日本のEC大手アスクル株式会社は、10月に受けたランサムウェア攻撃で、RansomHouseのハッカーが約74万件の顧客記録を盗み出したことを確認した。
アスクルは、Yahoo! Japan Corporationが所有する、法人向けおよび個人向けのオフィス用品・物流のEC企業である。
10月のランサムウェア事案ではITシステム障害が発生し、小売大手の無印良品を含む顧客向けの出荷を停止せざるを得なかった。
事案の範囲と影響に関する調査は現在完了しており、アスクルは次の種類のデータが侵害されたとしている。
- 法人顧客のサービスデータ:約59万件
- 個人顧客のサービスデータ:約13万2,000件
- 取引先(委託先、代理店、サプライヤー):約1万5,000件
- 役員および従業員(グループ会社を含む):約2,700件
アスクルは、侵害された情報の悪用を防ぐために詳細の正確な内容は伏せており、影響を受けた顧客および取引先には個別に通知するとしている。
また同社は、データ露出について国の個人情報保護委員会に報告し、盗まれた情報の不正利用を防ぐための長期的な監視体制を整えた。
一方、12月15日現在も注文品の出荷には影響が続いており、同社は引き続きシステムの完全復旧に向けて作業中だ。
RansomHouse攻撃の詳細
アスクルへの攻撃は、恐喝グループRansomHouseが犯行声明を出している。同グループは10月30日に最初に侵害を公表し、11月10日と12月2日に2回のデータ流出を追加で行った。
出典:BleepingComputer
アスクルは、脅威アクターがどのように同社ネットワークへ侵入したかについて一部の詳細を共有しており、多要素認証(MFA)保護がなかった外部委託先パートナーの管理者アカウントの認証情報が侵害され、それを悪用したと推定している。
「初期侵入に成功した後、攻撃者はネットワークの偵察を開始し、複数のサーバーにアクセスするための認証情報の収集を試みた」と、アスクルの報告書の自動翻訳には記されている。
「その後、攻撃者はEDRなどの脆弱性対策ソフトを無効化し、複数のサーバー間を移動して、必要な権限を取得した」と同社は述べた。
注目すべき点として、アスクルは攻撃に複数のランサムウェア亜種が使用され、その一部は当時更新されていたEDRのシグネチャを回避したと述べている。
出典:アスクル
RansomHouseは、データの窃取とシステムの暗号化の両方を行うことで知られている。アスクルは、このランサムウェア攻撃が「データの暗号化とシステム障害を引き起こした」と述べた。
アスクルによれば、ランサムウェアのペイロードは複数のサーバーに同時に展開され、容易な復旧を防ぐためにバックアップファイルも消去された。
これを受けて同社は、感染したネットワークを物理的に切り離し、データセンターと物流センター間の通信を遮断し、影響を受けたデバイスを隔離し、EDRのシグネチャを更新した。
さらに、すべての重要システムにMFAを適用し、すべての管理者アカウントのパスワードをリセットした。
攻撃による財務的影響はまだ見積もられておらず、アスクルは詳細な財務評価のための時間を確保するため、予定していた決算報告を延期した。
