アスクルはランサムウェア攻撃からの段階復旧計画を第6報で詳細に示し、WMSを使わない暫定手運用をベースにSKUとセンターを拡張する方式で業務継続の最小機能を優先する姿勢を明確化した。CISAはGladinet/CWPの2件をKEVへ追加した。バッファローWSRには弱いパスワードハッシュが指摘された。
11月3日~9日の最新サイバーセキュリティ情報
本稿ではランサムウェア被害を受けたアスクルの復旧工程の全体像を取り上げる。CISAがKEVへ登録した2件の脆弱性と、バッファローWSRにおける弱いパスワードハッシュの脆弱性についても説明する。
それでは、今週注目すべきサイバー攻撃動向を詳しく見ていこう。
アスクル第6報 - ランサムウェアからの段階復旧ロードマップの全体像
アスクルは11月6日、「サービスの復旧状況について(ランサムウェア攻撃によるシステム障害関連・第6報)」において、ランサムウェア攻撃に関する第6報を発表した。
-
サービスの復旧状況について(ランサムウェア攻撃によるシステム障害関連・第6報)
10月19日に発生したランサムウェア攻撃によって基幹システム障害が発生し、事業所顧客向けのASKULサービスを最優先に段階的な復旧を進行していることを伝えている。同社は「業務継続を阻害しない最低機能を戻す」方針に資源を強く再配置しており、Warehouse Management System(WMS、倉庫管理システム)を使わない暫定運用をまず手動/低自動化で構築し、その上からセンター・SKU・注文手段を拡張するロードマップを提示した。
サービス復旧計画の第1弾は10月29日開始で、FAX注文・手運用出荷トライアルとなる。対象顧客は限定・個別案内制。37商品(箱単位のみ、コピー用紙などの汎用品)から開始し、出荷センターは新木場と大阪の2拠点だ。WMSなしのスリム構成に落とすことでリードタイムは長くなる想定だが、まず臨床・介護などの現場業務を止めないことを優先軸にした。
第1弾の拡大を11月12日に開始予定で、対象顧客をやや広げ、237商品に増加。仙台/横浜/名古屋/関西/福岡が新規追加となり計7拠点体制になる。センターが増えて在庫網は横幅が出るが、能力はまだ1〜2割で、物流はあくまで止められない業務機能の連続性を最優先するという技術的・倫理的な下限線の回復優先が続くとしている。
サービス復旧計画の第2弾は11月中開始予定。FAXに加えソロエルアリーナWebの注文を段階的に復帰させる。箱単位237に加え、医療機器・衛生材など470程度の単品を東京DCに集約するようだ。センター複数に単品をばらさない判断は「医療系の可用性確保を優先」したものと見られ、Web再開も「安全性が確認できたサイトから順次」という判断と見られる。
本格復旧フェーズは12月上旬以降を見込み、ASKUL Webサイトでの通常出荷(箱単位に限定せず単品注文を再開)を段階的に再開する計画。LOHACO・外部カタログ連携・パプリなどはまだトライアル対象外で、SOLOEL/ビズらくはWeb安全性を確認後、通常提供を継続中だ。ただしSOLOEL内の「アスクルとしての出荷」は別扱いで止まったままになっている。
情報セキュリティ対応面では詳細ログ解析、異常監視、原因・対象範囲の調査を継続するという。第5報で一部情報の外部流出を公表しており、対象当事者には順次個別通知するそうだ。個人情報保護委員会への報告や警察相談も実施中。メール連絡は社内NWとは別の外部クラウドサービスを使うため同感染の事実は確認されていないと明記している。最後に、著しい迷惑と不安を与えたことへの謝意と、進捗を今後も継続開示する意思を表明している。
アスクルへのランサムウェア攻撃が企業活動に与えた影響は大きい。これまでランサムウェア攻撃といったサイバー攻撃は自社には関係ないだろうと考えていた多くのビジネスパーソンに、実際に身に起こり得るリスクであるという実感を与えた。アスクルのインシデントは他の企業においても発生しうるものであり、再度自社のサイバーセキュリティ対策を見直すとともに、リスクの高い状況は回避するように着実に取り組んでいくことが望まれている。
Gladinet/CentOS Web Panelに影響、CISAがKEVへ新たに2件登録
米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、11月3日~9日にカタログに2つのエクスプロイトを追加した。
CISAが追加したエクスプロイトは次のとおり。
影響を受ける製品およびバージョンは次のとおり。
