写真：INTERNET Watch

　アスクル株式会社は12月12日、ランサムウェア攻撃によるシステム障害関連の第13報として、システム障害の範囲特定と攻撃の影響についての詳細な調査結果を発表した。 【この記事に関する別の画像を見る】 ■ 流出が確認された情報 　個人情報の漏えいが確認されたのは以下の通り。（12月12日時点）対象者には個別に通知し、今後も必要に応じて追加対応を実施するとしている。なお、事業所向けサービスには「ASKUL」「ソロエルアリーナ」、個人向けサービスには「LOHACO」が、それぞれ相当する。 ・事業所向けサービスに関する個人情報の一部（約59万件） ・個人向けサービスに関する個人情報の一部（約13万2000件） ・取引先（業務委託先、エージェント、商品仕入先等）に関する情報の一部（約1万5000件） ・役員、社員等に関する情報の一部（グループ会社含む）（約2700件） 　なお、クレジットカード情報はLOHACO決済の仕組み上、同社で保有しておらず、流出は確認されていないという。 ■ ランサムウェア攻撃の発生・対応の経緯 　今回のランサムウェア攻撃の発生と対応の経緯を、同社は次のように説明している。 ■ ランサムウェア攻撃の被害範囲と影響 　被害範囲と影響について外部専門機関によるフォレンジック調査の結果確認された事実として、次の2点を公開している。なお、一部のログが失われたことから、攻撃者が閲覧した可能性がある情報を完全に特定することは困難だという。 □物流・社内システムへの侵害 　物流システム・社内システムおよび一部データ（バックアップデータを含む）が暗号化され使用不能になるとともに、窃取・公開された。これにより、物流センターの出荷業務が全面停止する重大な影響が及んだ。 □外部クラウドサービスへの侵害 　物流システムへの侵害を通じて、外部クラウドサービス上の「お問い合わせ管理システム」のアカウントが窃取され、当該システムの情報の一部が流出した。なお、基幹業務システムやフロントシステム（利用者向けECサイトやパートナー向けサービス）は、侵害の痕跡がないことが確認されている。 ■ ランサムウェアの攻撃手法 　攻撃手法の詳細な分析結果も公開された。攻撃者の侵入経路は、例外的にMFAを適用していなかった業務委託先に付与されていた管理者アカウントのIDとパスワードが漏洩・不正利用され、ネットワーク内に侵入されたと推定されている。 　その後、攻撃者はEDRなどの脆弱性対策ソフトを無効化した上でネットワーク全体へのアクセス能力を取得したとみられる。なお、侵害が発生したデータセンターのサーバーにはEDRが未導入であり、検知が困難なものを含む複数種のランサムウェアが使用されていたことから、発見が遅れたとしている。 　攻撃者は必要な権限の奪取後、ランサムウェアを複数サーバーに展開し、ファイル削除・暗号化を一斉に行った。しかし、ランサムウェア攻撃を想定したバックアップ環境が構築されていなかったため、一部システムの復旧に時間を要することになったという。 　その後、同社は異常の検知後、感染が疑われるネットワークやデータセンター・物流センター間の通信を切断。感染端末の隔離及びランサムウェア検体の抽出とEDRシグネチャの更新を実施した。また、全管理者アカウントを含む主要アカウントのパスワードをリセットし、主要なシステムにMFAを適用した。 ■ システムの復旧と安全性の確保について 　システムの復旧と安全性確保のため、同社はまず侵害の可能性のある機器の廃棄やOS再インストールなどを行い、汚染の可能性のない新規環境をゼロから構築した。これにより、脅威が残存している兆候は確認されていないとしている。 　セキュリティ強化のための取り組みも公開している。はじめに、短期フェーズとして、不正アクセス経路の遮断、EDR強化や残存脅威調査・対策、MFAの徹底をする。次の中期フェーズでは、24時間365日の監視体制への高度化、権限管理の見直し、従業員教育の強化を行う。最後の長期フェーズは、NISTフレームワーク（国際的なセキュリティ基準）に基づく継続的な対策の更新、ランサムウェアを踏まえたBCP（事業継続計画）の見直し・強化。 　攻撃者への対応方針としては、犯罪行為の助長防止の観点から、攻撃者とは接触せず、身代金の支払いや交渉は行っていない。また、警察や個人情報保護委員会へ早期に報告済みのほか、インシデント共有コミュニティ（JPCERT/CC）やサプライチェーン全体への情報共有を通じて、社会全体のサイバー攻撃による被害抑止に貢献する活動を継続するとしている。