名古屋港のコンテナーターミナルで運用されている「名古屋港統一ターミナルシステム」(NUTS)システムが7月4日にランサムウェア攻撃を受けて、全ターミナルの作業が停止に追い込まれるなどの被害を受けたインシデントについて、同システムを管理する名古屋港運協会が26日、対応の経緯を明らかにした。
インシデントは、同4日午前6時半頃に発生。データセンター内のNUTSの全サーバーが暗号化された。協会は、愛知県警察やシステム保守会社らと連携して対応に当たり、同6日午後6時15分にターミナルの作業を再開させた。愛知県警やシステム保守会社の見解でインシデントは、ランサムウェアの感染が原因だと判明した。感染の経緯は、NUTSへリモート接続するための機器に存在する脆弱性を悪用した不正アクセスが想定されるとしつつも特定に至っておらず、引き続き調査中であるした。
また、ランサムウェア攻撃の実行者からの脅迫があったものの、身代金の支払いなどについて金額の明示はなかったという。26日時点で外部への情報漏えいの形跡は確認されていない。協会は引き続き情報流出の可能性を調査し、漏えいの事実が確認されれば速やかに公表すると説明している。
協会によれば、復旧過程でシステム保守会社とシステム開発会社の支援により、リモート接続機器やサーバーなどへの不正アクセス防止策を強化し、今後はシステム内のログ情報やバックアップをさらに充実させ、高度なセキュリティ対策の実現を目指して対応を進めるとした。協会は、関係者にインシデントの影響について謝罪し、「今後は、名古屋港の信頼性を向上させるべく関係者一丸となって取り組みを進める所存です。引き続きのご支援を賜りますよう何卒よろしくお願いいたします」とした。
協会が明らかにしたインシデント発生からシステム復旧までの経緯は次の通り。
2023年7月4日
- 午前6時半分頃:NUTSの作動が停止したことを確認
- 午前7時15分頃:状況を確認した後、システム保守会社とシステム開発会社に復旧作業を依頼
- 午前7時半頃:システム専用のプリンターからランサムウェアの脅迫文書が印刷される
- 午前8時15分頃:サーバーを再起動できないことが判明
- 午前9時頃:愛知県警察本部サイバー攻撃対策隊に通報。状況確認後、ランサムウェア感染の可能性の見解が示される
- 午後2時頃:物理サーバー基盤および全ての仮想サーバーが暗号化されていることが判明
- 午後6時頃:ランサムウェア感染の可能性が高まり、愛知県警と今後の対応を協議
2023年7月5日
- 午前7時頃:システム復旧の進展からターミナルの作業再開目標を7月6日午前8時半と設定
- 午後12時頃:協会がランサムウェア感染の判明を報道発表、同日午後6時をめどにシステム復旧を図り、6日午前8時半の作業再開を目指す
- 午後9時頃:バックアップデータで不正プログラムが検知され、駆除を開始。システム復旧が翌日になると確定
2023年7月6日
- 午前7時15分頃:バックアップデータの復元を完了するもシステムのネットワーク上で障害が発生
- 午後2時15分頃:ネットワークの障害が解消し、バックアップデータとヤード在庫の整合性を確認。準備が整ったターミナルから順次作業を再開
- 午後3時以降:飛島ふ頭南側コンテナターミナルより各所での作業を順次再開
- 午後5時:「NUTS WEB」の稼働を再開