フィーチャへのランサムウェア攻撃、ファイル転送ツールを用いて攻撃者管理の OneDrive に送信

　フィーチャ株式会社は5月13日、2月12日に公表した同社サーバのランサムウェア被害について、最終報を発表した。

　同社では2月9日に、同社のサーバ内の一部ファイルが暗号化されるランサムウェア被害が判明しており、外部専門家の支援を受けながら、個人情報や顧客データなどの外部流出を含めた影響範囲の調査と復旧作業、原因究明と再発防止策の検討を開始していた。

　調査結果によると、不正アクセスが確認されたサーバ等は合計32台で、そのうち13台はランサムウェアに感染していた。また、攻撃者が、同社の1台のサーバ上に集約したファイルを、ファイル転送ツールを用いて攻撃者管理のクラウドストレージ（OneDrive）へ送信したこと、同社のGitHubサーバから144個のGitHubリポジトリを外部にコピーしたことを確認している。外部送信されたファイルについては、集約されたファイルの痕跡が残存しておらず、個別ファイルの特定には至っていない。

　窃取された可能性のある情報の一部について、複数の一般サービスサイト上での掲載が確認されている。なお、同社データに関連する情報および外部ストレージへのリンクが、一般のウェブブラウザからも閲覧可能なフォーラム上に掲載されている。

　同社が把握していたものとは異なる外部ストレージへのリンクが、第三者に公開されていたことを確認しているが、当該ファイルはパスワードで保護されており、現時点で内容の確認や第三者による実質的な取得事実は確認されていない。

　本件における最初の痕跡は2025年7月9日に、 ファイアウォールを介した同社サーバへの不正アクセスであることを確認しているが、当該不正アクセスの具体的な原因・手法については、関連ログがランサムウェアで暗号化されていたこと等から特定に至っていない。

　同社では、攻撃者によるログの消去・ランサムウェアによるログの暗号化等の制約で、窃取されたファイルの全容を断定することは困難であると判断している。

　同社では現在、通常業務を再開しており、外部公開状況の確認とダークウェブ監視を含む継続的なモニタリングを実施している。

　同社では、侵入防止・社内拡散防止・権限管理・端末対策・監視体制の各段階で下記の多層的な対策を実装・強化しているとのこと。

・外部接続基盤の刷新、多要素認証の導入、不審ログイン監視
・ネットワーク分離等による社内拡散防止
・管理者権限分離等のアカウント管理強化（継続的な見直しを含みます）
・EDR（Endpoint Detection and Response）等の端末セキュリティ対策の導入
・外部SOC（Security Operation Center）を含む監視体制の強化

元の記事を読む