#1010 カンバスにランサムウェア攻撃、フレームワークの脆弱性を利用して侵入された可能性が高いと推測

今回取り上げるのは、あるチケット販売サービスなどを手掛ける企業が経験した、ランサムウェア攻撃に関する事後調査のニュースです。この事例は、単に攻撃を受けたという事実だけでなく、システムで使用していたフレームワークの脆弱性が狙われた点や、日々の運用におけるサーバー再構築が被害拡大を防いだ可能性など、技術的な見どころが非常に多い内容となっています。また、データの外部流出をどのように判断したのかというプロセスも、企業のセキュリティ担当者にとっては非常に参考になるはずです。インシデント発生時の調査手順や、バックアップ運用の重要性について、一緒に学んでいきましょう。

今回のニュースは、チケット販売などのサービスを提供している企業におけるランサムウェア被害の事後報告に関するものです。発表によりますと、攻撃が発生したのは1月6日の未明で、認証サーバーが影響を受け、一時的にマイページへのアクセスができなくなりました。その後の調査で、システム構築に使用されていたフレームワークという基盤ソフトウェアの脆弱性を突かれて侵入された可能性が高いことが判明しました。幸いなことに、システム本体への影響はなく、別の場所に保管していたバックアップデータを使って環境を再構築し、復旧を果たしています。また、データの外部流出については、ネットワークの通信量を分析した結果、大量のデータが持ち出された形跡がないことから、その可能性は極めて低いと結論付けています。

フレームワークというのは、システムやアプリケーションを開発するための「土台」や「骨組み」となるソフトウェアのことです。家を建てる時に、一から柱を切って組み立てるのではなく、ある程度出来上がった骨組みを使うことで効率よく建築できるようにするイメージですね。これを使うことで開発スピードは上がりますが、この土台そのものにセキュリティ上の欠陥、つまり脆弱性が見つかることがあります。今回はその脆弱性が修正されていない状態を攻撃者に狙われ、そこを入り口として侵入を許してしまった可能性が高いようです。

これは非常に論理的な調査手法です。もし攻撃者がデータベースの中にある大量の個人情報を外部に盗み出そうとすれば、そのデータをインターネット経由で送信しなければなりません。そうすると、普段とは比べ物にならないほど大きな通信データ量、つまりネットワークトラフィックが発生することになります。今回の調査では、被害が発生した時刻周辺はもちろん、攻撃者が潜伏していた可能性も考慮して過去1週間の通信記録も確認しましたが、そのような異常な通信量は確認されませんでした。そのため、データがごっそり抜かれた可能性は低いと判断できるのです。

これはセキュリティ対策として非常に優れた、先進的な運用だと言えます。サーバーを一度作ったら使い続けるのではなく、毎日決まった時間に一度壊して、また新しいクリーンな状態に作り直すという運用です。これにより、仮にマルウェアが侵入したとしても、翌朝の再構築のタイミングで消滅してしまうため、長期間潜伏して悪さをし続けることが極めて難しくなります。今回、攻撃者の潜伏期間がなかったと判断された大きな理由の一つも、この運用によってシステムが常にリセットされていたからだと考えられます。

その通りです。ランサムウェア攻撃の多くは、システムだけでなく、復旧用のバックアップデータまで暗号化してしまい、企業を完全に身動きが取れない状態に追い込もうとします。しかし今回のケースでは、攻撃を受けたサーバーとは切り離された、外部から直接アクセスできない領域にバックアップファイルを保管していました。この「分離保管」が功を奏して、きれいな状態のデータが残っていたため、それを使って新しい環境でシステムを再構築することができたのです。これはBCP、事業継続計画の観点からも非常に重要なポイントです。

最大の教訓は「バックアップの分離」と「ログの監視」の重要性です。どんなに防御を固めても侵入されるリスクはゼロにはできませんが、万が一被害に遭った時に、隔離されたバックアップがあれば復旧できますし、通信ログが残っていれば被害範囲を客観的に説明することができます。また、今回の企業は「100％流出していないとは断定できない」として、念のため個人情報保護委員会へ報告を行っています。このようにリスクを隠さず、正直に情報を公開して顧客に謝辞を述べる姿勢も、信頼回復のためには非常に大切なことだと言えるでしょう。