アーカイブ記録-システム障害報告書

2019年12月4日 CEO 0 Comments

障害発生日時:平成31年(2019年)1月7日21時33分頃

障害状況:ランサムウェア(horse4444)により、ネットサーバー内のファイルすべて、及びデータベースサーバの共有フォルダ内のすべてのデータにアクセスできないため、ネットサーバーの閲覧不可となった。

障害の原因:感染経路に関しては不明だが、ウィルスメール又はパスワードクラッカーなどにより、ネットサーバがウィルスに感染し、共有フォルダにも感染してしまったと考えられる。

今回の対応:ネットサーバは別途用意した仮のサーバに環境を再構築し、同日の取引に大きな支障はなかった。感染してしまったネットサーバに関しては後日、再インストール作業を行う。

共有フォルダに関しては、これ以上拡散する様子は見られないが、アクセスすることは不可なので、必要に応じてファイルは削除する。

データに関してはデータベースサーバ内にあったものの、共有フォルダとは別に管理していたため、被害が及ばず通常業務に支障は出なかった。

今後の対策:ネットサーバのログインパスワードをより複雑にし、感染させないことに加え、感染時の復旧に備え販売データのみならず、重要なファイルに対してはすべてのバックアップが取れるよう、対策を行うこととする。

~ 追記 1月26日 ~

県警サイバー犯罪課の調査により以下の事が、確認・判明した。

公的な機関の調査を行うことで、第三者の立場から客観的に判断する材料となった。

侵入方法:リモートデスクトップから。パスワードを破られ、ログインされた。

原因:侵入経路は確定できない(やらない)ため不明。

対策:

直近の対策としては、ログインパスワードの強化。

不要であれば、リモートデスクトップを許可しない。

【再記載】感染時の復旧に備えデータのみならず、重要なファイルに対してはすべてのバックアップが取れるよう、対策を行うこととする。

今後としてはオンプレミスで使い続けていくかどうかも、検討の視野に入れる。

(費用面・セキュリティ面を総合的に判断して、レンタルサーバへ移行する。)

その他:

・侵入経路に関しては不明。解析するには専門のセキュリティ会社に頼むしかない。(莫大な費用がかかる)Web?ルーター?メール?

・リモートデスクトップのログイン履歴からログイン元のIPアドレスが判明した。(後の調査により韓国のサーバから)ウィルスソフトをダウンロードさせられ、感染。

・警察としては国外からの侵入ということにより、これ以上捜査はできない。

・今回を教訓にこれまで以上にメール、サイトなどセキュリティに関しては十分な知識と対策を講じることとする。

・犯人の目的が金銭目当てだったことにより、データを必要以上にメチャメチャにされてはいなかった。(あまりにメチャメチャにしすぎると、そもそも脅迫文自体が読めなくなる可能性があったから。サーバーのログも残っていた。)

・比較的軽微な被害で済んだことは幸いだったと考える。これがデータの破損や改ざん、顧客データの流出、またサーバの乗っ取りにより他企業への攻撃(踏み台攻撃)など重大なインシデントになりかねなかった。十分なバックアップも無い中、当日中に通常業務に関しては復旧できたことは運がよかったとしか思えない。

・新種のウィルスということで、復号ツールも今の所、ない。中国国内で感染事例が多く出ているようだ。