10月19日にランサムウェア被害が発覚したアスクルだが、11月4日時点でまだ平常通りの業務に戻っておらず、アスクルに物流を委託していたショッピングサイトもサービス停止が続いている。
このアスクルRansomhouse事件は、よくあるケースとは状況が異なっており(気の毒ではあるが)興味深い。ランサムウェアの被害にあう企業は多くあるが、だいたい脇が甘いセキュリティーになっているか、コントロールされた範囲での被害となっている。昔ながらのランサムウェア対策が必須の部分も出来てないか、早々にシステムの復旧を行っている。
アスクルの場合、しっかりしたセキュリティー管理体制があるのにも関わらず、業務の基幹となる倉庫管理システム(WMS)が3週間止まってしまった。
同社のウェブページによると、同社はISO27001認証取得企業で、情報セキュリティマネジメントシステム管理体制があり、実際に以下の対策を行っている。
予防・検出・対応として、業務パソコンの操作状況、社内ネットワークの利用状況・各サーバーへのアクセス状況の24時間監視を継続しています。
さらに、業務パソコンからの業務と関係のないWebサイトの閲覧規制、機密情報の社外持出し抑止のため、外部記憶媒体への書出し制御、各情報システムへのアクセス権見直し等の取り組みを続けております。
巧妙化するサイバー攻撃に対し、侵害への対策、万が一セキュリティ侵害を受けた場合の検知・隔離、脅威・影響範囲の排除までを可視化・解析することに加え、意識向上のための教育に取り組んでいます。
多数の一般従業員がファイルを直接置くクライアントPCやファイルサーバーへの不正侵入にすら、十分過ぎる注意を払っている。さらに重要なWMSに、マルウェア対策の基本になる、世代管理された隔離された場所にある(エアギャップ)バックアップや不正侵入検知/防御システム(IDS/IPS)がなかったとしたらびっくりだ。
だが、そのびっくりがあるかのような状況になっている。3週間は時間がかかりすぎである。物流と製造では事情が異なる面もあるが、2017年6月18日のホンダ狭山工場のWannaCry感染では2日後に、2020年6月8日のホンダ国内外の9工場の事例でも3日後に、2022年2月26日の小島プレス工業の事例でも2日後に復旧だ。棚卸しなどで(一般従業員の利用者権限で)データが破壊されていないか整合性を確認し、破壊されている場合はシステムに侵入された日時以前のバックアップからリストアを行い、リストア時点から現状までの状態変更をデータベースに反映させる必要があり、流通は製造よりも倉庫管理の作業が大きくなるであろうから、数日で復旧するのは困難だと思われるが。
何が起きているのであろうか。リストア計画が不十分で、もしくは取引先と品目の量が膨大過ぎて、棚卸し作業が難航している。侵入経路や侵入日時がはっきりしないので安全のためにシステム再稼働ができない。セキュリティーホールは特定したが、アプライアンス機器のゼロデイ攻撃でアップデートなどがなく、それを埋める有効な手段がない。色々な可能性が考えられるわけだが、現在までに報じられている状況からもっともありそうなのは、びっくりである。
0 コメント:
コメントを投稿