港湾システムに対してのランサムウエア(Lock Bit)によるサイバーアタック
攻撃概要:日本の港湾施設にとって初めてとなる大規模なサイバー攻撃を受けて停止し国内物流に大きな影響を与えた
発生日 :2023 年 7 月 4 日
攻撃対象:名古屋港の 5 つのコンテナターミナル
集中管理ゲートで運用されている名古屋港統一ターミナルシステム
(以下、「NUTS」)
影響概要:約 3 日間にわたり名古屋港のコンテナの搬入・搬出が止まる
侵入経路:保守用VPN機器からの侵入が有力視
突破原因:接続認証強度が弱い(IPアドレス制限なし、2要素認証でない)
VPN機器の既知の脆弱性放置(攻撃方法が世の中に出回っている状態)
被害状況:全8台の物理サーバの暗号化
経 過:
【7 月4 日(火)】
06:30 NUTS停止
07:30 システム専用のプリンターからランサムウェア2の脅迫文書が印刷
08:15 サーバが再起動できないことが判明
14:00 物理サーバ基盤及び全仮想サーバが暗号化されていることが判明
【7 月5 日(水)】
02:00 物理サーバ基盤全8 台が復旧
12:00 仮想サーバの復元完了、ウイルスチェックを開始
21:00 復元した仮想サーバからウイルスが検知
【7 月6 日(木)】
02:00 ウイルスチェック終了
最終的にトロイの木馬120 個マルウェア4 個その他8件のウイルスを検知
ウイルス駆除を開始
07:15 ウイルス駆除終了
バックアップデータからサーバ単体では復元が完了
システム連携に障害が発生
14:15:システム連携障害が解消
データと実在庫情報の整合性の確認を開始
準備が整ったターミナルより順次作業を再開する
18:15:NUTS再開
対 策:外部接続機器のセキュリティ管理強化(脆弱性非放置、認証機能強化)
接続機器自体のログの取得(侵入経路解析迅速化)
ログの分離バックアップ(攻撃解析迅速化)
バックアップ期間の拡大(非感染データの確保)
システム障害時のBCP作成(対応迅速化)
国土交通省 コンテナターミナルにおける情報セキュリティ対策等検討委員会について
https://www.mlit.go.jp/kowan/kowan_mn2_000006.html
