国内製粉大手「ニップン」の被害が示す、様々なサイバー攻撃のダメージ

先日のフォーティネットの記事でも触れたように、サイバー攻撃を受けると、時には事業の円滑な継続に大きな支障が出るケースがあります。

大手企業に対するサイバー攻撃の中でも、今年大きなインパクトを与えたのが、ニップン(旧日本製粉)に対するサイバー攻撃です。

スポンサーリンク

ニップンに対するサイバー攻撃で何が起こった?

端的に言うと、業務に関するデータがバックアップも含め復元不可能になり、上場企業で必要な四半期決算の東京証券取引所への提出も延期になるという事態となりました。

ニップンの広報を見ると、

  • 大部分のサーバー及び一部の端末に対し、同時多発的に全部または一部を暗号化するといった内容のサイバー攻撃によるシステム障害が発生
  • 被害対象は単体の財務管理、販売管理といった主要な基幹システムサーバーやデータが保存されているファイルサーバーを含め広範囲
  • グループネットワーク内で運用している国内グループ会社の販売管理システム(11 社利用)と財務会計システム(26 社利用)もその対象
  • 全サーバーの停止と社内外のネットワークの遮断を行い、それにより、基幹システムをはじめとする全ての社内システム、データが保管されている共有ファイルサーバーへのアクセスも不可に
  • 生産管理システムの一部など、ネットワーク上独立した配置にあるサーバーについては影響を受けていない
  • 外部専門家に依頼し実施した調査によると、障害の対象となる情報システムのいずれにおいても、サーバーのボリュームもしくはサーバーの内部に格納された電子ファイルの大部分に暗号化が施されており、システムの起動そのものが不可能である
  • サーバーの早期の復旧に有効な技術的手段が現状確認されてない
  • システムのデータバックアップを管理するサーバーも一緒に暗号化されてしまった(バックアップ元データが暗号化され、その暗号化されたデータがバックアップされてしまった可能性。世代管理、物理的なバックアップデータの切り離しなどを行っていれば、もしかするとバックアップである程度のところまでは復旧できたかもしれない)
  • 「本件のようなこれほど広範囲に影響を及ぼす事案は例がなく、復旧、安全性の構築までには相応の時間と労力を要するとの報告も別途受けております。」という、異例の被害を示す表現

ニップンはサイバー攻撃に対する対策を構築していましたが、それでも被害に遭いました。

しかし、

  • システム障害に対しての BCP については、ハード面では災害対応でデータセンターを分散設置し、不測の事態に備えていた
  • 拠点単位でのシステム障害の発生も想定していたが、本件は一度の攻撃でサーバーの大半が同時攻撃を受けた
  • 本社を含め全ての事業拠点が同様の事態であったため、当社の BCP で想定していた事態を大きく上回る状況
  • 対策としては、下記の万全な対策をしていた
    情報システムのセキュリティ及びバックアップ体制としては、サイバー攻撃による防御策として、PC への不正侵入検知システムやウィルス対策ソフトの導入・適時の更新がされており、常に PC・サーバーが最新状態で保たれる仕組み
    ファイアーウォールについては外部のマネージドサービス会社に業務を委託し、専門的立場から助言や設定見直しが必要な場合は提案を受ける仕組み
    社外とのネットワーク接続においては、特権アカウントの使用制限や外部装置書き出しチェックなどのセキュリティ監視活動
    バックアップデータに関しては、オンラインバックアップを保管していたが、前述のとおりこれらバックアップについても本件障害の対象

以上の通り、対策をしていてもここまでなってしまうという事態は異例といえます。

IPA(情報処理推進機構)は、情報セキュリティ10大脅威 2021という文書で様々なサイバー攻撃に対する脅威を示していますが、おそらくニップンが該当するであろう事例も複数存在しています。

更に、セキュリティに関する問題を時系列で整理しているpiyokigyoさんのブログでは、

同社グループのネットワークへの侵入手口についても公表、報道はされていない。当初公表されていたマルウエア感染起因の可能性について、8月16日時点でマルウエア自体が確認されていない(マルウエア以外の原因で起きた可能性)とする記事がある

という記述もあり、この記事の元であるセキュリティNEXTのブログでは、

流出した可能性がある具体的な「企業情報」や「個人情報」の対象や影響の範囲については、本誌取材に対して詳細を調査中であるとし「回答は差し控える」として明らかにしていない。

データを暗号化されたことに関連し、脅迫の有無については、現在調査中として言及を避けた。

としています。

これだけ万全の対策をしていても、致命的な攻撃を受ける例というのは珍しいですが、原因の究明が待たれるところです。

また、日本経済新聞の記事では、別のセキュリティ会社の話として、

米IT(情報技術)技術大手カセヤへの攻撃ではソフトウエアの供給網に連なる約1500社の企業が影響を受け、過去最大の7000万ドル(約77億円)の「身代金」が要求

とあり、セキュリティ会社の脆弱性を突き、システムを乗っ取り、サービスを利用する事業者にランサムウェアを埋め込むという手法を取っており、サービス利用企業への影響は計り知れません。

9月現在になっても新しい情報は入ってきていませんが、また動きがありましたら必要に応じ情報を追記します。

 

タイトルとURLをコピーしました