ニップン、ランサムウェア被害で決算報告を再延期へ。帳票を手作業で作成中 35
ストーリー by nagazou
修羅場 部門より
修羅場 部門より
7月にランサムウェアによるサイバー攻撃を受け、決算発表を延期していた製粉大手のニップン。そのニップンは12日、さらに2022年3月期第2四半期報告書の提出期限を約2か月半の延長を求める申請を関東財務局に行ったと発表した。同社はランサムウェア被害により、大半のシステムが被害にあい、その後も復旧が難航。現在は財務システムに自動入力されていた帳票を手作業で作成している状況であるという。8月の段階では決算発表を約3カ月延期して11月15日に行う予定であった(ニップンリリース[PDF]、Security NEXT、市況かぶ全力2階建)。
セキュリティ意識。 (スコア:1)
未だに、一度何らかの被害を被らないと、セキュリティ対策を行わない企業が多いように感じますね。
事業規模が大きければ大きい程、そこで働いている方々全員の意識改革もしなければいけないので
容易ではないのでしょうねぇ。
Re: (スコア:0)
容易ではないというより、無理でしょ。
技術職でない人が大勢いるのに、誰一人マルウェアに感染しないなんて有り得ない。
必要なのは、それが無理であることを前提にしたリスクコントロールだと思う。
この場合だと、バックアップをオフラインで保存しておく、というような。
Re: (スコア:0)
バックアップもバックアップで、セキュリティ意識と同じく「万が一の時以外はただの無駄」の代表だったりもします。
真っ先にコスト削減の対象となる点や、「今まで大丈夫だったんだから」と甘く見積もってしまう点も同じです。
Re: (スコア:0)
専門部署ですらそんなもんであれば、普通の人達にセキュリティ意識を求めるのはやっぱり無理があるよな。
結局打つ手無し。専門部署にセキュリティ意識が高い人がいて、その人の奮闘でカバーされるという幸運に期待するしかないわけだ。
Re: (スコア:0)
専門部署のセキュリティ意識が高い人なんて真っ先に削減される対象じゃないか。
無駄なコストを発生させる要因とみなされて。
ほら、江戸時代からその手の人は「お家を揺るがす大罪人」ってバカに切られる運命にあるじゃん。
事なかれがのさばってる間はダメだわ。
Re: (スコア:0)
ファイルサーバー立てるときはバックアップも同時に用意して、見積もりもそれを含むようにするのが当たり前と思ってやってきたけど、世の中それが普通じゃないの?
詳しくない人に対しても、最初から見積もりに含めてるから気にさせる必要もない。
Re:セキュリティ意識。 (スコア:1)
ランサムウェアはバックアップまで(可能であれば)暗号化か破壊しにいくので、
真面目に対策するなら、Write Only のメディアを使うとか、定期的にメディアを
取り外して保管するとかまでやらないとだめだけど、そこまでやってるの?
Re: (スコア:0)
それのどこがセキュリティ意識が高いことになるのですか?
専門部署ってこんなんなんだってことが証明されてしまった
Re: (スコア:0)
うちの伝統に、備えてるトラブルは起きないってのがありました
こういう教訓はいずこも一緒なようでどこと仕事してもだいたい同じ認識でしたね
いわゆる転ばぬ先の杖なんですけど、何事もないからって杖を捨てた途端に転ぶのもまた共通認識
Re: (スコア:0)
ええ、確かにそうかもしれませんが、
ニップンは製粉、製麺を軸に置いてはいますけど、バイオ関連事業も有るので、
相応のセキュリティが求められるべき業態になっていると思います。
もっとも日本の食品関連の企業は、他国の企業と比較すると
製薬、バイオ関連部門を抱えているケースが圧倒的に多いんですよね。
この事を前提にすると、セキュリティと言う以前に高い水準の危機管理意識が必要だと思います。
Re: (スコア:0)
> 必要なのは、それが無理であることを前提にしたリスクコントロールだと思う。
まったくその通りで。
セキュリティーホールとかいくら潰そうが未知なものが存在すると思っていいから、やられるときはやられる。
クラックされても最悪な事態を防げるような仕組みにしておかないとダメですよねえ。
誰か親コメントをプラスモデして欲しい。
Re: (スコア:0)
「うちゲートウェイとWindowsをどっちともゼロデイでやられたんですけど、どうすればよかったんですかね?」
って本当に最近ランサムウェアにやられた会社は思ってると思う。
なんせ攻撃側は一回きりの使い捨て前提なんだもの防ぎようがない。
もちろん、だからといって二番煎じにやられる必要はないのでセキュリティ対策は大切ですけどね。
Re: (スコア:0)
それで諦めがつくなら、被害と天秤にかけて今後は会計情報は紙で手計算するとか、外部とつながないようなクローズドなネットワークで運用するとか、すればいいと思う。
俺だったら、バックアップをネットワークから切り離して保持しておいて失うデータを減らすとか、今回のような決算にかかわる情報はクラウドストレージに上げるとかするけどね。
ちゃんとしたクラウドストレージなら、大量に暗号化されたら検出できるだろうし、元にも戻せるんじゃないかな。
Re: (スコア:0)
えもてっととかうぉなくらいとかは既知の脆弱性をつかれた上政府やマイクロソフトなんかが修正パッチで回避できるのを周知しても中々被害が収まらなかった記憶があるが。
Re: (スコア:0)
容易ではないのでしょうねぇ。
日本では評価の基準が歪ですので無理でしょうね
