#818 エネクラウドの Amazon S3 クラウドストレージに削除型ランサムウェア攻撃

今回は、エネクラウド株式会社が発表したランサムウェア攻撃に関するニュースを取り上げます。この攻撃は、同社が利用しているクラウドストレージに対して行われ、データが削除されるという深刻なものでした。今回の放送を通じて、リスナーの皆さんは、ランサムウェア攻撃の仕組みやその影響、そしてどのように対策を講じるべきかについて理解を深めることができるでしょう。

エネクラウド株式会社は、4月14日に同社のサーバーの一部でランサムウェア攻撃が発生したことを確認しました。この攻撃は、4月9日に海外の複数のIPアドレスから不正にアクセスされたことが原因で、特定のIAMユーザーのアクセスキーが悪用され、Amazon S3クラウドストレージ上の45件のバケットが削除されました。調査の結果、情報の不正流出は確認されていないものの、削除されたデータには取引先の企業情報や口座情報が含まれており、個人情報が外部に漏えいした可能性もあるため、引き続き調査が行われています。
エネクラウドは、攻撃を受けた後に不正アクセスに使用されたアカウントの削除やパスワードの変更、アクセスキーの無効化などの対策を実施しました。また、再発防止策としてログ記録と監視の強化、委託先の監視強化、アカウントの定期精査を行うことを決定しています。このようなインシデントは、企業にとって非常に深刻な影響を及ぼすため、適切な対策が求められます。

ランサムウェアとは、悪意のあるソフトウェアの一種で、感染したコンピュータのデータを暗号化したり、削除したりして、ユーザーに対して身代金を要求するものです。一般的には、データを暗号化するタイプが多いですが、今回のエネクラウドのケースのように、データを直接削除して復旧の対価を要求する「削除型ランサムウェア攻撃」も存在します。この攻撃は、データの復旧が非常に困難であるため、企業にとって大きなリスクとなります。

今回のエネクラウドのケースでは、特定のIAMユーザーのアクセスキーが不正に使用されたことが主な要因です。攻撃者は、海外の複数のIPアドレスからアクセスし、クラウドストレージに対して削除操作を行いました。このような攻撃が成功する背景には、セキュリティー対策が不十分であったり、アクセス管理が適切に行われていなかったりすることが挙げられます。特に、アクセスキーの管理が甘いと、攻撃者にとって格好の標的となります。

エネクラウドは、まず不正アクセスに使用されたアカウントを削除し、各種パスワードを変更しました。また、S3のアクセスキーを無効化し、特定の経路からのみアクセスできるように制限をかけました。さらに、関連サービスのパケットポリシーを強化し、未使用のIAMユーザーのポリシーを削除するなど、セキュリティー対策を徹底しています。これらの対策は、今後の不正アクセスを防ぐために非常に重要です。

インシデントが発生した際には、まず被害の範囲を確認し、影響を受けたシステムを隔離することが重要です。その後、専門のフォレンジックチームを招いて調査を行い、どのように攻撃が行われたのかを特定します。また、被害を受けたデータのバックアップがある場合は、復旧作業を行うことも必要です。さらに、関係者への情報共有や、必要に応じて法的手続きを行うことも考慮すべきです。

このインシデントから得られる教訓は、セキュリティー対策の重要性です。特に、アクセス管理やパスワードの強化、定期的なセキュリティー監査が不可欠です。また、従業員へのセキュリティー教育も重要で、フィッシング攻撃や不正アクセスのリスクについて理解を深めることが求められます。企業は、常に最新の脅威に対して備える必要があります。

再発防止のためには、まずログ記録と監視の強化が必要です。これにより、不正アクセスの兆候を早期に発見することができます。また、委託先の監視を強化し、外部からのアクセスに対する制限を設けることも重要です。さらに、各種アカウントの定期的な精査を行い、不要なアカウントを削除することで、リスクを低減することができます。これらの対策を講じることで、セキュリティー体制を強化し、再発を防ぐことが可能です。