2024年09月13日
当社サーバーにおけるランサムウェア被害の発生について(続報1)
当社は、2024年7月19日に当社の一部サーバーにおいてファイルが暗号化されるランサムウェア被害が発生したことを公表しました。
本件に関しては、外部専門機関と連携をして、影響の範囲等の調査と復旧への対応を進めておりましたが、この度、本件に関わる調査が完了し最終報告を受領しました。
お客様、関係先の皆様には多大なるご心配とご迷惑をお掛けすることになり深くお詫びを申し上げるとともに、当該調査結果および再発防止に向けた取り組みについてご報告を致します。
被害を受けた情報等
- 個人情報(従業員の名前・住所・電話番号等)
- 取引先情報(会社名・ご担当者様 部署・氏名・電話番号等)
記
1.概要
| 2024年07月03日 |
ランサムウェアの被害を確認 ※ファイルの暗号化、サーバーのサービス機能の一部が動作停止、ランサムノート発見等 |
|---|---|
| 外部専門機関に協力を依頼し、調査に向けて外部専門機関と契約 | |
| 2024年07月08日 | 攻撃を確認されたパソコン以外のファスト・フォレンジック調査準備開始 |
| 個人情報保護委員会へ報告 | |
| 北海道警察サイバー犯罪対策課へ被害報告 | |
| 2024年07月18日 | ファスト・フォレンジック調査準備終了 |
| 攻撃を確認されたパソコン(サーバー等)のディープフォレンジック調査開始 | |
| 2024年08月01日 |
ファスト・フォレンジック解析結果報告 ※調査の結果、侵入の痕跡やマルウェア等は検出されなかった。 |
| 個人情報保護委員会へ続報を報告 | |
| 2024年08月30日 |
ディープ・フォレンジック解析結果報告 ※調査結果は後述のとおり。 |
| 個人情報保護委員会へ最終報告 |
2.外部専門機関による調査結果
- ⑴ 侵入経路
- 当社が利用しているUTMのファームウェアに脆弱性があり、その脆弱性を悪用された可能性があります。また、そのUTMのVPNアカウントを不正利用され内部に侵入された可能性がありました。内部侵入後は管理者アカウントを不正利用され攻撃されました。管理者アカウントのパスワードが脆弱だった為に不正利用された可能性があります。
- ⑵ 攻撃活動
- 攻撃対象となったサーバーは、検出回避の為にセキュリティ機能を無効化され、復旧妨害の為にボリュームシャドウコピーの削除と機能停止をされました。攻撃された一部のサーバーでファイル圧縮ツールとFTPツールが使用された痕跡があり、情報を搾取された可能性があります。その後、ランサムウェアを実行されファイルを暗号化されています。
- ⑶ ランサムウェアの種類
- 攻撃対象となったサーバーに保存されたランサムノートから、Akiraランサムウェアであることが分かりました。
- ⑷ 漏洩した可能性がある情報
-
- 個人情報(従業員の名前・住所・電話番号等)
- 取引先情報(会社名・ご担当者様の部署・氏名・電話番号・当社との契約情報等)
※2024年8月30日現在、攻撃者グループのリークサイトの調査を外部専門機関のもと継続的に行っておりますが、当社サーバーから漏洩した可能性がある情報の公開は確認されておりません。引き続き調査を行い、漏洩が確認された場合は速やかにご報告をさせていただきます。
3.再発防止策
- ⑴ ネットワークセキュリティの対策強化
-
- UTMに最新ファームウェアの適用と更新の徹底管理
- UTM及びVPNにアクセスするパスワードポリシーの強化と2段階認証の実施
- UTMの侵入探知を機能追加
- ⑵ エンドポイントセキュリティの対策強化
- 全サーバーにエンドポイントセキュリティの導入徹底
- ⑶ 脆弱性管理の徹底
-
- 管理者アカウントのパスワードポリシーの強化
- クライアントおよびサーバーOSの最新アップデートへの更新と管理徹底
本件に関する状況等について上記の通りご報告致します。
お客様、関係先の皆様にはご心配とご迷惑をお掛けしておりますことを重ねてお詫び申し上げますとともに、このたびの事態を真摯に受け止め、セキュリティと監視体制のさらなる強化を実施し、再発防止に努めてまいります。
本件に関するお問い合せ先
本社:0155-37-5511(平日9:00~17:00)
当サイトのお問い合わせフォームもご利用いただけます。