■概要
2022年01月04日に、幼稚園から高校、大学向けのWebサイトのデザイン、ホスティング、コンテンツ管理ソリューションを115か国、8,000以上の学校に提供しているアメリカのSaaSプロバイダーであるFinalsite社がランサムウェアの被害に遭いました(公表は06日)。そして、同日、ホストしていた学校のWebサイトにアクセスできなくなったり、エラーが表示されるという事象が発生。Finalsite社のコミュニケーションディレクターであるMorgan Delack氏によるとランサムウェアへの感染がそれらの事象の直接的な原因ではなく、顧客データを保護するために積極的にシステムをオフラインにし、それによって約5000の学校のWebサイトがオフラインなるとのことでした。この件に関して、Finalsite社は、特設ページ(Finalsite ransomware incident commutications hub 以下、特設ページ)を設置し、様々な情報を掲載していきました。今回はそちらに掲載された情報を基にメモをしていきます。
■タイムライン
特設ページ内には、[Client Email Archive]というセクションがあり、そこでは顧客に送られたと思われるメールがアーカイブされています。そちらをこのブログエントリ初版執筆時点に公開されているものを主に利用し時系列順に整理したものが以下の表です。(時間[EST]の箇所は実際に公開されたコンテンツへのリンクとなっています)
日付 | 時間 | 内容 | 署名 |
2022年01月04日(火) | 不明 |
アクセスの際、エラーが頻発しているためその回復に努めていると説明。
各サービスの状態についてはステータスサイトを参照との案内。
|
Tim McDonough
Chief Client Officer |
2022年01月05日(水) | 08:00 | 特定のシステムに障害が発生していることを受け システム保護のためサービスをオフラインにしたと説明。 |
Tim McDonough
Chief Client Officer |
12:30 | 新たな情報はなし。全力で解決に向けていると説明。 | Tim McDonough
Chief Client Officer |
|
18:00 |
復旧作業が大幅に進んでおり、06日の朝(EST)までにすべてのサイトが復旧するこ
とを確信しており、完全復旧の際にもう一度更新をするとの説明。
また、サイトをオンラインに戻す順序を説明した上で完全に機能するまでは断続的に
エラーが発生することが考えられるため、復旧プロセスの完了通知が出されるまでは
管理機能の利用を控えることを推奨。
|
Tim McDonough
Chief Client Officer |
|
2022年01月06日(木) | 07:00 |
新たな情報はなし。サイトを完全に復旧することが予想よりも時間がかかり顧客の期
待に応えられなかったことへの謝罪を掲載。
|
Jon Moser
Founder & CEO |
11:30 |
今回の事故のきっかけはランサムウェア(サービスのオフラインは保護のための自発
的なアクション)であること、現在はすべてのファイルとデータに問題なくアクセス
できると発表。
また、フォレンジック調査は進行中であるが、この時点でデータが窃取された証拠は
ないが調査の過程で異なる判断が下された場合は迅速に通知すると説明。加えて、同
日14:00(EST)からウェビナーの開催を行い、直接質問に答えるとの案内を掲載。
|
Jon Moser
Founder & CEO |
|
23:30 | Webサービスの大部分はオンラインだが、一部で構成が不足している可能性があり現 在、バックアップからの復元に取り組んでいると説明。また、同日夜から502エラー の発生を大幅に減らす更新を行ったことも説明。 |
Tim McDonough
Chief Client Officer |
|
2022年01月07日(金) | 09:30 | 大体数のサイトのフロントエンドは稼働しているがまだ正常ではなく、サイトの管理 側へはアクセスできない場合があるため、すべての機能が期待通りに動作することが 確認されるまで重要情報の更新は制限することを推奨すると説明。また、既に開催済 みのウェビナーに参加できなかった方のために同日14:00(EST)からウェビナーの 開催を行うと告知。 |
Tim McDonough
Chief Client Officer |