1億の売上を上げた人と
1億の損失を防いだ人と
どう評価しますかとなったとき
売上を上げた人は利益1億上げてないのに評価されますが
損失を防いだ人は損益1億を回避したのに評価されません
実効性のある重い罰則の法で縛らない限り
日本での改善の見込みは皆無でしょう
# 可能性があるとすれば国内が外資に完全支配されたときくらいかなぁ
Re: (スコア:0)
何というか、海外旅行で危険な地域に行くときの様な警戒心が無いんですよね。
どうしても、身の安全はあることと、脅威が目に見えないことが、警戒心が湧かない理由だと思います。
被害に遭った零細企業が「自分が狙われた理由がわからない」と言っていたけど、・・・。
攻撃者の要求(目標)金額が10万円とか20万円(あるいは100万円)でも、彼らの国の平均年収に相当するとか、そういう経済格差の視点も教えられないと気づかないものですからね。
# プログラマの平均年収は200万円(全世界平均)とか言っているところもありますよね。(どこの統計ですかね。)
大ざっぱに言っても、50万円の支払い能力があれば十分に標的にされるわけですよ。企業、個人問わず。
# 私自身も年収100万円クラスのプログラマ等の存在を見落としていました。
# これを意識改革の素材にでもしてくださいませ。
ランサムウェアじゃないって言ってるんだけど (スコア:1)
Security Nextの方の記述
調査を通じてランサムウェアやマルウェアは見つかっていないとしており、攻撃者がシステムに対して直接不正な操作を行った可能性がある。外部よりアクセスされた痕跡があり、
つまり、直接侵入されて、最上位に近い権限を奪取され、置き土産としてシステムの大半のサーバーを暗号化されたと。
Re: (スコア:0)
状況からすると見つけられなかっただけだよね、これ。
日ごろから手入力をしていないからこうなる (スコア:1)
その点、うちの会社では毎日手入力しているので問題はない。いざというときはそろばんと伝書鳩を使う。
もちろん誰にでも勧められるものではないが。
Re:日ごろから手入力をしていないからこうなる (スコア:1)
伝書鳩、煎り豆とかでめっちゃ簡単にクラックされそう。
Re: (スコア:0)
ファイル暗号化とかどうすんだろ。
添付用とパスワード用の鳩をそれぞれ飛ばして両方が到着しないとわからない仕様かも。
# P:Pigeon、P:Password、A:Angou、P:Protocol
Re: (スコア:0)
一応、参考リンク:
鳥類キャリアによるIP
https://ja.wikipedia.org/wiki/%E9%B3%A5%E9%A1%9E%E3%82%AD%E3%83%A3%E3%... [wikipedia.org]
#ご存知かと思いますが
Re:日ごろから手入力をしていないからこうなる (スコア:1)
それだと秘匿性がないので一羽が捕まったらアウト。
冗長性を確保するか漏洩しない根本的な仕組みが必要。
# h(は)tt(と)p(ぽっぽ)s(ず=複数形)
いつになったら終わるんだろ (スコア:0)
通常決算が間に合わない場合どんどん帳票が溜まってく。
このままだと次通期決算出すときには2年遅れの決算ですとか言い出しそう。
Re: (スコア:0)
そこでパンチカードを使った自動統計機を導入してですね……
他の四半期報告書出せない上場会社みてると (スコア:0)
どの道決算報告されないまま上場し続けてる訳で、早々に監理銘柄指定して尻に火点けてあげればよかったのにと思わないでもない。
尤も国内の経済学的には大企業には幾ら優しくしても構わないというのがあるのだろうが。
Re: (スコア:0)
東証としては上場廃止するとその分売り上げが下がりますからねぇ。
クソ株でも上場維持させる方にインセンティブが働いてしまいます。
DLEみたいに過去の報告書全部嘘でした、ってのでさえ許されちゃう世界ですから。
市況かぶ全力2階建にでも目を通して、怪しい銘柄は扱わないようにするのが良いと思います(笑)
Re: (スコア:0)
ライブドアで粉飾に厳しくなる
↓
東芝で粉飾に甘くなる
いまは東芝で甘々な対応をとった余波で、多少の粉飾でも上場廃止にならない
Re: (スコア:0)
それなら粉飾決算した東芝をとっとと上場廃止にするべきでしたね。
もう分社化で責任も分社化してうやむやです。
基本的に日本の株式市場は責任を投資家に押し付けておしまいなので、日本株に投資すべきでなかったと言われればぐぅの音もでませんが。ぐぅ。
Re: (スコア:0)
経済学よりは経営学の方に近い。もっというと法学だな。法の下の平等は日本にもないようだ。
Re: (スコア:0)
溺れる犬をぶっ叩けばすべて解決するはずだ、系の御意見ですね。
ハッキングやマルウェア対策 (スコア:0)
社内システムは、署名済みアプリか管理者が認めたアプリしか動かない設定にしとけよ
ランサムウェアのターゲットにならないCPU/OS使えばいい (スコア:0)
x64/windowsっていうベタなプラットホームは、いろんなマルウェアのターゲットになる
たとえば、AArch64/FreeBSDみたいな、だれも使って無いようなプラットホームだと、ターゲットにされることが無い
Re: (スコア:0)
出来合いのツールを使ったヘボクラッカーに狙われるのは減るだろうが、凄腕クラッカーにパズル感覚で狙われたりしてw
Re: (スコア:0)
FreeBSD上で動作する日本語対応会計ソフトで、既存の会計ソフトから過去データを
移行できるものがあったら考えてもいい。