大阪市内のIT関連企業で、ファイルサーバーに細工して業務を妨害したとして、滋賀県長浜市の38歳の元社員が大阪府警に逮捕されたと報じられました。報道によれば、昨年8月に社内サーバーの画面へランサムウェア感染を装う偽警告を表示させ、さらに一定時間後に自動シャットダウンするプログラムを動かすなどして、調査対応や業務停止を余儀なくさせた疑いがあります。被害額はデータ復旧の委託料などを含め、少なくとも約2,000万円とされています
目次
手口のポイント
今回の特徴は、本物のランサムウェア感染ではなく、感染したと誤信させる演出で初動を混乱させた点です。朝日の記事では、過去に世界的被害を出したWannaCryを想起させる文言が表示されたとされています。
加えて、シャットダウンを誘発する仕掛けは可用性を直接落とし、業務影響を確実に出す狙いが読み取れます。産経では起動から3時間後に自動停止するプログラムが言及されています。
侵入・実行経路で注目すべき点
報道では、容疑者が当時システム管理を担当していたこと、退職後も関与が疑われることが示されています。朝日では、別社員のID・パスワードを使って社内システムへ入り、プログラムを組み込んだ可能性があるとも報じられています。
内部不正は、権限の近さと業務理解の深さがそのまま攻撃優位につながります。さらに、正規の運用行為に見せかけて実施されると、検知・切り分けが遅れます。
情シスが受ける現実的なダメージ
被害が2,000万円規模に膨らんだ背景には、単なる停止時間だけでなく、感染疑いとしての調査・復旧・外部委託・説明対応が連鎖する構造があります。偽警告であっても、初動の判断が遅れれば、全停止に近い運用判断(サーバー停止、ネットワーク遮断、全端末点検)に寄りやすく、コストが跳ね上がります。
再発防止の実務ポイント
退職・異動時のアクセス制御を仕組み化する
内部犯行の多くは、退職・異動・委託切替の境界で起きます。即時失効が徹底されていないID、共有ID、例外的な管理者権限が残ると、犯行の足場になります。
-
退職確定時点でのアカウント棚卸しと失効の自動化
-
共有IDの廃止、やむを得ない場合は利用申請と証跡必須化
-
特権IDは個人別、貸し出し禁止、緊急時はブレークグラス運用で記録
認証情報の使い回しと横流しを前提に守る
別社員の資格情報が使われた疑いが出ている以上、パスワード管理だけでは足りません。
-
管理系操作は多要素認証を必須化
-
重要サーバーへの管理操作は踏み台(PAWやジャンプサーバー)経由に限定
-
重要操作(サービス停止、タスク登録、ログ削除等)は追加承認や二者承認を検討
参照
「防犯意識の低さ知らしめたくて」不正プログラム仕込んだ疑い、逮捕
「不満と復讐心」勤務先に強制シャットダウンのプログラム仕込む、元IT会社員を逮捕
関連記事
アークライト運営「デュエル・マスターズ ジュニアグランプリ 2025」の問い合わせフォームが迷惑メール 送信に悪用される
特権IDは王国の鍵-Googleが特権アカウント監視ガイドを公表
Sensata Technologies(センサータ テクノロジーズ)、ランサムウェア 攻撃 被害を公表 一部業務に支障、情報漏洩の可能性も
日本ジッコウがランサムウェアの被害を公表、復旧作業と調査を進行中
中国系ハッカーがDellのゼロデイ脆弱性を悪用しサイバー攻撃(CVE-2026-22769)
関西総合システムへのサイバー攻撃-ランサムウェア グループBrain Cipherが不正アクセスを主張
美濃工業へのサイバー攻撃の情報 漏洩「極小」から「相当量」-ランサムウェア グループ SafePayが犯行声明
シャープ公式オンラインストア「COCORO STORE」と「ヘルシオデリ」で不正アクセス 最大約10万人の個人情報漏洩の可能性
ABC開発、約2万件の顧客の個人情報を記録したCD-RWを紛失
