導入作業中のシステムで発生したランサムウエア感染についてまとめてみた - piyolog

piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

導入作業中のシステムで発生したランサムウエア感染についてまとめてみた

2024年10月2日、京セラコミュニケーションシステム(以下KCCSと表記)は奈良県斑鳩町より受託し導入作業を行っていた図書館システムがランサムウエアに感染したと公表しました。ここでは関連する情報をまとめます。

アクセス設定の不備つかれサーバー侵入

  • ランサムウエア感染が確認されたのは、斑鳩町立図書館システム再構築業務を受託しKCCSが新規に構築を行ったサーバー*1。調査により、サーバー上に暗号化されたデータ復元のための手段を記載した脅迫文書(テキストファイル)、不審なプログラムが確認された。
図書館システムの機器配置図(斑鳩町立図書館システム再構築業務仕様書別紙2より)
  • 不正アクセスの原因は構築されたサーバーのアクセス設定不備で、ログインに用いるID、パスワードの解析が行われ、侵入された。攻撃者による解析作業がいつ頃より行われていたのかについては明らかにされていない。
  • 図書館職員によるシステムの利用がすでに始まっていたため、システム上には図書館利用者の個人情報21,994人分(氏名、住所、連絡先など)が保存されていた。*2 情報流出についてKCCSが行った調査より、①データ転送の痕跡、②ランサムウエアの外部データ流出機能、③ダークウェブでの流出を示す記録、これらがランサムウエアの特徴などから確認されておらず、同情報を含むデータが外部に流出した痕跡は確認されなかったと斑鳩町、KCCSは結論付けた。
  • ランサムウエア感染をうけて10月1日に予定をしていたシステム移行・運用開始を中止され、窓口で手作業による貸し出し業務が行われた。その後に対策が取られた上、新システムは11月1日より運用が開始された。
感染後も継続された業務 ・本の貸出、返却
・館内での本の閲覧
・閲覧席の利用
休止された業務(11/1再開済) ・本の所蔵調査
・予約(リクエスト)の受付
・図書館利用カードの新規登録
・館内端末機器(インターネット席・蔵書検索用端末機・自動貸出機)の利用
・ホームページの閲覧

事案発生後の斑鳩町及びKCCSの対応

  • 外部ネットワークから図書館システムを遮断
  • 専門家による調査(フォレンジック調査)
  • 専門家監修によるサーバー設定及びパスワード設定の見直し
  • 同町以外の図書館システムへの全てのセキュリティチェック(影響なし)
  • 再設計・再構築するシステム環境のセキュリティ対策強化
  • 社内教育徹底やチェック体制強化

関連タイムライン

日時 出来事
2024年9月10日 KCCSが図書館システムの導入作業を開始。
2024年9月29日 図書館システムの本稼働開始。(利用者は図書館職員のみ)
2024年9月30日 サーバー接続がエラーになる異常発生。ランサムウエア感染が判明。ネットワークから遮断。
2024年10月2日 KCCSが構築中のシステムでランサムウエア感染が発生したと公表。
2024年10月3日 斑鳩町が同事案を公表。10月1日予定であった新システムの運用を停止していると説明。
2024年10月10日 斑鳩町、KCCSが調査状況について中間報告。
2024年10月25日 斑鳩町、KCCSが調査結果として外部への情報流出は確認されないと報告。
2024年11月1日 新図書館システムの運用開始。あわせてWebサイトも公開開始。*3

更新履歴

  • 2024年11月1日 PM 新規作成

*1:被害にあったのがオンプレミスかクラウドの環境のどちらかは記載なく不明。11月1日稼働のシステムはAzure上に構築されているように見受けられる。

*2:図書館にサイバー攻撃、身代金要求型ウイルスに感染…窓口で手作業による貸し出し業務継続,読売新聞,2024年10月3日

*3:[PDF] 斑鳩町立図書館のホームページが新しくなりました,斑鳩町立図書館,2024年11月1日