(タイトル画像はTECH INSIDERより)
皆さんこんにちは。
プライバシーザムライ中康二です。
ランサムウェア攻撃を受けたアサヒグループホールディングス株式会社(以下、アサヒGHと表記)が、11月27日に今回の被害に関する記者会見を開催しました。
記者会見の全ての動画が公開されておりますので、そこでの気になる情報をピックアップしたいと思います。
目次
- 1 今回のランサムウェア被害の概要
- 2 侵入されたのは10日前
- 3 身代金は払っていない
- 4 攻撃手法や脆弱性の詳細については語らない
- 5 NISTサイバーセキュリティフレームワークに基づいた対策は取っていた
- 6 サーバーからの情報漏えいは確認できていない
- 7 バックアップデータは残っていた
- 8 侵入経路はVPN機器らしい。今回を機にVPNを全廃した
- 9 今後はゼロトラストセキュリティに移行する
- 10 EDRは導入していたが、侵入を検知できなかった
- 11 工場の生産システムには影響はなかった
- 12 社長の進退については取締役会→指名委員会に委ねる
- 13 セキュリティベンダー名は公表できない
- 14 完全復旧は2月から3月
- 15 記者会見の全編動画
- 16 週に一回程度、更新情報をお届けします。
今回のランサムウェア被害の概要
今回のランサムウェア被害は、9月29日午前7時頃、当社システムにおいて障害が発生し、調査をする中で、暗号化されたファイルがあることを確認した。同日11時頃、被害を最小限に留めるためにネットワークを遮断し、データセンターの隔離措置を講じた。
調査の結果、攻撃者は当社グループ内の拠点にあるネットワーク機器からデータセンターのネットワークに侵入し、ランサムウェアが一斉に実行され、ネットワークに接続する範囲で起動中の複数のサーバーや一部のパソコン端末のデータが暗号化されたことが判明した。
また、調査の結果、従業員に貸与している一部のパソコンからもデータが流出していたことが判明した。データセンターのサーバー内の個人情報については、流出の可能性があるが、インターネット上に公開された事実は確認されていない。
今回の事案を個人情報漏えい事件として取り扱い、11月26日に個人情報保護委員会に確報として報告し、本人通知するとともにコールセンターも開設する。なお、今回の攻撃の影響は、日本で管理しているシステムに限られる。
今回、情報漏えいが発生したまたはその恐れがある個人情報
●グループ各社のお客様相談室に問い合わせした人の氏名、性別、住所、電話番号、メールアドレス 152.5万件
●祝電や弔電などの慶弔対応を実施した社外の関係者の氏名、住所、電話番号 11.4万件
●従業員(退職者を含む)の氏名、生年月日、性別、住所、電話番号、メールアドレスなど 10.7万件
●従業員(退職者を含む)の家族の氏名、生年月日、性別 16.8万件
※クレジットカード情報は含まれていない。
9月29日以降、約2カ月にわたりランサムウエア攻撃の封じ込め対応、システムの復元作業および再発防止を目的としたセキュリティー強化を実施してきた。外部専門機関によるフォレンジック調査や健全性検査および追加のセキュリティー対策を経て、安全性が確認されたシステムおよび端末から段階的に復旧していく。今後も継続した監視と改善および追加のセキュリティー対策の強化を行い、再発防止と安全な運用維持に努める。
再発防止策としては、
①通信経路やネットワーク制御を再設計し、接続制限をさらに厳しくする。
②メール・ウェブアプリなどを含むインターネットを経由した外部との接続は安全な領域に限定し、システム全体の堅牢性を高める。
③セキュリティー監視の仕組みを見直し、攻撃検知の精度を向上させる。
④万が一の際にも迅速に復旧できるよう、バックアップ戦略や事業継続計画についても再設計し、実装する。
⑤セキュリティー水準を継続的に見直し、より実効性のある社員教育や外部監査を定期的に実施することで、組織全体のセキュリティーガバナンスを強化する。
侵入されたのは10日前
具体的な日時までは特定できていないが、10日ほど前に同社のグループの拠点にあるネットワーク機器に侵入されており、そこからデータセンターに侵入されて、サーバー内にも侵入された。
身代金は払っていない
勝木社長は、「ランサムウェアに関する身代金については、支払っていない。これは攻撃者と我々は接触していないからである」と身代金の支払いを明確に否定しました。また、「要求があったとしても支払っていなかったと思う」「反社会的勢力とも言えるような方々にお金を支払うことはすべきではないと考えた」と述べました。
攻撃手法や脆弱性の詳細については語らない
今回の攻撃手法や同社の抱えていた脆弱性などの詳細については、回答しない方針で一貫していました。ただし、その見つかった脆弱性の改善は完了しているとのこと。
NISTサイバーセキュリティフレームワークに基づいた対策は取っていた
同社としては、従来からNISTサイバーセキュリティフレームワークに基づいた対策を行ってきており、システムの診断を受けてきていた。一定レベル以上のアセスメントができていた。外部のホワイトハッカー的な専門家による模擬攻撃も実施していた。
また、同社としてはエンタープライズリスクマネジメントと言う仕組みを導入しており、その中にサイバーリスクを取り上げており、一定の対策をしてきたと説明しました。
サーバーからの情報漏えいは確認できていない
情報漏えいしたパソコンは37台。サーバーの台数は非公表。本来、パソコンにデータ保管は許可しておらず、全てのデータをサーバー上に保管することになっていたが、一時保管のファイルが漏えいした。
バックアップデータは残っていた
バックアップについては残っていたことが早期に判明したとのことです。ただし、データが残っていたとはいっても、不正アクセスが行われたシステムをそのまま使用する訳にもいかず、復旧まで何ヶ月も擁しているとのことです。
侵入経路はVPN機器らしい。今回を機にVPNを全廃した
今回の侵入経路についても、非公表であるが、VPN機器なのかという質問に関して明確な否定はなかった。
またVPN機器に存在していた脆弱性はゼロデイではなく、既知の脆弱性とのこと。
VPN機器のメーカー名は非公表。今回の取り組みでVPNは廃止したとのこと。
今後はゼロトラストセキュリティに移行する
これまでもゼロトラストセキュリティへの移行中であったが、今回を機に完了した。
EDRは導入していたが、侵入を検知できなかった
同社はEDRを導入していたが、今回の攻撃手法は高度であったため、それをすり抜けてしまった。今後はさらにEDRをさらに高度なものに変更していきたい。
工場の生産システムには影響はなかった
社長の進退については取締役会→指名委員会に委ねる
社長の進退については、取締役会が諮問し、指名委員会が審議して決めるので、そこに委ねるものの、社長個人として今回の困難を乗り切りたいとの意向を表明した。
セキュリティベンダー名は公表できない
セキュリティ対策に協力した専門会社の名前は秘密保持契約に基づき開示できないとのこと。
完全復旧は2月から3月
完全復旧は2月から3月であり、その時には売上の減少を挽回するべく、大規模な販促活動を行う予定である。
記者会見の全編動画
https://www.youtube.com/live/BG4Vh-H1k4I
サイバー攻撃による情報漏えいに関する調査結果と今後の対応について
https://www.asahigroup-holdings.com/newsroom/detail/20251127-0104.html
【お知らせ】個人情報に関するお問合せ専用窓口の設置について
https://www.asahigroup-holdings.com/newsroom/detail/20251127-0103.html
この内容が皆さんにとって何かの参考になればと思います。
また、何か情報が入りましたら、皆様にシェアいたしますね。
プライバシーザムライ
中 康二
