サイバー攻撃の標的に：ある菓子メーカーが2025年に直面したランサムウェアの苦難

150年の歴史を持つチョコレート会社が、パソコンの数回のクリックで崩壊寸前に追い込まれるとは、夢にも思いませんでした。私はGanong Bros.――カナダで最も長く続く家族経営の菓子メーカー（1873年創業）――のIT責任者として、老朽化した在庫システムのアップグレードから工場のWi-Fiの維持まで、あらゆることを監督してきました。しかし、2025年2月22日の朝、ランサムウェア攻撃で突然システムがロックされたときのことは、何も準備できていませんでした。ココアや煮えたぎる砂糖の香りの中、私たちの甘い事業がサイバーセキュリティの悪夢に変わったことを痛感しました。

生産現場での発覚

ニューブランズウィックの凍えるような寒い土曜日、セントスティーブン工場は春の注文に向けて限定的なシフトで稼働していました。私は自宅にいたのですが、製造監督者から早朝に電話がありました。「何かおかしい――包装部門のコンピュータがフリーズして、画面に変なメッセージが出ている」と。胸が締め付けられました。リモートでログインしようとしても不可能で、ネットワークは反応しません。急いで工場に駆けつけると、重要なサーバーが暗号化され、モニターには身代金要求のメッセージが点滅していました。

後に判明したのは、攻撃はもっと前から始まっており、密かにネットワーク全体に広がっていたということです。2月22日に「発覚」した時点で、悪意あるコードはすでに複数のシステムを麻痺させていました。操業は完全に停止――自動の混合・包装機は機械的には問題ありませんでしたが、デジタル制御や生産スケジュールがなければ、安全に生産を続けることはできません。注文データベースやメールへのアクセスも遮断されました。一瞬で、歴史あるチョコレート工場は19世紀に逆戻りしたのです。

サーバールームに立ち尽くし、パニックの波が押し寄せてきました。何世代にもわたるGanong家の遺産が今や私の肩にのしかかり、顔の見えない犯罪集団が週末のうちにそれを破壊するかもしれないと恐れました。小さなITチームを集め、すぐにインシデント対応手順（記録してあった範囲で）を実行しました。最初のステップは、工場のネットワークを外部から切り離し、さらなる拡大を防ぐこと。不要なシステムもシャットダウンし、これ以上の暗号化を防ぎました。これは完全なランサムウェアインシデントであることは明らかでした。専門家の助けを求める時です。

侵害封じ込めへの奔走

昼までには、外部のサイバーセキュリティインシデント対応会社と法務顧問に連絡しました。数時間後には、外部のインシデント対応者がキャンディ工場に到着し、ログや隔離したディスクイメージを調査していました。生産ラインが突然停止したため、警報が鳴り響き、フォレンジック作業の不気味な背景となっていました。

私たちのチームは週末を通じて専門家と肩を並べて作業し、侵入者の足跡をたどろうとしました。初期の調査結果は衝撃的でした。攻撃者は数日、あるいは数週間もネットワーク内に潜伏していた可能性が高いというのです。サイバースペースには割られた窓や壊れた鍵はありませんが、フィッシングメールや盗まれたパスワードが原因であることを示す兆候がありました。後に、食品メーカーへのサイバー攻撃の76％がフィッシングメールから始まることを知り、私たちもその統計の一部になったのだろうと思いました。

封じ込めの取り組みは、さらなる被害防止と侵害範囲の特定という2つの緊急課題に集中しました。全従業員のパスワードをリセットし、影響を受けていないシステムには緊急パッチを適用しました。また、工場長が連絡を取り、手作業の代替策を計画できるよう、簡易的な隔離ネットワークも構築しました。フォレンジックチームはランサムウェアの種類とその特徴を分析し始めました。これは「PLAY」ランサムウェア集団の仕業のようで、二重脅迫戦術で悪名高く、ロシアから活動していると考えられています。

その事実を知り、背筋が凍りました。相手はただの悪ふざけのハッカーではなく、プロの恐喝集団だったのです。1～2週間後、PLAY集団は公に犯行声明を出しました。しかし当時は、その事実をインシデントチーム内にとどめていました。最優先は操業の復旧と被害範囲の把握でした。

生産の停止

その土曜の午後、工場のメインフロアに足を踏み入れた瞬間は、最も辛い場面の一つでした。普段なら、ペパーミントチョコレートを包む包装機や、出荷準備中のキャンディのパレットが目まぐるしく動いているはずです。しかし今はラインが静まり返り、従業員たちが手持ち無沙汰に立っていました。私は「サイバーインシデント」が発生したこと、システムが安全に復旧するまでほとんどの作業を一時停止する必要があることを伝えなければなりませんでした。

すぐに昔ながらの手作業に頼ることになりました。月曜日には、多くのオフィスシステムが依然ダウンしていたため、工場長たちは紙の書類や個人の携帯電話を使っていました。混乱はありましたが、完全な麻痺よりはましでした。重要な顧客注文は遅れましたが、在庫を手作業で確認し、宅配業者を雇って少量ずつ出荷することができました。

ダウンタイムの1時間ごとに、損失と信用が失われていきました。ランサムウェア集団は、食品メーカーが止まるたびに損失とプレッシャーが増すことを知っています。食品業界の利益率は低く、混乱はサプライチェーン全体に波及します。そのことが、身代金の支払い期限が迫る中、重くのしかかりました。

