ランサムウェア被害は暗号化や身代金要求だけでなく、業務そのものを止めるフェーズに入っています。認証基盤や基幹システム、バックアップが同時に無力化されると、復旧は長期化しやすいです。結果として出荷指示、在庫引当、配送手配、請求などが連鎖的に停止し、欠品や納期遅延が生活者の体験として顕在化します。製造・物流は代替が効きにくく、数日でも販売機会損失と取引先対応、ブランド毀損につながります。
大手でも侵入の起点は「よくある運用の穴」であることが多いです。VPNやリモートアクセス機器の脆弱性放置、公開範囲の誤設定、管理者パスワード再利用は典型例です。加えて、フィッシングやインフォスティーラーによりID・Cookieを奪われると正規ユーザーとして侵入され、検知が難しくなります。委託先の保守アカウントや共有領域などサプライチェーン経由の侵入も、境界が曖昧な環境ほど被害を拡大させます。
問題は在宅勤務そのものではなく、暫定運用が恒常化することです。社外から社内へ入る経路増加により境界設計が複雑化し、端末管理のばらつき(パッチ遅延、EDR未導入、私物端末混在)が攻撃面を広げます。さらに「社内ネットワークへのフルアクセス」のリモート接続は、侵入後の横展開を容易にします。ゼロトラストを掲げても、実態がフラットなネットワークのままだと、重要領域まで到達されやすいです。
対策は侵入防止に加え、「侵入されても止めない」「止まっても早く戻す」を前提に組み立てます。MFAの全面適用と例外最小化、条件付きアクセス、特権アクセス管理(PAM)で認証を固めます。EDR/MDRとログ統合で兆候を早期検知し、端末隔離・アカウント停止・セグメント遮断まで含む手順を演習しておきます。基幹・物流・製造・オフィス・リモートを分離し、認証基盤とバックアップは管理経路も含めて隔離します。バックアップはオフライン性、改ざん耐性、複数世代、復旧テスト、RTO/RPOの明確化で「戻せる」状態を担保し、取引先連絡や代替オペレーションを含む計画で供給責任を守ります。