14:30 | 復旧作業により更に多くのサイトが利用可能になったがまだ完全ではないため引き続 き復旧作業を実施し、進捗状況を更新していくと説明。事件について報道機関により 報じられ始めており、CNNが顧客にコメントを求め連絡を取り始めていると報告。 これについては、Finalsite社のコミュニケーションディレクター(Morgan Delack 氏)もCNNの記者と連絡を取っており、これらの問い合わせに関して、転送するこ とで回答、メッセージの作成の支援を24時間対応すると説明し、メールアドレスと 携帯電話番号を掲載。 |
Tim McDonough
Chief Client Officer |
|
17:30 |
前回の連絡により多くのリクエストがあったことを報告。
引き続き、追加のサポートが必要な場合は遠慮なく連絡をしてくださいと説明。
|
Morgan Delack
Director of Communications |
|
20:00 | 時間ごとにWebサイトとコア機能を復旧し続け、完全な復旧に向けて夜間から週末ま で作業に取り組んでいるため週末の朝と夕方(EST)に1日2回更新するとの告知。 |
Tim McDonough
Chief Client Officer |
|
2022年01月08日(土) | 08:00 |
管理機能の70%以上が回復したと説明。
また、週末であるが夜に状況についての最新情報を提供することを告知。
|
Tim McDonough
Chief Client Officer |
19:00 |
管理機能の90%以上が回復したと説明。
また、明日の朝に状況についての最新情報を提供することを告知。
|
Tim McDonough
Chief Client Officer |
|
23:00 |
すべての管理機能が回復したと説明。
夜間に残りの復旧作業を行い、パフォーマンスを監視するが、コンテンツの欠落や機
能の不具合など気付いた点があればサポートへ詳細を知らせて欲しい旨を掲載。ま
た、完全な復旧作業の状況について明日の午前中(EST)に提供すると告知。
|
Tim McDonough
Chief Client Officer |
|
2022年01月09日(日) | 09:00 |
現時点でフロントエンド、管理機能含めWebサイトの99.9%復旧されたと説明。
残りの作業を引き続き実施するが、夜、もしくは新しい情報が利用可能になり次第、
別のアップデートを提供すると告知。
|
Tim McDonough
Chief Client Officer |
19:00 | すべてのサイトへの管理機能は復旧したが現在、一部の復旧作業を行っており、写真 や動画などの表示に影響を与える可能性があると説明。また、最新の情報を届ける取 り組みの一環として、明日のウェビナー(11:00、20:00の2回開催)を告知。また、 参加できない方のために夕方のアップデートにウェビナーの要約を含めることも告 知。 |
Tim McDonough
Chief Client Officer |
|
2022年01月10日(月) | 07:00 |
すべてのWebサイトが復元が完了したと説明。
引き続き、データ統合と補助サービスの復元に努める解決時にステータスの更新を行
うと告知。また、フォレンジック調査のステータス更新が同日遅くに追加で行われる
ことを告知。
|
Tim McDonough
Chief Client Officer |
2022年01月14日(金) | 不明 |
ビデオレターを掲載。
|
なし |
2022年01月24日(金) | 不明 |
調査終了のお知らせを掲載。
ファイルへの直接アクセスやデータの流出を示す証拠は観察されていないとの説明。
それに関する署名付き文書である「Forensic Investigation has Concluded Memorandum dated January 24, 2022」を紹介。
また、自社のセキュリティと信頼性のために追加で100万ドルの投資を行うことを発表。
|
Jon Moser
Founder & CEO |
■SNSの活用
Finalsite社は自組織のサイト以外にSNSなどの情報発信手段を複数持っています。そのうち、「Twitter」「Facebook」「Instagram」「Linkedin」にて特設ページに掲載した内容の一部と同様のものを発信していました。また、2022年01月14日に特設サイトに掲載されたものと同様のFinalsite社のビデオメッセージが投稿されました。
■その他の公開ドキュメント
●Finalsite webinar recap and outage FAQ
2022年01月06日(01月09日17:00アップデート)に公開されたドキュメント。同日含み複数回開催されたウェビナーに関する資料でFinalsite社から参加したパネリストのコメントとウェビナーに寄せられた質問などから作成したと考えられるFAQによって構成されています。参加したパネリストとタイトルは以下の通りです。
