キャリアショップ等を運営するベルパークがランサム被害を受けていたと報じられていた件を調べてみました。
www.itmedia.co.jp
全国でキャリアショップを運営するベルパーク(JASDAQ上場)は9月25日、同社がクラウド環境で運用している社内システムがランサムウエアによるサイバー攻撃を受け、同社に物件を賃貸している賃貸人の情報や物件の契約情報が流出した可能性があると発表した。
流出した可能性があるのは、賃貸人の氏名(法人名)や住所、電話番号、振込口座の銀行名や口座番号、賃貸物件の名称や賃料などで、個人の賃貸人263件、法人839件分。
(IT Media記事より引用)
公式発表
キタきつねの所感
公式発表を見て、まず気になったのが、保有する賃貸借契約に関する情報漏えいを中心に書かれているのですが、社内システムがどの程度の影響を受けたのか?という点でしたが、意外に影響範囲が小さかったのかも知れません。
公式発表ではまったく触れられていません。この手の被害が出た際は、某巨大掲示板等に社員の方と思わしき投稿(仕事にならない・・・等々)が出てくる事が多いのですが、特にそれらしき内容は見当たりませんでした。
クラウド環境のバックアップがしっかりしていたという事なのかも知れません。
次に気になったのが、時系列です。公式発表ではしっかりと時系列によるインシデント対応の経緯が説明されています。
しかし、時系列を見ると、開発会社の動きが非常に”鈍い”気がします。
普通のシステム障害として障害復旧を優先させたからかも知れませんが、(ランサム被害を受けて)ファイルが暗号化されている事に気づくまでに2週間以上かかっています。
障害発生調査において、ランサムに関しては怪しげな暗号ファイルや、ランサム(身代金)を要求するメッセージ等の痕跡が確実に残っていると推測されますが、保守を担当する開発会社は、「ランサム」という意識が頭から抜け落ちて調査していた気がします。
時系列上では、開発会社が9月9日にデータの暗号化に気づいてから、ランサムの痕跡を見つけるまでに1日(9月10日)しかかかっていません。調査すればすぐに痕跡が出てきたかも知れない事を考えると、これだけランサム被害が全世界で出ている中で「心構え」が出来てなかったのではないでしょうか。
もしかすると、それだけ自社のセキュリティに自信があったという事なのかも知れませんが、公式発表の「原因」を見ると・・・やるべき事をしっかりとしていた様にはあまり思えません。
4.原因
サイバー攻撃によるクラウド環境のサーバへの不正アクセスが原因でありますが、当該サーバに対する弊社のセキュリティ設定にも不十分な点がありました。
(公式発表より引用)
別な記事には、ランサムによる2重恐喝(窃取した機密情報を暴露されたくなければ身代金を払え)について問い合わせていますが、「ランサムメッセージ」に書かれているはずの内容について、(広報戦略上の判断の可能性はありますが)「分からない」と回答するのは、開発会社やベルパークの調査能力に問題がある様に思えます。
弊誌取材に対し、「現在も外部事業者が調査を進めている段階で、詳しい脅迫内容を把握できていない(同社広報)」と説明。脅迫内容にデータの暴露なども含まれているか、同社ではわからない状況だという。
(Security Next記事より引用)
フォレンジック調査の結果を待ちたかった、という事なのかも知れませんが、これだけ時間をかけていると、ランサムオペレータが交渉は決裂したとして「海外リークサイトに情報が暴露」されている気がしてなりません。
他の企業も、ランサム被害が発生した際の対応(計画)について改めて考えておく必要があるのではないでしょうか。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