NUTSの異常は7月4日午前6時30分ごろにシステムが停止したことから発覚した。その後、同日午前7時30分にはNUTS専用プリンタからランサムウェアによる脅迫文書が印刷され、午前8時15分にサーバを再起動できないことが判明。これを受けて、午前9時に愛知県警サイバー攻撃対策課に通報して同課よりランサムウェアに感染した可能性があるとの見解を得た。
その後同日午前10時30分よりNUTSのシステム復旧に向けた作業が始まるが、午後2時には物理サーバ基盤および全仮想サーバが暗号化されていることが判明。この状況を受けてランサムウェア感染の可能性が高まったことから午後6時から愛知県警と今後の対応に向けた協議を開始している。
それから8時間が過ぎた7月5日午前2時ごろまでに物理サーバ基盤全8台が復旧、午後0時には仮想サーバの復旧も完了した。それから開始したウイルスチェックにより、7月6日午前2時にトロイの木馬タイプ120個、マルウェア4個、その他8個を検出。即座にウイルス駆除作業を開始して5時間後の午前7時に駆除完了。
バックアップデータからの復旧を試みたところ、各モジュール単体での復旧はできたもののモジュール連携に障害が発生。それらの障害が解消できたのが7月6日午後2時15分、データと実在庫情報の整合性を確認が取れたターミナルから順次コンテナ業務を再開して、名古屋港全ターミナルで作業が再開したのは6日午後6時15分。7月4日午前6時30分の障害発生から作業再開までに2日間と12時間弱を要した。
感染経路として現時点で考えられているのは、「指定ユーザーのみ利用可能なVPN機器」「持ち込まれたUSBメモリ」「NUTSと港運事業者のネットワーク連携で使用しているNAT変換(ネットワークアドレス変換)を介したNUTSへの接続」が挙がっている。
アクセスログファイルが暗号化されてしまったため断定はできないとしながらも、8台ある物理サーバ全てが暗号化されてしまったことから、アプリケーション経由ではなく物理サーバに対して直接攻撃をかけた可能性が高く、VPNから侵入されたと考えるのが適切だと中間とりまとめでは指摘している。
NUTSの保守用VPNでは、IDとパスワードは設定していたものの、緊急時に即時対応できるためという理由でIPアドレスの制限をかけていなかったという。加えて、使用していたVPN機器と物理サーバに関する脆弱性が数カ月前から発表されていたにもかかわらず、対応がなされていなかったことも中間とりまとめでは明らかにしている。
また、この他にも「問題点の抽出と改善点の項目」において、VPN機器側でアクセスログを取得していなかったことや、サーバのウイルス対策がOS付属のセキュリティ対策ソフトのみでNUTSに求められるセキュリティレベルとしては不十分であったこと、容量コストの兼ね合いでバックアップ取得対象と保存期間が不十分であったことなどが挙げられた。
さらに、BCP(=事業継続計画)が事前に用意されておらず、サイバーセキュリティ専門家に意見を聞くフローが指示されていなかったなど障害対応体制が不十分であったこと、そして、運用再開時における情報セキュリティ対策状況の確認ができていなかったなどの問題点が指摘されている。
Copyright © ITmedia, Inc. All Rights Reserved.