- Jon Moser, Finalsite CEO & Founder
- Jason Barnes, Chief Revenue Officer
- Risa Engel, Chief Marketing Officer
- Lauren Barth, Chief Product Officer
- Tim McDonough, Chief Client Officer
- Morgan Delack, Director of Communications
以下の表はFAQをまとめたものです。
質問 | 回答 |
FinalsiteのWebサイトはいつ復元されますか? | 現時点では、フロントエンドと管理者アクセスを含め、Webサイトの99.9%が復元されています。私た ちのチームは、eNotify、File ManagerとMedia Managerの資産、および統合を復元するための作業を続 けています。 |
顧客のデータが危険にされされていませんか? | 現時点で顧客データが危険にさらされたという証拠はありません。調査の過程で異なる判断をした場合
には迅速に通知、対応し、適切な措置を講じます。 |
サイトの復旧に必要なデータがすべて揃っている のであれば、なぜ復旧に時間がかかったのです か? |
被害を受けたインフラを分離し、そこから移行した後、ネットワークの一部を再構築する必要がありま した。この再構築したインフラの調整に当初想定していたよりも時間がかかってしまいました。 |
Finalsiteは業界から信頼も厚く、セキュリティ対 策に厳格であることが知られています。この事件 はどのように起こったのですか? |
ランサムウェアは、世界中の組織にとって継続的なセキュリティ脅威です。攻撃はあらゆる業界で非常 に一般的になっており、弊社のような最も安全なテクノロジー企業でさえも同様です。Finalsiteのセキ ュリティチームは、お預かりした情報を保護するために厳格なセキュリティ対策を実施しており、弊社 の環境に更なる技術的な安全策を加えるように取り組んできました。ホスティングのセキュリティに 250万ドルを投資し、弊社のチームは24時間体制でネットワークシステムをモニターしています。私た ちはセキュリティを非常に重要視しており、新しい知識や情報に基づいて頻繁に更新を行っています。 今回の事件で更に多くのことが分かったので、環境の安全性を更に高め、この種の攻撃が再び起こらな いようにするための追加措置を講じているところです。 |
学校はこのことを保護者や学校関係者にどのよう に伝えればよいのでしょうか? |
Finalsiteでは、ご家族に状況を説明するためのコミュニケーション・テンプレートと、メディア向けの FAQを用意しています。 |
Webサイトが復旧したとき、情報やデータは失 われるのでしょうか? |
サイトをオンラインに戻すプロセスは以下のように行われています。
・Webサイトのフロントエンドへの接続の復旧
・サイトが安定していることを確認するためのパフォーマンス監視
・管理画面のコア機能の復旧
完全に機能するまでは、断続的にエラーメッセージが表示される可能性があることをご了承ください。
管理機能(ポータルへのログイン、フォームへの入力、一括メール送信など)を信頼することは弊社か
ら連絡があるまで控えることをお勧めします。このプロセスが完全に完了したことをお知らせします。
|
Finalsiteは障害に対して何か補償をしますか? | 私たちは現在もWebサイトを復旧させるために全力で取り組んでおり、全社員が専念しています。この 問題を乗り越え、すべてがオンラインに戻れば、この質問に集中し、今後の正しい道を決定することが できます。 |
この障害はSEOランキングに影響しますか? |
ウェブサイトのダウンタイムが検索ランキングに長期的な影響を与えることはないと、自信を持って言
うことができます。Googleのアルゴリズムは、コンテンツの品質とユーザーエクスペリエンスをランキ
ングの基準としており、技術的な問題によるウェブサイトの混乱は含まれません。GoogleのJohn
Mueller氏は、Googleにインデックスされるページが顕著に低下するまで、ダウンタイムがおよそ1週間
かかると公言しており、その場合でも回復に要する時間は大きくありません。Googleはウェブサイトの
再クロールに数時間から数ヶ月かかるので、厳密にSEOのことを言えば、1週間未満のダウンタイムで
悪影響が出ることはまずないので、ご安心ください。
それでも心配な方は、ウェブサイトが通常通り動作するようになったら、Google Search Consoleにサ
