美濃工業株式会社
美濃工業株式会社が受けたランサムウェアによるサイバー攻撃について、第一報(10月4日)第二報(6日)に続き、その後の調査にて判明した内容をお知らせいたします。(一部、第一報・第二報でお知らせした内容の修正も含みます。)
【サイバー攻撃の概要】
10月1日(水)19:31 社員用VPNアカウントを悪用され、社内ネットワークへ侵入。
管理者権限がないため徘徊に留まる。(以後、複数回にわたって徘徊を受ける)
10月3日(金)20:58 システム管理者アカウント権限を悪用される。
セキュリティシステム含むシステムの破壊、ファイル暗号化、サーバー初期化等の攻撃が始まる。
10月4日(土)01:21 ランサムノート(身代金脅迫文)を社内フォルダ内に保存される。
【サイバー攻撃に対する対応】
10月4日(土)02:25 サイバー攻撃を確認。
10月4日(土)02:49 ネットワーク切断。
10月4日(土)04:45 VPN切断。
10月4日(土)お客様、関係各所、警察署へ連絡。
10月4日(土)受注・生産・出荷に関わるシステム確認。復旧開始。
10月4日(土)資金決済に関わるシステム確認。復旧開始。
10月7日(火)外部への接続制限を開始。
10月8日(水)個人情報の流出の可能性を個人情報保護委員会へ報告。
10月10日(金)詳細解析(フォレンジック調査)を開始。
【当社の現状(概要)】
・EDR、振る舞い検知の新規導入
・より高度なアンチウイルスソフトによる、全サーバー、全端末のウイルススキャン
・全IDのパスワード変更
・VPN含む入口の全封鎖(現状早期再開の予定なし)
・外部とのアクセス制限(システムと切り離したクリーン端末にて接続)
・外部機関による詳細解析(フォレンジック調査)を実施
【外部感染に関して】
現時点で確認されておりません。
【情報漏洩に関して】
フォレンジック調査の結果、極小容量ではありますが、何かしらの通信の痕跡が見つかりました。
そのため、お客様情報や個人情報を含む情報が漏洩した可能性を否定できません。
お客様および取引先様、関係各位の皆様には多大なご心配とご迷惑をおかけしております事、
あらためてお詫び申し上げます。詳細につきましては関係者の方へ直接連絡させていただきます。
引き続き、安全宣言ができる環境整備に向けて、全力で対策をとってまいります。