ニップンを「決算報告不能」に追い込んだサイバー攻撃の目的は？

国内製粉2位のニップン＜2001＞は2021年8月16日、深刻なサイバー攻撃を受けた影響で決算報告を延期すると発表した。サイバー攻撃による決算報告延期は極めて異例で、企業のITセキュリティーが改めて問われることになりそうだ。それにしても、なぜ同社がサイバー攻撃の標的となったのか？

重要なデータが暗号化されアクセス不能に

同日に公表された「2022年3月期第1四半期報告書の提出期限延長に関する承認申請書提出のお知らせ」によると、7月7日未明から同社子会社のニップンビジネスシステムで管理運用するニップングループの情報ネットワークのサーバーや一部の端末が、同時多発的にデータを暗号化するサイバー攻撃を受けてシステム障害が発生した。

同社の財務管理、販売管理などの基幹システムサーバーやデータが保存されているファイルサーバーのみならず、国内グループ会社11社が利用する販売管理システムと26社が利用する財務会計システムも被害を受けている。

ニップンは速やかに全サーバーを停止すると共に社内外のネットワークを遮断したが、基幹システムをはじめとする全ての社内システムやデータが保管されている共有ファイルサーバーへのアクセスができなくなったという。

その結果、サーバーが暗号化されてシステムの起動そのものができなくなり、こうした事態に対応するシステムのデータバックアップサーバーも同様に暗号化され復旧が不可能な状態に追い込まれた。

もちろん、同社がサイバー攻撃への備えをおろそかにしていたわけではない。ハード面ではデータセンターを分散設置して自然災害やサイバー攻撃に備えていたが、1度の攻撃で大半のサーバーが同時攻撃を受けたために、あっという間にシステム全体がダウンすることになった。

「身代金」目当てのランサムウエアか

さらに不正侵入検知システムやウイルス対策ソフトの導入と更新を実施してパソコンやサーバーは安全な状態に保たれており、外部のマネージドサービス会社にファイアーウォール業務を委託して専門的立場から助言を受ける仕組みもあった。

社外とのネットワーク接続では、特権アカウントの使用制限や外部装置書き出しチェックなどのセキュリティー監視活動を実施。オンラインでバックアップを保管するなどの多重セキュリティーがことごとく突破された。

これだけ手の込んだサイバー攻撃だけに、組織的な犯行と思われる。しかもデータを破壊するのではなく、暗号化する手口から見て「身代金」目当てのランサムウエアによる攻撃であることは明らかだ。

ランサムウエアは犯行グループから暗号化を解除するためのパスワードと引き換えに、現金などを要求するパターンが多い。ニップンが「身代金」を要求されたかどうかは不明だ。

日本情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2021」によると、「ランサムウエアによる被害」が前年の5位から1位へランクアップしており、被害が急増していることが分かる。

ランサムウエアの防御はおおむねニップンが実施していた対応で間違いはない。唯一の「穴」はバックアップデータをオンラインで保管していたことだ。ネットワークの防御策をことごとく突破された場合、オンライン上のバックアップデータも一蓮托生だ。

バックアップデータは作業時を除き、ネットワークから切り離しておく必要がある。ネットワークにつながっていなければ、狡猾（こうかつ）で経験を積んだハッカー集団といえども人間が現地に侵入しない限り手を出せないからだ。

文：M＆A Online編集部