- Gladinet CentreStack and TrioFox 0から16.7.10368.56560までのバージョン
- CentOS Web Panel 0から0.9.8.1205よりも前のバージョン
Gladinet CentreStack/TrioFoxおよびCentOS Web Panelを用いる運用環境では、該当バージョンが使用されていないかのチェックとアップデートの適用、またはサービス停止・隔離などの暫定的な緩和策を直ちに実施することを検討しよう。
CISAのカタログには積極的に悪用されているセキュリティ脆弱性が登録される。このカタログに登録された段階で現在進行系で悪用されている可能性が高いものであり、カタログに追加されたものに関しては迅速に対応することが望まれる。
バッファロー製ルーターに弱パスワードハッシュの脆弱性、該当機種はファーム更新推奨
JPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)は11月7日、バッファロー製Wi-Fiルーター「WSR-1800AX4シリーズ」に強度が不十分なパスワードハッシュの使用に起因する脆弱性が存在すると公表した。共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)v4.0 基本値 5.3、CVSSv3.0 基本値 4.3と評価されている(参考「JVN#13754005: バッファロー製Wi-Fiルーター「WSR-1800AX4シリーズ」における強度が不十分なパスワードハッシュの使用の脆弱性」)。
セキュリティ脆弱性の影響を受けるファームウェアおよびバージョンは次のとおり。
- WSR-1800AX4 ファームウェアVer.1.09より前のバージョン
- WSR-1800AX4S ファームウェアVer.1.11より前のバージョン
- WSR-1800AX4B ファームウェアVer.1.11より前のバージョン
- WSR-1800AX4-KH ファームウェアVer.1.19より前のバージョン
WSR-1800AX4Pは本セキュリティ脆弱性の影響を受けないとされている。対策としてはベンダーが提供する修正済みファームウェアへ更新することが推奨されている。
セキュリティ脆弱性が修正されたファームウェアおよびバージョンは次のとおり。
- WSR-1800AX4ファームウェア Ver.1.09
- WSR-1800AX4Sファームウェア Ver.1.11
- WSR-1800AX4Bファームウェア Ver.1.11
- WSR-1800AX4-KHファームウェア Ver.1.19
CVSSの値はそれほど高くないため緊急性は低いと考えられるが、ユーザーはなるべく早いタイミングで最新版へアップデートすることが望まれる(参考「WSR-1800AX4シリーズにおける強度が不十分なパスワードハッシュ使用の脆弱性とその対処方法(JVN#13754005) | バッファロー」)。
-
WSR-1800AX4シリーズにおける強度が不十分なパスワードハッシュ使用の脆弱性とその対処方法(JVN#13754005)| バッファロー
* * *
アスクルは第6報で、ランサムウェア攻撃後の段階復旧計画を提示した。10月29日にFAX注文を用いた一部の再出荷を開始し、センターは新木場と大阪から着手した。その後11月12日に拠点を拡大し、Web注文は11月中に段階的に再開するとしている。12月上旬以降に通常出荷を段階的に再開する計画だという。
CISAはGladinet CentreStack/TrioFoxおよびCentOS Web Panelに関する2件の脆弱性をKEVへ追加した。対象範囲は明示されており、該当バージョンの使用有無を確認し、更新または隔離を判断する必要がある。KEVは「すでに悪用が観測されている脆弱性」が登録されるカタログであり、今回の2件についても現時点で悪用の可能性が高い事象であるとされている。
バッファロー製WSR-1800AX4シリーズでは一部モデルの旧バージョンに強度不十分なパスワードハッシュが存在するとJPCERT/CCが公表した。CVSSスコアは中程度とされたが、修正済みバージョンは提示されており、ベンダーはアップデート適用を推奨した。WSR-1800AX4Pは影響を受けない。
サイバー攻撃には終わりがない。対策は永続的に実施するものであり、常に最新のデータを入手して適切な対策を取り続ける必要がある。定期的に確認や更新を行う体制を構築していこう。
Windows 11、次の更新プログラムで導入予定の注目の新機能
