アスクル、個人情報74万件漏えい　攻撃手法や初動対応を時系列順にまとめたレポートも公開

　アスクルは12月12日、10月に発表したランサムウェア被害を巡り、約74万件の個人情報漏えいを確認したと発表した。攻撃手法に関する調査結果や原因分析、初動対応などを時系列順にまとめたレポートも公開。今後の再発防止に向けた施策のロードマップも公開した。

【その他の画像】

　漏えいした情報は、事業所向けサービスに関する顧客情報約59万件、個人向けサービスの顧客情報約13万2000件、取引先情報1万5000件、役員・社員の情報2700件。どんな情報が対象かは二次被害防止のため控えたが、クレジットカード情報は含まないという。

　攻撃手法をまとめたレポートによれば、攻撃者は同社ネットワーク内に侵入するために、業務委託先用の認証情報を窃取し不正に使用した可能性があるという。6月5日に初期侵入に成功した後、攻撃者はネットワークの偵察を開始。複数のサーバにアクセスするための認証情報の収集を試みていた。

　その後、攻撃者はEDRなどの脆弱性対策ソフトを無効化したうえで複数のサーバ間を移動し、ネットワーク全体へのアクセス能力を取得。10月19日にランサムウェアを複数サーバに展開し、ファイルの暗号化とバックアップの削除を行った。今回の攻撃には複数種のランサムウェアが使用されており、中には当時利用していたEDRのシグネチャ（マルウェアを判別するデータ）では検知が難しいものもあったとしている。

　アスクルはこれに対し、異常検知後に感染の疑いがあるネットワークを物理的に切断する初動対応を取った。さらに感染した端末の隔離や、ランサムウェア検体の抽出、EDRのシグネチャ更新も行ったという。なお、攻撃者との交渉や身代金の支払いは行っていないとしている。一連の初動対応や、その後の復旧については、時系列順のレポートも公開している。

　レポートによれば、攻撃により同社の物流システムなどがランサムウェアに感染し利用不可能に。さらに何らかの形で外部クラウドサービス上の問い合わせ管理システムのアカウントも窃取されたという。基幹業務システムやECサイトへの侵害はなかったとしている。

　アスクルは攻撃や復旧が長期化した原因について（1）例外的に多要素認証を適用していなかった業務委託先に付与していた管理者アカウントのID・パスワードが何らかの理由で漏えいし、不正利用されていた、（2）侵害が発生したデータセンターにおいては、サーバにEDRを導入しておらず、24時間体制の監視も行っていなかったため、不正アクセスや侵害を検知できなかった、（3）侵害が発生したサーバでは、ランサムウェア攻撃を想定したバックアップ環境は構築しておらず、迅速な復旧ができなかった──と分析。

　このうち（1）については、当時のログが削除されており、詳細な原因の究明も困難な状態という。ただし「VPN機器ベンダーが9月ごろに発表した脆弱性を悪用した侵入の痕跡はなかった」「アスクル社員のPCには不正侵入や情報窃取の痕跡はなかった」としている。

　一連の事態を踏まえ、同社は再発防止策として、中期での取り組みと長期での取り組みを発表。すでに多要素認証の徹底に取り組んでいるが、加えて中期ではSOCの監視強化や24時間365日体制の監視の高度化、SaaSログ監視の強化、EDR・ネットワーク防御の継続的強化などに、長期ではランサムウェア攻撃を踏まえた事業継続計画（BCP）の見直しなどに取り組む方針を示した。