アスクルは、10月のランサムウェア攻撃被害により約74万件の個人情報が漏えいしたことを12月12日に発表しました。漏えいは、事業所向けサービス顧客情報約59万件、個人向けサービス顧客情報約13万2000件、取引先情報1万5000件、役員・社員の情報2700件に及びます。攻撃者は業務委託先用の認証情報を不正使用し、ネットワーク内に侵入。

10月19日にランサムウェアを展開し、ファイルを暗号化しました。攻撃後、アスクルは感染ネットワークの切断やEDRの更新といった初動対応を行い、攻撃者との交渉や身代金支払いは一切していません。レポートでは、徹底されていない多要素認証や監視体制の未整備が被害拡大の要因と分析されています。

このような大規模な個人情報漏えいは、企業のセキュリティ意識欠如を露呈する事件です。認証情報の管理不足や監視の甘さが、攻撃者にとって絶好の足がかりとなったことは明白です。多要素認証の適用が欠如していたこと、24時間監視体制が整っていなかったこと、そしてバックアップ環境の不足は、情報セキュリティの基本を欠いた対応と言わざるを得ません。これらの欠陥は、顧客や社員、その取引先に深刻なリスクをもたらすだけでなく、企業の信頼を損なうものであり、断じて許されるものではありません。

今後の具体策として、まず全社的なセキュリティ意識の再教育が不可欠です。また、多要素認証の厳格な適用、24時間監視体制の構築を急ぎ、EDRを含むセキュリティシステムの性能向上を実施することが求められます。さらに、ランサムウェア攻撃を前提とした復旧訓練やBCPの見直しも早急に行うべきです。情報漏えいによる影響は計り知れず、企業はその責任を深刻に受け止め、即刻改善へと動くべきです。信頼回復には時間がかかりますが、徹底した再発防止策を講じることでのみ、未来を築くことができるのです。

ネットからのコメント

1、先日のアサヒビールの件でも、流出した内容の中に免許証のコピーのデータ等の個人情報も含まれていたため、社員や顧客は気が気でないとも思う。警察がハッカーを特定し逮捕することを願いたいが、国際的な攻撃者が多いために、検挙率は約30%と低めなのが辛い。確かにシステムが脆弱だったかもしれないが、いかなる企業でも起こり得ること。ハッカーの行為は間接的な殺人行為に等しいし、厳罰化も必要。例を挙げると、現行の電子計算機損壊等業務妨害罪（刑法第234条の2）の罰則は、「10年以下の懲役 または 100万円以下の罰金」で、これでは罪が軽すぎるし、加害者天国なのは問題だと思う。

2、自分も個人情報が漏洩したというメールが届きました。内容は、住所、電話番号、メールアドレスが漏洩したという内容でした。アスクルさんのメールでは、これが漏洩してても悪さはしていないという情報が書かれてましたが、めっちゃ悪さしてますよ。カナダから電話はかかってくるし、メールにはヤフーショッピングを真似してメールをしてくるものまでありました。住所は変えられないけど、電話番号とアドレスは変える予定です。アスクルさんには罪はないけど、あの内容のメールは送らない方がいいですよ。きっと、みんな同じ目に遭ってる。

3、もうこういうECサイトを利用する際には情報は全世界に漏れることを前提に利用した方がいいかもねどこもかしこも情報漏れたって報道はやるけどその後その情報がどう悪用されるかなんて誰も知る由がないし漏れすぎててどこから漏れたものが悪用されたのかもわからんようになるよ個人情報の取りまとめがどれだけ危ないかっていい教訓にもなるんじゃないか

4、アスクルほどの規模の会社でバックアップ環境を構築してなかったとは驚きました会社で購買担当してます。

ソロエルアリーナが完全に復旧していないのでとてもとても不便で余計な仕事が増えてます。小物や１個単位で注文できるよう早く復旧してほしいです。