インシデントの概要と影響範囲の確定
日本のeコマース大手、アスクル株式会社は、今年10月に発生したランサムウェア攻撃により、約74万件の顧客情報がRansomHouseのハッカーによって盗まれたことを確認しました。
このランサムウェア攻撃は、アスクルのITシステムに障害を引き起こし、小売大手「無印良品」を含む顧客への出荷停止を余儀なくされました。インシデントの範囲と影響に関する調査が完了し、アスクルは以下のデータが侵害されたと発表しています。
流出したデータの詳細
- ビジネス顧客サービスデータ: 約590,000件
- 個人顧客サービスデータ: 約132,000件
- ビジネスパートナー(アウトソーサー、エージェント、サプライヤー): 約15,000件
- 役員および従業員(グループ会社含む): 約2,700件
アスクルは、不正利用防止のため詳細な情報は非公開としていますが、影響を受けた顧客およびパートナーには個別に通知を行う予定です。また、個人情報保護委員会にもデータ漏洩について報告し、盗まれた情報の悪用を防ぐための長期的な監視体制を確立しました。
ランサムハウスによる攻撃の詳細
今回の攻撃は、悪名高いRansomHouse恐喝グループが主張しています。同グループは10月30日に情報漏洩を公表し、11月10日と12月2日に2回のデータリークを行いました。
アスクルは、攻撃者が外部委託先のパートナーの管理者アカウントの認証情報を悪用したと推定しており、このアカウントには多要素認証(MFA)が適用されていなかったと説明しています。初期侵入後、攻撃者はネットワーク偵察を行い、複数のサーバーにアクセスするための認証情報収集を試みました。
アスクルの報告によると、「攻撃者はその後、EDRなどの脆弱性対策ソフトウェアを無効化し、複数のサーバー間を移動して必要な権限を獲得した」とのことです。特筆すべきは、今回の攻撃で複数のランサムウェア亜種が使用され、その一部は当時更新されていたEDRの署名検知を回避したとされています。
RansomHouseはデータの窃取とシステムの暗号化の両方で知られており、アスクルはランサムウェア攻撃が「データの暗号化とシステム障害」を引き起こしたと報告しています。ランサムウェアのペイロードは複数のサーバーに同時に展開され、容易な復旧を妨げるためにバックアップファイルも消去されたとのことです。
アスクルの対応と復旧状況
インシデント発生後、アスクルは迅速に対応し、感染したネットワークを物理的に切断し、データセンターと物流センター間の通信を遮断しました。さらに、影響を受けたデバイスを隔離し、EDRの署名を更新する措置を取りました。
セキュリティ強化のため、全ての主要システムにMFAを適用し、全ての管理者アカウントのパスワードをリセットしました。現在もシステムを完全に復旧させるための作業が続けられており、12月15日現在も注文の出荷には影響が出ている状況です。
財務への影響
今回のランサムウェア攻撃による財務への影響はまだ推定されていません。アスクルは、詳細な財務評価に時間を要するため、予定されていた決算発表を延期しています。