米国メールプロバイダのVFMailがハッカーの攻撃を受けバックアップまで含めて18年分のデータが削除されました。
www.darkreading.com
■公式発表 Current Status:
現在の状態:
- nl101.vfemail.netを使用していない場合は、メールボックスは消えています。自分で電子メールを送信して再作成します(必要な場合)。
- 2月11日の最初の事件の後、受信メールは送信側サーバーでキューに入れられました。
これらは12時間以内に入ってくるはずで、既存のアカウント用に新しいメールボックスを作成します - 「新しい」メールが失われるべきではありません。
- アカウントは存在しますが、メールデータは存在しません。メールボックスが再作成されていないと、ログインできません。それを再作成するためにあなた自身に電子メールを送りなさい。
- あなたがウェブメールを使った10%のひとりであれば、あなたのアドレス帳とカレンダーはまだ存在しています。
- ログインできない場合は、https://nl101.vfemail.netを使用してWebメールにログインしてください。
- POPを使用した場合 メールサーバーをnl101.vfemail.netに変更します。
- IMAPを使ったことがあるなら。クライアントに新しいアカウントを作成し、サーバー名にnl101.vfemail.netを使用します。
既存の設定を変更しないでください。空のメールボックスと同期し、地域のメールを失います。
- コントロールパネルはほとんど修復されました。
- あなたのメールボックスのデータが失われると考えてください、しかし我々はまだあきらめていません。
- 2016年8月までのデータがこれまでに回復されました。
(公式QAより引用 ※機械翻訳)
◆キタきつねの所感
ハッカーの攻撃について、一昨年はランサム、昨年は仮想通過マイニングマルウェアが多かったのですが、データワイプ(削除)攻撃もある、その事をこの事件は改めて示していると言えます。攻撃は2/11に突然始まったようです。
Twitterにその時の状況が書かれていたので引用しますと、(身代金要求も無く)不意に攻撃が始まり、いきなりサーバーのフォーマット(ワイプ)がやられたようです。認証(パスワード)が同じだった訳ではなかった様なので、どうやって全てのサーバの認証を突破されたのかは分かりませんが、
バックアップサーバまでフォーマット化されてしまったという事から推測できるのは、この会社はバックアップの持ち方について責められるべき、と言えそうです。2/12には米国の著名なセキュリティ専門家であるブライアン・クレブス氏のサイトKrebsonSecurityでこの件が取り上げられていましたが、そこでのコメントを見ると、やはり多くの読者のコメントも同じで、オフライン(テープ)バックアップが無かったので影響範囲が拡大したという意見が多くありました。
最近の攻撃(特にランサム)では、オンラインバックアップを先に攻撃してから本体のサーバを襲う手法がよく取られます。オンラインで常時接続されているバックアップサイトは、本体サーバと同じ認証(パスワード)で運用管理されている場合、本体サーバが不正アクセスを受けた=バックアップサイトも破られる可能性が高い事を意味します。
金融系のセキュリティでは、内部からのリモートアクセスにも多要素認証を導入する事が要求されるケースもありますが、こうした事件で狙われるリスクを考慮したものだと言えるかも知れません。
KrebsonSecurityの記事のコメント欄を読むと勉強になる事が多いのですが、「オンライン(常時接続)バックアップは信じるな」という思想が、多くの方に共通してました。参考にすべき情報インフラ事業者は日本でも多いのではないでしょうか?(危ないですよ・・・という意味ですが)
インフラ事業者としてのバックアップの取り方については議論の余地がありそうですが、インシデント対応については、VFMailは比較的頑張っている方かも知れません。
2/21の書込みでは、
データがどうしても復帰できない2016年6月~2019年2月のデータについても、まだ復旧を諦めてない事(復元の可能性を考慮してサーバを落してないという意味でしょうか・・)をコメントしてました。
更新履歴