攻撃者の痕跡を追う

現場が対応に追われる中、インシデント対応者は、ハッカーが私たちをロックアウトする前に大量のデータを盗み出していた証拠を発見しました。内部ファイルの一部はすでに「証拠」としてダークウェブに公開されていました。内部コミュニケーションのスクリーンショットを見るのは、胃が痛くなる思いでした。人事記録、メール、製品レシピ――何を盗まれたか正確には分かりませんでしたが、最悪を想定せざるを得ませんでした。

法務チームは、データ漏洩通知の可能性に備えました。実際、攻撃者は人事ファイルや特定の契約書を含むファイルサーバーにアクセスしていました。スタッフの氏名、住所、場合によっては社会保険番号、さらには一部の顧客情報も盗まれた可能性があります。州のプライバシーコミッショナーに報告し、通知文書の作成を始めました。

身代金要求メッセージは典型的な脅し文句でした。多額の暗号通貨を支払わなければ、盗まれたデータをネット上に公開するというものです。法執行機関は支払いをしないよう助言しました。経営陣（Ganong家を含む）も、犯罪者に報酬を与えることには断固反対でした。

幸い、すでに復旧作業を開始していました。身代金の期限が過ぎる頃には、多くのシステムをクリーンなバックアップから復元し、他のシステムも再構築していました。身代金要求には正式に応じませんでした。犯罪者は結局、盗んだデータの一部を公開しましたが、私たちは準備していました。広報チームは「サイバーセキュリティインシデント」と潜在的なデータ流出を認める、慎重に言葉を選んだ声明を発表しました。

内部的には、ランサムウェアであり、犯人が誰かも把握していました。「PLAY」という名前は、これからも苦い記憶として残るでしょう。この集団は病院や学校、そして今度は私たちのチョコレート工場を攻撃しました。私たちは単なる被害者の一つ――2025年第1四半期だけで食品・農業分野で少なくとも84件の被害が確認されています。

操業と信頼の回復

24時間体制の努力のおかげで、約1週間でほとんどのシステムを復旧できました。3月初旬には、Ganong Bros.はほぼ通常通りに戻りましたが、多少の混乱は残りました。数日分のデータは手作業で再入力する必要がありました。機械のコントローラーが安全であることを確認した後、生産を再開しました。全生産再開を発表したとき、従業員たちは歓声を上げました。

多要素認証と厳格なアクセス制御を導入しました。主要なパートナーや顧客には、ある程度透明性を持って「サイバーインシデントにより一時的な混乱が生じたが、すでに制御下にある」と説明しました。幸い、主要な契約を失うことはありませんでした。 

この攻撃は2月下旬、バレンタインデー後でイースター生産前というタイミングでした。もしこれがもっと悪い時期だったら、壊滅的だったでしょう。それでも、金銭的な打撃は大きく、インシデント対応、残業、廃棄在庫、新たなセキュリティ投資などで数十万ドルの損失となりました。しかし、犯罪者に資金を渡したり、データ返還の不確かな約束に頼ったりしなかったことを、私たちは良かったと思っています。

3月中旬、メディアはこれをランサムウェア攻撃と報じました。「ハッカー」や「身代金」といった言葉とともに自社名が見出しに載るのは、謙虚な気持ちになりました。しかし、もし救いがあるとすれば、この経験談がサプライチェーン業界の他の人々の助けになるかもしれないということです。

振り返りと教訓

数か月経った今、私たちはある意味で幸運だったこと、そして別の意味でいかに準備不足だったかを痛感しています。 

• 予防的なセキュリティへの投資。 私たちのネットワークは平坦すぎました。現在はITとOTをより厳格に分離し、より優れた脅威検知ツールを導入しています。レガシーシステムと緩いセグメンテーションが弱点でした。 
• リモートアクセスと認証情報の強化。 多要素認証を徹底し、リモートアクセスを最小限にし、「ゼロトラスト」方針を採用しました。フィッシング対策トレーニングも必須となりました。 
• インシデント対応計画の策定。 以前のIR計画は基本的で未検証でした。今では詳細なランサムウェアシナリオ、代替連絡手段、経営陣向けの机上訓練を整備しています。 
• バックアップ、バックアップ、バックアップ。 オフラインバックアップが私たちを救いました。今ではより頻繁にバックアップを取り、復元テストも定期的に行っています。 
• サプライチェーン全体の保護。 匿名化した教訓を業界仲間と共有し、ベンダーのセキュリティ要件も強化しました。サイバーセキュリティはパートナーとの議論の標準項目となりました。 

振り返ると、チームが団結したことに誇りを感じます。もっと早く行動できなかったことに後悔もあります。しかし今は、より強く、より備えができているという楽観も持っています。 

サイバー・レジリエンスは、もはやキャンディのレシピや顧客関係と同じくらい、私たちのビジネスにとって重要です。サプライチェーンの世界では、もはやデジタル脅威を他人事にできません。私たちは皆、標的なのです。そして、行動しないリスクはあまりにも大きいのです。

2025年のランサムウェアの苦難は過酷でした。しかし、私たちは生き残りました。事業を継続できました。そして、チョコレートをテンパリングするように、激しい熱を経て、以前よりも強く、レジリエントになったのです。 

この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加をご希望ですか？