧の音が続く現場で、時刻を刻んだログは、次に備えるための静かな羅針盤になっている。
