【ランサムウェア】名古屋港システムを乗っ取ったランサムウェアの顛末

2023年7月4日から名古屋港の港湾作業を統括して管理するシステムがランサムウェアに乗っ取られ、業務が2日半停止した。
詳細な顛末が公表されているので、他山の石とすべく確認していく。
IT業界に関するニュースのまとめはこちら。

IrvineのもっとPC自作日記

2019.01.02

IT業界ニュース

https://irvinejp.net/pcdiy/news_summary/it_news_summary/

IT業界に関するニュースを聞いて、思ったことを書いている。

名古屋港湾協会の発表

2023年7月4日から始まった名古屋港のシステム障害は重大な問題だった。名古屋港はトヨタを控えており、加工貿易が衰退した日本でもいまだ輸出量が多い港である。また港には発電所、石油精製、鉄鋼など原料を海外に頼る工場が多く、システムが止まればこれらの輸入も止まり、長期化すれば発電の停止など社会全体に影響があった。(もちろん備蓄はあるだろうが)
2日半で復旧できたのは幸いであった。

ランサムウェア　名古屋港統一ターミナルシステム　障害　出典：名古屋港海運協会

以下発表されている内容からポイントを見ていく

発見時

【7 月 4 日（火）】
06:30 頃 NUTS システムの作動が停止したことを確認する。
07:15 頃 状況確認後、システム保守会社及びシステム開発会社へ復旧作業を依頼する。

何らかの監視システムにより、システムが停止したことを検出したのだろう。検出後の状況確認を経て、保守会社へ対応を依頼した様だ。
しかしこれが通常の障害ではないことが15分後にわかる。

07:30 頃 システム専用のプリンターからランサムウェアの脅迫文書が印刷される。
08:15 頃 サーバーが再起動できないことが判明する。

プリンタから脅迫文が出てくるなんてSFの世界の出来事だった。でもこれが現実だ。
そしてサーバ再起動ができないことが判明し、現場はおそらくパニックになったのだろう。

ご存じのようにランサムウェアはシステムやデータを暗号化し、身代金を払わなければデータを消してしまうというたぐいの犯罪だ。
このため、一番簡単な復旧方法は暗号化前のバックアップに戻す、なのだが、ウィルスがいつ侵入したかがわからないとウィルス込みで復旧してしまう。復旧後に迅速に駆除するか、ウィルスがない(かなり古い)バックアップに戻すことになる。
前者はそういうウィルス対策ソフトで駆除する。後者はバックアップを保持しているか、また古いデータに戻ってしまうと最新状況との差が大きいのでそれを許容できるかという問題がある。通常後者は問題が多々あるので前者で進めるしかないだろう。

警察への届け出

ここからの動きが鈍い。

09:00 頃 愛知県警察本部サイバー攻撃対策隊（以下「愛知県警」という。）に通報。状況確認後、
ランサムウェアに感染した可能性があるとの見解が示される。
14:00 頃 物理サーバー基盤及び全仮想サーバーが暗号化されていることが判明する。
18:00 頃 ランサムウェアに感染の可能性が高まったことから、愛知県警と今後の対応について協議
を行った。

判明から3時間後に警察に届けているにもかかわらず、復旧作業は全く進まない。暗号化されていると判明したのは8時間後だ。
どこに相談すればよいかわからない、どうしたらよいかもわからない。おろおろ。そういう光景が想像できる。

ここから徹夜での復旧作業が始まったようだ。

復旧作業中の落胆

【7 月 5 日（水）】
21:00 頃 バックアップデータからウイルスが検知され、ウイルス駆除を開始することとなり、シス
テム復旧が翌日になることが確実となった。

あ、やっぱり。

完全復旧

バックアップデータ中のウィルスを何とか徹夜で駆除した様だ。

【7 月 6 日（木）】
07:15 頃 バックアップデータの復元が完了。しかし、システムのネットワーク上に障害が発生する。
14:15 頃 ネットワーク障害が解消し、バックアップデータとヤード在庫の整合性を確認。
準備が整ったターミナルより順次作業を再開することとした。