イトマップを再送信して、ウェブサイトが再クロールされる準備が整ったことをGoogleに通知すること
をお勧めします。
|
●Template for clients RE: website outage
保護者に状況を説明するためのコミュニケーション・テンプレートと、メディア向けのFAQを掲載したドキュメント。Google Docsにアップロードされており、それぞれの学校が利用時に変更を加える必要のあるユニークな情報(名前やメールアドレスなど)の箇所には分かりやすく色付けされていました。
●Finalsite Forensic Investigation Statement
2022年01月10日に公開されたフォレンジック結果に関するドキュメント。今回のインシデントに対する調査に関する情報とFAQが記載されており、今回のレスポンスを行うにあたり支援を受けたサードパーティであるデータプライバシーに関する弁護士やフォレンジック調査員がどこの組織かといったことも明記されていました。フォレンジック調査の要約としては以下の通り記載がありました。
- 脅威アクターの特定
- 脅威アクターの封じ込めを達成
- 2022年01月04日(火)にシステムの侵入があった事実を特定
- システムに侵入した方法の特定
質問 | 回答 |
誰が調査を行っていますか? | Finalsiteと密接に連携し、Charles RiverAssociatesのサイバー犯罪捜査官が主導しています。 |
使用されたランサムウェアの種類を教えてくだ さい。 |
ランサムウェアは特定していますが、現時点ではこれに関する情報を提供できません。 |
顧客データは危険にされされていますか? | 6日間の調査の結果攻撃者がいつ侵入したか、どのように侵入したか、何を見たのかが分かりました。 クライアントが窃取されたことないと確信しています。残りの調査の過程で異なる判断をした場合には迅 速に通知、対応し、適切な措置を講じます。 |
Finalsiteのシステムにはどのような種類のデー
タが保存されていますか。 |
保存されているデータは主に学校や地区のWebサイトにある公開情報です。Directories or Messages/eNotifyを使用する顧客は、名前、メールアドレス、電話番号など属性データがデータベースに 保存されます。一部の顧客はサードパーティ組織との支払い統合を使用しています。これらの支払いは安 全に処理されます。Finalsiteはクレジットカードデータを送信、または保存しません。学業成績、社会保 障番号、またはその他の機密情報を保存しません。繰り返しになりますが、Finalsiteにはこの事件の結果 としてデータが危険にさらされたという証拠はありません。 |
このような事件が二度と起こらないようにする ために、どのようなセキュリティ対策を講じて いますか? |
私たちを含む、最も安全で先進的なテクノロジー企業でも、ランサムウェアのインシデントの影響を受け ない組織はありません。Finalsiteは、セキュリティに非常に多くの時間とリソースを費やしており、サイ バーセキュリティと、それが私たちと顧客にどのようにな影響を与える可能性があるかについて学び、常 にツールとプロセスを改善しています。この事件を踏まえFinalsiteはセキュリティ対策を調整します。実 行されているすべての手順を明らかにすることは逆効果であり、弊社の製品とデータのセキュリティを危 険にさらす可能性があります。 |
インシデントのタイムラインと 何が起こったのかを共有できますか? |
攻撃者は、01月04日にFinalsiteのシステムにアクセスしました。これは問題が発見され対処された同日で す。調査が完了したら、より完全なタイムラインを共有できます。 |
調査レポートの全体を私たちと共有しますか? | 調査が完了したら顧客に通知しますが、このドキュメントに記載されている調査結果に差異がない限り、 その時点で新しい情報が共有されることはありません。 |
顧客に状況を知らせるまで二日間待ったのはな ぜですか? |
ランサムウェア攻撃であるという性質上、詳細情報を顧客と共有することはできませんでした。私たち は、この事件の調査と対応をガイドし、適用法を確実に順守するためにデータプライバシーの弁護士を雇 いました。同様の経験をした多くの組織は、顧客や一般の人々への対応を数週間から数カ月遅らせ、何が 起こったのかを全く明らかにしない組織もあります。Finalsiteは、透明性を約束し、できる限り早く共有 します。 |
●Forensic Investigation has Concluded Memorandum dated January 24, 2022
