【日本HPが語る】なぜ復旧に時間がかかるのか？～大企業も陥る罠と、日本HP独自の「ハードウェア防御」とは～

2025年、大手飲料メーカーをはじめとする名だたる大企業がランサムウェアの餌食となり、長期間の事業停止を余儀なくされました。

「十分な予算と人員を持つ大企業でさえ、なぜ防げなかったのか？」
「なぜ復旧にこれほど時間がかかったのか？」

その背景には、AIによる攻撃の高度化や倫理観なき犯罪集団の台頭、そして従来のセキュリティ対策では検知できない「ローレイヤー（ハードウェア層）」への攻撃という、恐るべき実態がありました。

今回は、PCメーカーでありながら、20年以上前からセキュリティ技術を牽引してきた株式会社日本HP・セキュリティエバンジェリストの木下 和紀 エドワルド 氏に、最新の脅威トレンドと、そこから中堅・中小企業が学ぶべき「生き残るための防御策」についてお話を伺いました。

^{※本記事はサイバーセキュリティに関する啓発や考察を目的としています。特定の企業・団体を批判する意図は一切ありません。}

木下 氏：今回の事例で浮き彫りになったのは、セキュリティにおける「人間の脆弱性」と、「システム復旧の困難さ」です。

現場の運用担当者は、日々大量のアラートにさらされています。その中には誤検知も多く、担当者は疲弊し、疑心暗鬼になっています。そうした状況下では、攻撃の予兆となる「小さな痕跡」をつい見逃してしまう。「人間はミスをする」「全てを監視しきれない」という限界が露呈した形です。

また、経営層は「止まったらバックアップから戻せばいい」と軽く考えがちですが、今回の事例はそれが決して簡単ではないことを証明しました。

大規模な侵害を受けた場合、単なるデータのリストアでは済みません。システム間の連携も含め、ゼロから再構築するに等しい作業が必要になります。セキュリティインシデントは、もはやBCP（事業継続計画）の根幹に関わる経営危機なのです。

木下 氏：劇的に変わりました。最大の要因は「AIの普及」です。

2023年頃から生成AIが普及したことで、攻撃者にとっての日本語という「言語の壁」がなくなりました。かつては不自然な日本語で「怪しい」と見抜くことができたフィッシングメールが、今ではネイティブレベルの完璧な文章で届くようになりました。

さらに恐ろしいのは、流出した本物のメールデータを悪用する手口です。

実際に取引先とやり取りしていたメールの返信を装って攻撃メールを送ってくるため、文脈も関係性も自然そのものです。これを人が目視で「怪しい」と見抜くのは、もはや不可能に近いという状況です。

木下 氏：残念ながら、防ぐことは難しくなっています。

弊社の統計データ（HP Sure Click で隔離・検知したデータ）によると、既存のメールセキュリティゲートウェイを通過してユーザーの手元に着弾してしまう脅威メールは、全体の約11%に上ります。これには 大手クラウドベンダーのメールゲートウェイ などの標準セキュリティを通過したものも含まれています。

攻撃者は、ゲートウェイの検知ルールをテストし、すり抜ける方法を確認してからばら撒いています。「トレーニングを受けた人間が見抜く」ことも、「ゲートウェイで止める」ことも、限界に来ているのが現実です。

木下 氏：MaaS（Malware-as-a-Service：サービスとしてのマルウェア）の台頭によって、攻撃者がかつての「ハッカー集団」から「真の犯罪集団」へと移り変わっています。

以前のハッカーにはある種の倫理観があり、たとえば「病院などの人命に関わる組織は攻撃しない」「身代金を払えば暗号化を解除する」といった暗黙のルールがありました。

しかし、現在主流となっているのは、MaaSを利用する犯罪者たちです。彼らは、技術力こそありませんが、ダークウェブで「攻撃ツール」を購入し、金銭目的で無差別に攻撃を仕掛けます。

