感染サーバからの情報取得が困難 連携する 2 つのサーバを分析 ~ ローツェの台湾連結子会社へのランサムウェア攻撃
画像(3枚)
 東証プライム上場企業のローツェ株式会社は5月20日、4月11日に公表した同社の台湾における連結子会社 RORZE TECHNOLOGY, INC でのランサムウェア被害について、続報を発表した。

 RORZE TECHNOLOGY, INCでは3月24日に業務サーバに不正アクセスがあり、当該サーバに保存している各種ファイルが暗号化されたことを確認しており、外部専門家の支援を受けながら影響範囲、個人情報及び顧客情報の流出の有無について調査を行っていた。


 同社によると、攻撃者はインターネット回線からRTの仮想化プライベートネットワーク(VPN)に侵入し、仮想化基盤ソフトウェアを装備したサーバに不正アクセスを行い、ランサムウェアを実行し、当該サーバを感染させている。

 暗号化されたランサムウェア感染サーバからの情報取得が困難なため、主に連携する2つのサーバ(ADホストおよびVEEAMホスト)を対象として分析する調査を実施したが、具体的なファイルへのアクセス状況等の解析ができず、情報流出の有無およびその対象についての特定が困難であったとのこと。

 また、当該サーバはRTの基幹業務システムと連携しており、システム内には顧客情報および個人情報を含むファイルが存在していたが、情報流出の有無は把握不可能であった。ただし、調査では、パッケージ化データや大量データが外部に送信された形跡は発見されていない。

 RORZE TECHNOLOGY, INCではランサムウェア感染後に、関連サーバを社内ネットワークから切り離し、ハッキングされたアカウントの無効化等を行っており、影響を受けるドメインの再構築完了後に異常が発生していないことを確認している。バックアップサーバから社内システムを復旧しており、通常業務への重大な影響は生じていない。

 RORZE TECHNOLOGY, INCでは対応策として、VPNにおける多段階認証の導入、サーバへのアクセス権限の見直し、ファイアウォール設定の改善等ネットワークアクセス制御について、抜本的な見直しを行うとのこと。

元の記事を読む

編集部おすすめ