2022年01月24日に公開されたドキュメント。2022年01月10日に公開された「Finalsite Forensic Investigation Statement」に続く今回のインシデントに対する調査完了を報告するものです。調査により確認された事象は以下の通り記載されていました。
- ファイルへの直接アクセスやデータの流出を示す証拠は観察されていない。
- 脅威アクターとなった人物は特定している。
- 脅威アクターの活動は収束された。
- 脅威アクターのFinalsiteのシステムへのアクセスは2022年01月04日(火)に制限された。
また、調査報告書の全文は、Finalsiteのデータシステムのセキュリティを保護するために公開はされないとの記載もありました。
■コメント
以上のFinalsite社の対応において以下の点が良かったように感じました。
① 特設ページの(Finalsite ransomware incident commutications hub)の設置
② 顧客へのメールアーカイブの公開
③ ウェビナーの開催
④ SNSの活用
⑤ テンプレートの配布
①は、情報を必要としている人が必要な情報にアクセスしやすいという点での分かりやすさが良いと感じました。多くの場合、組織のサイト内の目立つところに「重要なお知らせ」といった形をとったり、「お知らせ」「新着情報」といったところに掲載されることになります。このような掲載方法に問題があるわけではないのですが更新される情報を掲載していく際には、情報が点在することとなります。結果、見る側にとってあまり見やすいものではなくなってしまいます。
②は、まず時系列でどのようなことが起きたのかということが顧客以外にも分かるものとなっていました。また、このブログ初版執筆時点では7日間(01月04日から10日まで)で17件のアーカイブが公開されておりました。初報などはその日の1件のみですが、事件の状況がある程度の落ち着きを見せるまでは土日も含め1日に3件のペースで情報を公開していたことが見て取れます。頻繁に顧客に対してコミュニケーションを図る姿勢は良いと思いました。また、その中には前回の報告から変化がない場合や予定通りに物事を進ませることができなかったことを謝罪するようなものが含まれていました。これは、顧客からすると変化がないということや進捗に遅れがあるということを知らせる連絡であり、何も連絡をしないこととは雲泥の差だと思いました。
③は、ウェビナーを開催し、直接質問を受ける機会を設けるという非常に透明性を大切にした対応であると思います。参加していた方がはCEO含む、CxOの方々でした。ウェビナーは指定された時間に参加できなかった方のためにもということで複数回開催されている点も良いと感じました。また、それでも参加できなかった方に向けてなのか、ウェビナーで出た質問などをまとめた文書「Finalsite webinar recap and outage FAQ」も作成し、公開されていました。
④は、「Twitter」「Facebook」「Instagram」「Linkedin」を通じて、事件に関する情報共有を行っていました。何か事件・事故が発生した際に自組織のサイトから情報を発信できない場合もありますし、自組織のサイトを顧客が見に来るとも限りません。そのような場合に備えて自組織のリソース以外の伝達手段を持ち、活用することはどのような組織においても準備しておくべきことの1つかと考えています。Finalsite社は、事件発生と調査結果が出たことに関する2件をドキュメントのスクリーンショット付きで発信していました。
⑤は、Finalsiteが行った対応の中で最も良かったと感じたものでした。FInalsite社の顧客は、学校です。その向こう側には保護者がいます。保護者は、多くの場合、学校がFinalsite社のサービスを利用しており、現在直面している問題がそこで発生しているというようなことは考えずに学校に問い合わせを行うでしょう。状況の連絡や説明は、Finalsite社ではなく、学校が保護者に行うことになるはずです。そうした場合、学校側は、何も連絡をしない、答えないわけにはいかないが攻撃を受けた直接的な被害者ではないため、状況の把握も説明もできません。勝手に学校各々で対応をしてしまうと余計な混乱を生む可能性もあり状況は悪くなる一方です。そういったことを防ぐために迅速にテンプレートを用意したことは非常に有効な手段だったのではないかと感じました。また、2022年01月07日(金)14:30 の顧客へのメールにもある通り問い合わせに関する支援を行う姿勢を示し、窓口を開いたことも良い対応だったと思いました。
■更新履歴
・2022年01月30日 タイムライン及び、その他の公開ドキュメントを追加
・2022年01月18日 初版公開