エフワンにランサムウェア攻撃、約 17 万件の個人情報が流出

　エフワン株式会社は4月8日、2月4日に公表した同社へのランサムウェア攻撃について、最終報を発表した。

　同社では1月30日午前8時半頃に、出社した社員からメールやイントラが閲覧できないとの申告があり、担当者が確認したところ、サーバのファイルが同日0時頃に暗号化され、脅迫文ファイルが配置されていたため、ランサムウェアを用いたサイバー攻撃であると判断し、外部の調査専門会社協力の下で調査を行っていた。

　同社で外部調査機関にデジタルフォレンジック調査を依頼した結果、ランサムウェアは「Black Shrantac」と呼ばれるものと推定され、1月29日午後11時50分頃から翌30日午前1時頃の間にサーバ内のファイルが暗号化され、拡張子が[.shrt]に変更され、脅迫文が残されていたことが判明している。

　また、1月26日及び28日の深夜に、外部からVPN経由で不正なリモートデスクトップ接続が行われていたことを確認しており、侵入された機器は主に通信トラブル等が発生した際にバックアップのために準備された回線と接続するもので、該当機器のセキュリティーホールをつき侵入されたと推測されるとのこと。

　同社では、外部へのデータ送信等は今回の調査範囲で確認されなかったが、暗号化実行時にログが大量に発生し上書きが行われていること、一部ログそのものが暗号化されたこと、一部機器の再起動等が実行されたことでメモリ上の情報が消失したこと等で漏えいを否定することができず、3月6日に海外のサイバー脅威インテリジェンスの提供や、ダークウェブに流出していないかを監視するサイバーセキュリティ企業等がエフワンの事案を公開している事実を踏まえ、漏えいがあったと判断している。

　漏えいしたのは、氏名、生年月日、性別、住所、電話番号（携帯番号含む）、勤務先名、部署、役職、勤務先住所、勤務先電話番号、メールアドレスを含む約17万件の個人情報。

　同社では対象の顧客に、個別に郵送で報告を行っている。

　同社では、情報セキュリティに関して下記の見直しを実施するとのこと。

・機器の一新
今回の事案で現存機器にウイルス等が残存している可能性を払拭するため、新しい機器に入れ替え。

・リモートアクセスの管理強化
認証設定に用いる方法に二段階認証等を用いる方法に変更。

・認証情報・アカウントの一新
新たなアカウントの作成、パスワード強度を上げる等、適切に運用。

・ログ・監査の強化
今回の被害を受け、ログ・監査情報の保存方法、保有期間、容量を見直し。

・OS・ファームウェア、ウイルス対策ソフト等の管理の徹底
全ての機器の情報を定期的に検査し、最新の更新が行われるかを改めて管理。

・その他
セキュリティ教育の実施。インシデント発生時の組織的な対応方法の確立。

元の記事を読む