スポーツクラブNAS、サーバに対し不正アクセスによるランサムウェア被害

発表日時2021/6/16

スポーツクラブNASにて、サーバに対し不正アクセスによるランサムウェア被害。同社にて、サーバに対し、ファイヤーウォールを設定していたが、2021年4月に唯一外部とのアクセスのために設けていた暗号化されたキーを、何らかの手口によって第三者に特定され、不正アクセスにより、当該サーバがランサムウェアに感染し、保管していたデータがすべて暗号化され、計9店舗で運用していた会員管理システムが使用不能となった。

店舗からシステム保守会社に対し、システムが使用できない旨の連絡があり、サーバの状態を確認したところ、ファイルが文字化けし、ランサムウェアに感染した疑いがあることを確認。データセンターに対しサーバのLANケーブルの引き抜きを依頼し、ネットワークとの接続を遮断した後、状態を確認したところ、ランサムウェアによってデータが暗号化されたことが判明した。

当該会員管理システムは、スポーツクラブNASリバーシティ21店で、2001年9月から2014年2月、新川崎店で、2011年4月から2013年9月、姪浜店で、2011年6月から2014年2月、中山店で、2012年3月から2013年9月、西日暮里店で、2012年5月から2013年11月、戸塚店で、2013年3月から5月、博多店で、2010年9月から2014年2月および2014年3月から2021年4月、大阪ドームシティ店で、2011年4月から2014年2月および2014年3月から2021年4月の運用期間中に入会・利用した顧客の個人情報が登録されており、登録情報の中には、クレジットカード情報が含まれていたが、新会員管理システムへの移行に伴い、2014年2月11日以降は、当該システムへのクレジットカード情報の新規および更新情報の登録を停止していたため、最も新しい有効期限のものでも2019年12月で有効期限切れと確認している。

今回、不正アクセスを行った第三者からは、当該サーバ内のデータを復旧するためには復号ツールの購入が必要であるとのメッセージを受領しているものの、顧客情報を窃取したとの記載はなく、現在まで、当該第三者から身代金の要求等の脅迫行為もされておらず、調査の結果、顧客情報がダークウェブ上の情報公開サイトに存在していないことから、今回のランサムウェアは、情報を窃取するタイプのものではないということもあり、情報の流出事実は確認できていないとの報告を受けている。

同社は警察および個人情報保護委員会に報告を行い、当該システムに登録されていた顧客に対して、書面にて連絡を行うとともに、不審なメール、電話等があった場合は、一報をいれるよう依頼を行った。また、サーバに対しこれまで一般的に有効とされるファイヤーウォール等によるセキュリティ対策を行ってきたが、今後は、これに加え、各端末の状況をリアルタイムで監視し、異常を検知した時は、直後にネットワーク通信を遮断し被害を最小限に抑える防御ソフトを導入し、調査専門会社による調査結果を踏まえて、必要なセキュリティ対策等の強化を図るとしている。

同社サイトが外部からの不正アクセスを受け、ランサムウェアに感染した件で、調査専門会社による調査結果と今後の対応について公表した。調査の結果、ランサムウェアの感染経路はサーバーと外部との通信を制御するために使用していたファイヤーウォールと推測された。また、ファイヤーウォール内にランサムウェアが常駐している証拠は確認されず、外部とのデータ送受信も確認されなかった。情報漏洩の可能性の検証として当該サーバに検証用テキストファイルをいれたところ、ランサムウェアによる暗号化を行ったが、サーバーの通信状況のモニタリングでは、テキストファイルの外部への漏洩の事実は確認されなかったため、当該サーバからの個人情報漏えいはなかったと思われる。通常の方法ではアクセスできないダークウェブでの顧客個人情報の漏洩の有無の調査も行ったが、情報漏洩は確認されず、また現時点では二次被害なども確認されていない。しばらくの間は引き続きコールセンターを設置するとともに、更なる情報セキュリティの強化に努め、定期的に従業員の教育・研修を行っていくとしている。(2021年11月25日追加)