- デンマークのクラウド事業者 CloudNordic は、データセンターに対するランサムウェア攻撃によって全顧客データを失ったと発表した。
- ランサムウェア攻撃は金曜日に始まり、Webサイト、メールシステム、顧客システムなど、すべてのシステムを停止させた。
- その後、プライマリおよびセカンダリのバックアップシステムを含むすべてのサーバーのディスクが暗号化され、最終的にすべてのシステムがクラッシュしてデータにアクセスできなくなった。
- データセンター移行の過程で、すでに感染していたサーバーが新しいデータセンターへ移されたことが原因とみられる。
- 攻撃は内部ネットワークから始まった。
- 幸い、顧客データが流出した証拠は見つかっていない。
- 攻撃者が実際のデータにアクセスしたのではなく、すべての仮想マシンのフルディスクを暗号化できる管理システムにのみアクセスしたとみられている。
- データを複製しようとした形跡はなかった。
- 現在はシステムを再構築し、DNS、Web、メールサーバーなどを新たに構築した状態だ。
- ただし、すべてのデータが失われたため、顧客はすべての情報を再登録しなければならない。
- CloudNordic は、攻撃者に金銭を支払うつもりはなく、交渉する考えもないとしている。
4件のコメント
追記したい内容があってすぐに削除したのですが、通知はすでに送られていたようです。
意図せず2回送ってしまったようで、申し訳ありません……
内容の修正が必要なときは、今後は投稿を削除せずに別途依頼するようにします...
なんとなく重要なので二度強調した感じになってしまいましたね
とにかく非常に深刻な事態ですね。
仮想サーバーのディスクが暗号化されたということは、補助用途のコールドバックアップも結局は仮想サーバー上にあり、
攻撃者が仮想サーバーのディスクを丸ごと暗号化したため、コールドバックアップまですべて失われたのだと思われます。
事業者も大変ですが、その事業者を利用している顧客にとってもとんでもない災難ですね。
使っているメールシステムやDNSなども丸ごと消えてしまって、
もしその事業者でウェブホスティングとメールを両方使っていたなら、顧客からの問い合わせすら受けられない状態になっているようです。
本当に、物理的に改ざんできないテープのようなものにバックアップするのが唯一の答えなのでしょうか……?
やっぱり頼れるのは自前のテープだけだ!