美濃工業株式会社
美濃工業株式会社が受けたランサムウェアによるサイバー攻撃について、第三報(10月21日)までにご報告させていただいた内容から調査結果が大きく変化したため、訂正も含め最新の調査にて判明した内容をお知らせいたします。特に情報漏洩に関して、第三報時点では「極小容量の通信の痕跡」と認識しておりましたが、「相当量の通信の痕跡」が新たに発見されました。その結果、当社の保有するお客様情報や個人情報の一部が外部に流出したことを確認いたしました。
お客様および取引先様、関係各位の皆様には多大なご迷惑をおかけしていること、改めて深くお詫び申し上げます。
以下、最新の調査にて判明した内容をご報告させていただきます。(第三報からの訂正および新たに判明した内容は赤字にて記載させていただいております。)
【サイバー攻撃の概要】
10月1日(水)19:31 社員用VPNアカウントを悪用され、社内ネットワークへ侵入。
(VPN機器の脆弱性が狙われたものではなく、正規IDとPASSの不正利用。)
10月1日(水)20:32 システム管理者アカウント権限を悪用。
以降、4日 04:45のVPN切断までの間、組織内探索、当社クライアント端末の制御権の搾取、
複数の当該端末を出口にしてのデータ搾取が実行される。
10月3日(金)20:58 システムの破壊、ファイル暗号化、サーバー初期化等が実行される。
10月4日(土)01:21 ランサムノート(身代金脅迫文)を社内フォルダ内に保存される。
【サイバー攻撃に対する対応】
10月4日(土)02:25 サイバー攻撃を確認。
10月4日(土)02:49 ネットワーク切断。
10月4日(土)04:45 VPN切断。
10月4日(土)お客様、関係各所、警察署へ連絡。
10月4日(土)受注・生産・出荷に関わるシステム確認。復旧開始。
10月4日(土)資金決済に関わるシステム確認。復旧開始。
10月7日(火)外部への接続制限を開始。
10月8日(水)個人情報の流出の可能性を個人情報保護委員会へ報告。
10月10日(金)詳細解析(フォレンジック調査)を開始。
10月28日(火)ダークサイトでの情報漏洩の事実を確認
10月29日(水)ダークサイトが閉鎖。11月3日本日まで再開なし。
【当社の現状(概要)】
・EDR、振る舞い検知の新規導入
・より高度なアンチウイルスソフトによる、全サーバー、全端末のウイルススキャン
・全IDのパスワード変更
・VPN含む入口の全封鎖(現状早期再開の予定なし)
・外部とのアクセス制限(システムと切り離したクリーン端末にて接続)
・外部機関による詳細解析(フォレンジック調査)を継続中
【外部感染に関して】
現時点では、本件に関連して、お客様および取引先様に具体的な被害や不正利用が生じている事実は確認されておりません。
【情報漏洩に関して】
10月28日(火)にダークサイトにて情報漏洩の事実を確認しました。
漏洩した内容の調査を進めておりますが、29日(水)夕方より、ダークサイトが閉鎖しており、
詳細調査が進められておりません。
現時点でのフォレンジックの調査では、300GB程度の不正な通信の容量を確認しております。
(当内容は現時点での調査結果であり、引き続き調査を進めております。)
詳細につきましては関係者の方へ直接ご連絡させていただきます。
引き続き、当社は当犯罪行為に対し、安全宣言ができる環境整備に向けて全力で対策をとると共に、
他団体様において同様の被害が減ることを願い、情報を展開してまいります。