彼らが使うツールは、極めて高度に自動化されています。一度侵入に成功すれば、スクリプト１つで Active Directory（管理権限）の乗っ取りからセキュリティ機能の無効化、ランサムウェアの発動までを自動で行います。

「身代金を払ってもデータを復元しない」「払ったという弱みにつけこんでさらに脅迫する」といった、倫理観のない無慈悲ともいえる攻撃が増えているのも特徴です。

木下 氏：それは、「大企業を攻めるための足掛かり」として利用価値があるからです。

大企業の守りが固くなるにつれ、攻撃者はそのサプライチェーンである中堅・中小企業を狙うようになりました。

「うちには盗られるような重要なデータがない」と仰る経営者の方もいますが、攻撃者にとっては、皆様が持っている「大企業の担当者のメールアドレス」や「過去のメールのやり取り」自体が、大金を稼ぐための武器になるのです。

過去には、大手航空会社が約3.8億円の被害に遭った「ビジネスメール詐欺」がありましたが、これも取引先のメールが乗っ取られたことが発端でした。中堅・中小企業が踏み台にされ、取引先の大企業に甚大な被害を与えてしまうリスクは、常に存在しているといえます。

木下 氏：ここが今回、最もお伝えしたい重要なポイントです。

最近の攻撃者は、OS（Windows 等）の上で動くEDR（検知・対処ツール）の目を盗むために、OSよりも深い階層であるBIOSやファームウェアといった「ローレイヤー」に寄生する手口を使うようになりました。

BIOSが感染してしまうと、OSを再起動しても、あるいはHDDを初期化してOSを入れ直しても、マルウェアは生き残り続けます。ハードウェアの根幹に潜んでいるため、OS上のセキュリティソフトでは手出しができないのです。

木下 氏：BIOSやファームウェア等のローレイヤーが侵害された可能性がある場合、そのハードウェアはもはや「信頼できない端末」となってしまいます。

仮にバックアップからデータを戻そうにも、土台であるハードウェアが汚染されていたら、戻した瞬間にまた再感染してしまいます。しかも、BIOSが書き換えられたかどうかは、通常のPCではログに残らないため、確認する術もありません。

結果として「ハードウェアを全て新品に調達し直すか、システムとネットワークをいちから再構築するしか手がなくなります。これが、復旧に膨大な時間とコストがかかる真の理由です。

昨年の事例で多くの企業が苦しんだのは、単なるデータの暗号化ではなく、この「ハードウェアへの信頼の喪失」だったと思われます。

木下 氏：HPの法人向けPCには、2016年頃から「HP Endpoint Security Controller」という独自のセキュリティチップを搭載しています。これはBIOSとは独立して動くチップで、常にBIOSの状態を監視しています。

もし攻撃者によってBIOSが書き換えられたり、破損したりした場合、このチップが即座に検知し、自動的に正常な状態へリカバリーさせます。OSが起動する前の段階で、ハードウェア自身が自分を守る仕組みで、「HP Sure Start」という独自機能です。

弊社はこれらを「HP Wolf Security」という製品群で展開しています。詳細については資料にまとめていますので、よろしければぜひご覧ください。

木下 氏：そうなんです（笑）。

社内でも「ここまでマニアックなことをやっているメーカーは他にいない」とまで言われているのですが、当時はそこまで世の中のニーズがなく、あまりアピールできていなかったのが実情です。

しかし、ローレイヤーへの攻撃が現実の脅威となった今、この「ハードウェアが改ざんされていないことを証明し、自律的に直す能力」こそが、企業を守る最後の砦になると確信しています。

野村：木下様ありがとうございました！次回はハードウェアセキュリティについてさらに深堀して語っていただきます！

第2回は、本記事でも語られたHP独自のハードウェアセキュリティをさらに深掘りします。

OSが壊れてもWi-Fi経由で自動復旧する機能や、電源オフでも紛失PCを追跡・消去できる驚きの技術など、情シス担当者がいない中小企業でも運用可能な「究極のBCP対策」に迫ります。（3月中旬公開予定）