データが準備できても今度はネットワーク上に障害に発生し、半日遅れたようだ。
データを復旧してもその作業を優先するあまり、他の箇所がどうなっているかわからない。安易にシステム復旧をアナウンスしてもすぐダウンするようでは影響が大きくなる。
慎重に慎重を重ねて問題ないことを確認して再開する必要がある。

原因

本件についてリモート接続機器の脆弱性が確認されており、そこから不正なアクセスを受けたと考えられます。なお、詳細については現在調査中です。
また、データセンター内にある NUTS の全サーバーが暗号化されたことを確認しております。

ネットワーク機器も最近はLinuxで作られている場合が多く、ファームウェアの更新という形で脆弱性の対応がされている間はいい。問題はその後、サポート期限が切れた後だ。

放置された脆弱性によりこの手の犯罪は引き起こされる。安いから、予算がないからと放置するのは重要なシステム、データを持つ事業では推奨できない。長期保守対応があるベンダの製品に変えるあるいは定期的に脆弱性の有無を調査して危険と判断したら機器を入れ替える。つまり安い機器なら使い捨てで使っていくという方法もある。

どの方針で行くかはコンサルをしてくれるSIerに相談するのがいいだろう。相談できないようなベンダなら別のベンダに変えたほうが良い。

なお、情報流出はなかったそうだ。

得られた教訓

• 古い機器にも脆弱性の対応が必要
• 脆弱性対応ができない、サポート切れの機器であれば交換する
• 対策できないような予算しかないなら、脅威を説明して予算を増やすか、重要なシステム、データを扱わない方がいい

あと、昨年のトヨタ関連会社で起きたランサムウェア事件もそうだが、大企業ではなく中小企業や公益団体で被害が起きている。

IrvineのもっとPC自作日記

2022.04.22

トヨタ関連会社で起きたランサムウェア事件　どう対応すればよい？

https://irvinejp.net/pcdiy/runsomewhere-incident_at_kojima-press_220301/

３月１日にトヨタは全工場の操業を１日停止した。それに至った事件を追ってみる。IT業界に関するニュースのまとめはこちら。トヨタ全工場操業停止2022年2月28日。トヨタは翌3月1日の全工場の操業を停止すると発表した。年度末を控え、納車で忙しい時期に、である。トヨタの生産方式(いわゆるかんばん方式、JIT)については昔勉強したことがある。役員を務めた方の生産方式に関する考えを書いた本だった。トヨタ式生産方式で探すといくらでも見つかると思うが、その中で印象に残っているのは生産工程で不具合を見つけたら、その根本原因...

IT専任の部門がない、あるいはあっても予算が少ないなど、そういう点もありそうだ。経営者は事業への影響を考えて予算増額を検討すべき。安全は水と空気のように無料ではない。

Copyright protected by DigiproveAll Rights Reserved

PR

 

Irvine

PC自作

バックアップにもウィルス

プリンタに脅迫文

ランサムウェア

全システム暗号化

名古屋港

 

著者プロフィール

irvine

　ソフトウェア設計、ストレージ設計を経てクラウドにかかわる仕事をしている、東京郊外在住のエンジニア。
　仕事でUS,UK,SGなどの国とかかわる。
　自作PC、スマホ、タブレット、AV機器好き。ドラクエウォークはルーチンワーク。Linuxやストレージ、IT業界の動向は興味を持っている。
　新しい機器、サービスに興味あり。年数回のレビュー（自腹購入、ご依頼）と発表されて興味があるものの新製品机上レビューをやっている。
　2022年はJAPANNEXT様のアンバサダーを務めました。

にほんブログ村

人気ブログランキング

 

<<

【お盆セール】ツクモがセール開催中　8月16日まで

【自作PC】AI対応自作PC　8代目、Jisaku8の構築　(5)BIOS設定

>>

この記事もおすすめ

カプコンが不正アクセスを受け、35万件の情報流出の可能性　ランサムウェアの脅威 トヨタ関連会社で起きたランサムウェア事件　どう対応すればよい？ AWSで障害が発生すると困ることが多くなった Google障害の原因が判明　ストレージ容量不足だった？ LINEがデータの国内移転スケジュールを発表 ドコモの話題2件　通信障害とNTTによる優遇禁止