2025 年底,撼動日本零售業的無印良品(MUJI)物流癱瘓事件終於迎來了真相大白的一刻。其物流核心夥伴 ASKUL 株式會社於 12 月 12 日發布了詳盡的《勒索軟體攻擊調查報告》,證實了這場導致超過 73 萬筆個資外洩、服務中斷長達一個半月的資安浩劫,並非遭遇了什麼前所未見的新型超級病毒,而是輸在了最基礎的資安衛生習慣與架構設計漏洞。
在前一篇文章中,我們探討了供應鏈風險的隱蔽性;而這份報告則赤裸裸地展示了當防禦淪為口號時,企業將付出多麼慘痛的代價。ASKUL 選擇了一條艱難但正直的道路——拒絕向勒索軟體集團支付贖金,這展現了企業的社會責任,但也意味著他們必須靠自己的力量從廢墟中重建系統。這份「驗屍報告」不僅是 ASKUL 的慘痛教訓,更是所有依賴數位供應鏈企業的必讀教材。
破口一:被遺忘的鑰匙——委外帳號缺乏 MFA
報告指出,駭客的入侵點既非零日漏洞(Zero-day Exploit),也非高深的社交工程,而是最原始的「盜用帳號」。攻擊者獲取了委託廠商的帳號密碼,從外部大搖大擺地登入 ASKUL 的內部網路。
最令人扼腕的是,這個委外帳號並未啟用多因素認證(MFA)。
這驗證了我們常說的「身分即邊界」。在供應鏈協作中,許多企業為了方便廠商作業,往往會開設權限極大的帳號,卻忽略了對這些「外部使用者」實施與內部員工同等的安全標準。一旦這組帳號密碼在暗網流通販賣,駭客就如同擁有了大門鑰匙,繞過了防火牆的第一道防線。
破口二:失效的哨兵——端點防護的盲區
駭客進入內網後,並未立即發動攻擊,而是進行了長時間的橫向移動與權限提升。報告揭露了一個致命的監控盲點:ASKUL 的部分資料中心並未導入 EDR(端點偵測與回應系統),且缺乏 24 小時的 SOC(資安監控中心)監控。
更糟糕的是,攻擊者利用取得的高權限,成功停用了既有的弱點對策軟體。這顯示出企業在防禦縱深上的不足——當駭客關掉警報器時,竟然沒有第二套機制(如網路流量異常分析或 SIEM 告警)能即時察覺「警報器失效」這件事。這段「無人看管」的空窗期,讓駭客得以從容地佈署勒索軟體,同步加密物流系統與內部資料庫。
破口三:崩潰的救生圈——備份系統亦遭加密
勒索軟體攻擊發生後,企業能否拒絕支付贖金的底氣,全看「備份」是否健在。然而,ASKUL 的報告承認了最壞的情況:備份環境未考慮勒索軟體風險,導致備份文件也被同步加密和刪除。
這直接違反了備份的「3-2-1 原則」中關於「離線」或「不可變更」的要求。當備份系統與主系統處於同一個網路網段,且使用相同的權限管理時,它就不是救生圈,而是陪葬品。這也是導致 ASKUL 從 10 月 19 日遭受攻擊,直到 12 月初才能逐步恢復接單的主要原因——因為他們失去了快速復原的捷徑。
企業該如何避免重蹈覆轍?
ASKUL 的案例告訴我們,供應鏈攻擊往往利用的是企業最基本的疏忽。延續上一篇的防範對策,針對此次報告揭露的具體失誤,企業應立即落實以下三大強化措施:
-
強制執行全域 MFA,無一例外
不再有「因為是廠商比較麻煩」的藉口。所有外部連線(VPN、遠端桌面、雲端服務入口),無論是內部員工還是供應鏈合作夥伴,都必須強制啟用多因素認證(MFA)。企業應導入「條件式存取(Conditional Access)」機制,若偵測到異常登入地點或設備,即時阻斷連線。
-
建立「不可變更」的備份機制
備份是最後一道防線,不能依賴運氣。企業必須導入「不可變更儲存(Immutable Storage)」技術,確保備份檔案在寫入後的特定時間內(如 30 天),連系統管理員(或取得管理員權限的駭客)都無法修改或刪除。此外,務必定期進行「斷網演練」,驗證在網路全斷的情況下,是否真能從冷儲存中撈回資料。
-
導入 7x24 小時的 MDR/SOC 監控
駭客不休假,防禦也不能打烊。ASKUL 的教訓顯示,僅安裝防毒軟體是不夠的。企業需要導入託管式偵測與回應(MDR)服務或建立 SOC,重點不在於「阻擋」,而在於「異常行為偵測」。當有人試圖停用防毒軟體、或在深夜大量存取檔案時,監控端必須能在數分鐘內收到告警並介入阻斷。
ASKUL 雖然付出了慘痛的營運代價,但其誠實公布調查結果的態度值得肯定。這份報告是一面鏡子,映照出供應鏈資安的脆弱現實。企業唯有正視這些基礎建設的缺失,才能在下一次勒索浪潮來襲時,守住數據,守住商譽。
照片
img name