エネクラウドの Amazon S3 クラウドストレージに削除型ランサムウェア攻撃

　エネクラウド株式会社は5月16日、4月18日に公表した同社へのランサムウェア攻撃について、続報を発表した。

　同社では4月14日午前8時50分頃に、同社の利用しているサーバの一部へのランサムウェア被害が判明しており、外部のフォレンジック調査会社に依頼して、流出した個人情報の有無やその内容を含む影響範囲、発生原因等について調査を行っていた。

　調査結果によると、4月9日未明に海外の複数のIPアドレスから同社が利用しているAmazon S3クラウドストレージにて特定のIAMユーザーのアクセスキーが不正に使用され、当該クラウドストレージ上のバケットに対するアクセス・削除操作が行われ45件のS3バケットが削除されたことが判明している。当該IAMユーザーのアクセスキーが不正に使用された流出経路は特定できなかった。

　現時点で情報の不正流出や外部へのダウンロードの痕跡は確認されておらず、暗号化ではなくデータを直接削除し復旧の対価を要求する「削除型ランサムウェア攻撃」であると分析している。

　削除されたファイル内の情報については、バックアップデータを含めて削除されたため正確な把握ができない状況であるが、現時点で下記の情報が含まれていたことを確認している。

・取引先の企業情報（企業名、代表者名、住所、電話番号、担当者名、役職、メールアドレス）
・取引先の施設情報（施設名、分電盤名、設備名）
・取引先の口座情報（銀行名、支店名、預金種別、口座番号、名義人）
・取引先の見積情報（電力会社名、単価、プラン名、使用量、契約電力）
・取引先の電気料金明細情報（電力会社名、単価、プラン名、使用量、契約電力）

　また現時点で、個人情報が外部に漏えいした事実は確認されていないが、個人情報（取引先の担当者氏名・役職・電話番号・メールアドレス）が含まれるファイルが削除されており、外部に漏えいした可能性があるため、今後も引き続き調査を行う予定。

　同社では既に下記の対策を実施している。

・不正アクセスに使用されたアカウントの削除
・各種パスワードの変更
・S3のアクセスキーの無効化（特定の経路でないとアクセスできないよう制限）
・関連サービスのパケットポリシーの強化（登録されたIPアドレスからのみアクセスを許可）
・未使用IAMユーザーのポリシー削除およびコンソールアクセスの停止

　同社ではさらに、下記の再発防止策を講じることで、クラウド環境におけるセキュリティ体制の抜本的な強化に取り組むとのこと。

・ログ記録と監視の強化
・委託先の監視強化
・各種アカウントの定期精査

元の記事を読む