高野総合会計事務所グループのデータを管理するサーバにランサムウェア攻撃
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
今回の解説ニュース
ランサムウェアの被害により、情報漏洩が発生した可能性があるということです。情報漏洩があったことを判断する基準と、委託先で行った設定のセキュリティを担保する方法について説明します。
今回のインシデントは、事務所グループがデータを管理するサーバにてファイルが暗号化されるランサムウェア被害が発生したというものです。原因として、インターネット接続点に設置する通信機器の更新作業で委託業者が通信機器の設定を誤った結果、同事務所グループのデータサーバに不正アクセスできる状態であったことが挙げられています。なお、海外から複数サーバに不正アクセスが行われ、ウイルス対策ソフトの停止を含む同事務所グループのセキュリティ対策の無効化が行われたのちに、ランサムウェアが実行された可能性が高いことが判明しています。
対策として、同事務所グループではパートナーを中心とした対策本部を設置し、外部専門家の助言を受けながら、影響の範囲等の調査と復旧への対応を進めています。再発防止策として、本事象の影響を受けない新たなシステム環境を構築し、早期の業務復旧に向けた対応を開始しているということです。
情報漏洩があったことを判断する基準
情報漏洩があったことを判断する方法として、保存されているログを分析する方法と、攻撃者の行動を分析する方法が挙げられます。
まず、保存されているログを分析して、情報漏洩があったか確認する方法が挙げられます。具体的には、ファイルへのアクセスログから、重要なファイルへのアクセス履歴を調査し、不正なアクセスがないか確認します。また、ネットワークやクラウドサービスのログからは、外部へのデータ転送量や、異常な通信パターンがないか確認します。もし、セキュリティ製品やシステムで発生したイベントのログが個別に保存されていれば、システムの異常な動作や、セキュリティアラートが発生していないか確認することができる場合があります。
また、攻撃者の行動を分析することで、情報漏洩があったことを確認する方法が上げられます。攻撃者は、身代金の支払いを促すために、盗んだデータを公開すると脅迫する場合があります。攻撃者が盗んだデータは、リークサイトと呼ばれる専用のWebサイトで公開され、そこに自社の情報が掲載されている可能性があります。また、顧客や取引先など、外部から個人情報が不正に利用されているという問い合わせを受けることによって、情報漏洩があったと判断できる場合があります。