タイトルで全部言おうと思ったら長くなってしまった。
業務委託先に付与していたID・パスが漏えい
不正アクセス
業務委託先に付与していた管理者アカウントの一部で、多要素認証(MFA)を例外的に適用していなかった。このアカウントのID・パスワードが漏えいし、悪意の第三者による侵入を許した。
侵入検知の遅れ
一部物流センターでEDR(エンドポイント検知・対応)が未導入で、24時間監視も十分ではなかった。その結果、侵入の検知が遅れ、被害拡大につながった。
復旧の長期化
オンラインバックアップが暗号化されたことに加え、ハードウェア管理や復旧手順にも課題があり、復旧に時間を要した。
オンラインバックアップまで暗号化されたのか。運用面倒だけどテープデバイスにバックアップって今でも有効だなあ。テープのハンドリングが面倒だからディスクにバックアップして安心しちゃうけど。
なにを言っているかというと、ディスクならランサムウェアで暗号化される可能性が高いけど、テープの場合は実際にバックアップしている時以外はランサムウェアからアクセスしにくい。ディスクアクセスとテープアクセスでは全く異なるコマンドだし、物理的にテープデッキから外されていたらコマンド投げても動かない、テープデバイスの場合一気にR/Wする仕様だから暗号化できないなど。まあ、テープ相手なら無効化するために頭に無効データ書きこんじゃうほうが早い。
LTOなんか1本で15TBまで行くなら、マガジン方式はあまり使わないのかな?
いや、テープの話は余談なんだけど、テープじゃなくてもバックアップ先の領域を常にシステムからアクセスできるようにしておくのはやめておいた方がランサムウェア対策になる。それが表内にある「ランサムウェア攻撃を想定したバックアップ環境の構築」となる。テープでもいいし、先に書いたようにバックアップ時以外はオフってしまう(アンマウントする)んでもいい。
あと、多要素認証してないIDがあった話、ID単位で経路も絞っておいたほうがいいと思う。経路も絞らずMFA抜きとかノーガード過ぎた。固定パスワード無しにして(つまりOTPにして)毎回多要素他経路認証でもいいくらい。
当該企業内の誰かあるいは委託先企業内の誰かはオレが書いたようなことをするべきと考えることは簡単にできる。常識的な範囲。でも実際にやるかどうかは別の話。この手の話はどこまで考慮するか、どこまで金を掛けるかでしかなく、外から事件後に言っても事後諸葛亮でしかない。
で、アサヒのほうを探しても記事が無いんだが。
ポイントはそこじゃないんだよな。復旧のスピード感ではアスクルのほうが評価できるでしょ。
アスクル、倉庫を自動化したせいで、ランサムウェアでシステム停止したら倉庫がまったく稼働できなくなってるのは皮肉すぎる。アサヒビールは手作業で出荷できたんだよな。 pic.twitter.com/mP1LpWxUAk
— お侍さん (@ZanEngineer) 2026年1月28日
