キヤノンUSAがランサムウェア攻撃によりデータを大量消失した可能性

PC関連の技術情報ウェブサイトBleeping Computerが公開した調査結果で「キヤノンUSAはMAZEのランサムウェア攻撃を受けており、一部のプライベートデータベースなどが失われ、社内の電子メール・ウェブサイト・アプリケーションなどに影響が出ている可能性がある」と報告されました。

Canon confirms ransomware attack in internal memo
https://www.bleepingcomputer.com/news/security/canon-confirms-ransomware-attack-in-internal-memo/

Canon's cloud platform has lost users' files – and it CAN'T restore them | Digital Camera World
https://www.digitalcameraworld.com/news/canon-websites-held-to-ransom-by-hackers

BleepingComputerのローレンス・エイブラムス氏は、キヤノンが運営するクラウドプラットフォーム「image.canon」で発生したデータ消失が「ランサムウェア攻撃によるものではないか」と疑問を持ち、独自に調査を開始しました。image.canonは「アップロードしたデータを最大30日間保存できる短期保存ストレージ」と「ユーザー1人あたり無期限で最大10GBのデータを保存できる長期保存ストレージ」を提供するサービスで、2020年7月30日に長期保存ストレージに障害が発生したことから一部のデータを消失しています。

キヤノンは2020年8月7日の発表で、データ消失の原因を「image.canonのサービスをコントロールする新バージョンのソフトウエアに切り替えた際、短期保存ストレージをコントロールするプログラムコードが、短期保存ストレージ機能と長期保存ストレージ機能の両方で作動しました。その結果、30日以上保存された画像に一部消失が生じました」と説明しました。

エイブラムス氏がキヤノンIT部門へランサムウェア攻撃の有無について直接問い合わせたところ、以下の画像を入手したそうです。以下の画像はキヤノンUSA内部に通知されたメッセージで、「複数のアプリケーション、チーム、Eメール、およびその他のシステムに影響する広範囲のシステム問題は、現時点では利用できない場合があります」という内容が記載されています。

また、エイブラムス氏はキヤノンUSAに対する金銭要求と思われる以下のスクリーンショットも入手しており、記載されている内容からMAZEによるランサムウェア攻撃があったと判断しました。

エイブラムス氏がMAZEランサムウェア攻撃のハッキンググループへ問い合わせたところ、ハッキンググループはキヤノンUSAへの攻撃として10TBのデータおよびプライベートデータベースなどを盗む攻撃を行ったことを認めたものの、要求金額、盗まれたデータの証拠など、攻撃に関する情報については明らかにしませんでした。また、エイブラムス氏は「image.canonの停止はランサムウェア攻撃によるものと私は考えていましたが、彼らはMAZEが原因ではないことを教えてくれました」と述べており、image.canonのデータ消失とMAZEに関連性がなかったことを報告しています。

なお、キヤノンは「image.canonへの不正アクセスは発見されず、また、画像の流出もありませんでした」と発表しています。image.canonで消失したデータのうち、動画は復元できず、静止画はサムネイル用に縮小された画像のみ復元可能となっています。この状況に対し、ソーシャルニュースサイトのHacker Newsでは「バックアップはどうなっていたのか」「レプリケーションしか無かったのではないか」とキヤノンの障害対策を疑問視する議論が沸騰しています。

Canon's cloud platform has lost users' files and can't restore them | Hacker News
https://news.ycombinator.com/item?id=24196131