オーストラリア拠点のセキュリティホールから侵入 ～ ユニデンホールディングスへのランサムウェア攻撃

　ユニデンホールディングス株式会社は7月17日、同社へのランサムウェア攻撃について発表した。

　これは2024年8月29日に、同社サーバのランサムウェア感染を感知し、当該サーバ内に保管されていたデータの暗号化を確認したというもので、同日中に関連するサーバをネットワークから切り離す等の緊急措置を講じ、2024年8月30日には外部専門家の協力のもと被害の原因及び影響範囲等の調査を開始している。

　2024年9月13日に完了した調査の結果、2024年6月17日に同社のオーストラリア拠点における同社コンピュータに存在したセキュリティホールに外部から侵入され、オーストラリア拠点における同社のネットワーク（日本拠点における同社のネットワークとVPNで相互に接続）にVPNアカウントの侵害を受け、2024年8月28日から29日にかけてランサムウェアが同社のオーストラリア拠点と日本拠点間のVPNを経由して日本拠点へ伝播し、当該両拠点でドメイン管理者アカウントによってランサムウェアが実行され、同社のIT環境内のバックアップシステムを含むサーバの大部分及びコンピュータの一部が暗号化されたことが判明している。

　調査結果によると、暗号化されたデータには同社が顧客と取引先から預かった個人情報と同社の一部従業員の個人情報が含まれており、その詳細は下記の通り。

・製品の交換・修理などを希望した顧客の氏名、住所、電話番号、ファックス番号
・取引先の担当者の氏名、所属会社の電話番号及びメールアドレス
・在職中及び退職済の一部従業員の氏名、生年月日、性別、住所、電話番号、メールアドレス：約4,000件

　同社では対象者に、郵便・メール等で個別に連絡を行う。

　同社によると、当該情報は同社が従来より運用しているNotesシステムで複雑かつ多層的な暗号化処理が施された状態で保管されており、専門家の見解でも第三者による解読や閲覧は困難であるとのこと。

　また現在までの調査で、当該情報が外部に流出したことを示す事実、攻撃者による情報の公開、第三者からの金銭的要求や脅迫行為は確認されておらず、同社ではこれらの状況を総合的に勘案し、現時点で情報が外部流出した可能性は低く、漏えいによる二次的な被害のおそれも限定的であると判断している。

　同社では現時点までに、下記の再発防止策を実施している。

・各種パスワードの変更及びVPN等に対する二要素認証パスワードの設定
・各セグメントにおけるアクセス制限ポリシーの見直し及び設定
・保守切れのファイヤーウォールの切り離し
・振る舞い検知プログラムの入れ替え（当該プログラムを利用できないコンピュータはネットワーク接続不可へと変更）
・サーバからのin/outのアクセスの制御等
・アカウントへの特権付与プロセスの明確化及び非特権アカウントに付与した特権の削除
・エンドポイント端末のセキュリティ・組織によるコントロールの強化
・パスワード複雑さ要件の変更
・ログ記録ポリシー及びバックアップの増強

　同社では今後、再発防止に向けた取り組みを一層強化するとともに、監視体制の強化や社内教育の徹底など、情報セキュリティ体制全体の強化に努めるとのこと。

元の記事を読む