2022年10月、ならコープがランサムウエア攻撃の被害を受けた。業務システム群が暗号化され、店舗と宅配関連サービスに支障が出た。2023年1月10日時点で侵入経路の特定には至っていない。最終的に身代金は支払わず、過去のバックアップから自力でシステム復旧を目指した。とはいえ、ソースコードから再構築するなどの手間で再稼働に2カ月超を要した。
2022年10月9日早朝、生活協同組合のならコープが奈良県内で運営する10の店舗すべてで混乱が生じていた。午前9時の開店に向けて準備していたところ、POS(販売時点情報管理)レジや商品の受発注に使う端末などがネットワークに接続できなくなったのだ。店舗のスタッフは本部に連絡してトラブルが発生している旨を伝え、指示を仰いだ。
その頃、別の異変も起こっていた。複数の店舗や本部、物流センターなどでプリンターが勝手に大量の印刷を始めたのだ。そこにはランサムウエア(身代金要求型ウイルス)であることを示唆した「犯行声明」が英語で印字されていた。
サイバー攻撃からの本格復旧に向けたならコープの格闘はここから始まった。暗号化されたデータを復元するための身代金を支払わないと決断し、自力でシステム復旧を目指した。しかしバックアップを取っていたシステムのデータも攻撃の被害に遭っていた。過去のバックアップやソースコードからの再構築作業は想定外のトラブルもあり、サービスの大部分が復旧するまで2カ月超を費やすこととなった。
店舗は現金払いのみで対処
異常の連絡を受けて、10月9日午前に本部のシステム担当職員らが原因を調べた結果、ネットワーク障害はセキュリティー対策ソフトが不審な通信などのサイバー攻撃を検知し、インターネット回線との接続を自動的に遮断したために発生したことが分かった。
さらにネットワーク内の各システムを調べると、契約先ITベンダーのデータセンターで運用するサーバーが正常に稼働していなかった。同サーバーでは、定期宅配サービスや共同購入、店舗で商品を受け取れるインターネット注文など「店舗非完結型」の宅配関連サービスに用いる業務システム群を集約して運用している。前述した犯行声明の通り、外部からサイバー攻撃を受けたと判断した。ならコープは即座に緊急対策本部を置いた。
システム障害の影響は店舗と宅配関連サービスの両方に及んだが、まずは店舗運営への影響を最小限に抑える必要があった。店舗ではネットワーク接続を復旧させ、POSレジを使える状態にして午前9時に開店を迎えた。
しかし緊急対策本部は午後7時ごろに判断を変え、ネットワークをあえて遮断した。ならコープのネットワークはマルウエアに汚染されていると見るべきであり、取引先など外部に被害が及ぶ恐れがあったからだ。店舗にあるPOSレジは東芝テックが納入しており、ネットワークを介した運用業務も同社に委託している。確認したところ、現金決済に関してはネットワーク回線が接続されていない状態でも利用できることが分かった。ただし、クレジットカードや電子マネーなどのキャッシュレス決済は扱えず、販売データなども即時で収集できなくなる。このため、午後7時ごろからは買い物客に現金払いをお願いする運用に切り替えた。店舗で現金払いしか受け付けられない状態は最終的に11月上旬まで続いた。
一方、宅配関連サービスは10月14日に予定していた配送をまず中止し、組合員への告知を始めた。
