株式会社カンバスは1月29日、1月6日に公表した同社へのランサムウェア攻撃について、調査結果を発表した。
同社では1月6日未明に、同社認証サーバへのランサムウェア攻撃を受けた影響で、マイページへのアクセスが不可能な状態となっており、ファイル等の流出有無について調査を進めるとともに、復旧に向けた対応を行っていた。
同社では1月6日早朝に、一部の設定ファイルやデータベースのバックアップファイルが暗号化されているものの、システム本体へは影響していないことを確認しており、現状を保全の上で新たに環境を用意し、別の場所に保存していた直前のバックアップファイルからシステムを再構築する方針を決定している。
調査結果によると、暗号化されたデータの状況から判断して、当該サーバのシステムで使用しているフレームワークの脆弱性を利用して侵入された可能性が高いと推測しており、それ以外の侵入経路についても考えられる経路のログをすべて確認したが、いずれも侵入された形跡は無いという。
今回の攻撃で暗号化されたファイルにはデータベースのバックアップファイルが含まれており、同社では同ファイルが外部に送信されていないかを中心に調査を行ったが、被害時刻から対応時刻までの間に大量のネットワークトラフィックが発生していないことを確認している。また、ランサムウェアが潜伏していたことも想定し直前の1週間の履歴も確認したが、大量のトラフィックが発生している期間がないことを確認している。なお、同システムは毎日午前9時にサーバの再構築を行っていることからも、ランサムウェアが潜伏していた可能性は低いとしており、これらから外部にファイルが送信された可能性は極めて低いと考えらるが、「一部のデータのみをピンポイントで送信された可能性を完全に否定することはできないため、送信されていないと100%断定することができない」と判断している。
同社では、個人情報データが外部に送信された可能性は極めて低いものの、100%否定はできないこと、また仮に全件漏えいしていた場合は報告義務が生じる「1,000件以上」に該当することから、念のため個人情報保護委員会に届け出を行っている。
同社では、マルウェアやランサムウェアが書き込まれて実行されることを防ぐため、書き込み可能/禁止の設定をより厳密にするとともに、個人情報が含まれるデータのバックアップファイルを外部からアクセスできない領域に分離している。さらに、侵入の原因となったフレームワークをアップグレードするなどの脆弱性対応作業を継続中とのこと。
同社では最後に「今回のランサムウェア被害に際し、大変多くのお客様からお気遣いや励ましのお言葉を頂戴いたしました。システム復旧や手作業でのチケット販売を行う中で、大きな励みになりました。この場をお借りして深く感謝申し上げます。」と謝辞を述べている。
