サイバー攻撃に関する最終報告 兼 安全宣言

美濃工業株式会社

当社は、外部からの不正アクセスによるサイバー攻撃を受け、一部のサーバーおよびパソコンが暗号化される事案が発生しました。このセキュリティインシデント発生を受け、セキュリティベンダーの協力のもと、調査、復旧、監視等の対応を実施してまいりました。その結果、社内に侵入していたウィルスの根絶、不正アクセスの侵入経路と攻撃手法の特定、新たな不正アクセスおよびウィルス再侵入の可能性排除等を確認し、それらがないとの判断をいただきました。これに加え、24時間監視体制も整ったことより、当社のIT環境については安全であることを宣言いたします。

以下、状況および対応の詳細をご報告いたします。

 

1. 現在の状況について

現在、主要システムの応急復旧が完了しました。業務は通常通り稼働しており、生産活動・出荷・金融機関との取引への影響はありません。

今回の安全宣言は以下のような根拠に基づきます。

  • 侵入経路は特定されており、なおかつその経路を現在は完全に停止して塞いでいる
  • 約1カ月間、社内端末の動きを監視し、不審な挙動は一切なかった。また高度なセキュリティソフトでスキャンを実施し、不審なものは一切見つからなかった。これにより社内のウィルスは根絶したものと判断した
  • 悪用された管理者アカウント含め、すべてのユーザーアカウントのパスワードを変更した

 

2. 発生した事象の概要

2025年10月1日~10月4日にかけて、ランサムウェア攻撃者グループ「SafePay」による攻撃を受け、ドメインコントローラー(ActiveDirectory)、仮想化基盤(ESXi)を含む主要な業務系サーバー、一部のクライアントPC等の暗号化、および主要なファイルサーバーからのデータを搾取される被害が発生しました。

 

3. 侵入経路について

FortiGate(SSL-VPN)を経由した、正規VPNアカウントの認証情報を何らかの方法で突破した侵入であった。なお、ファームウエアは最新版となっており、脆弱性を利用した侵入ではありませんでした。

一時的な利用を目的として2025年4月10日に作成された当社正規VPNアカウントの悪用による侵入であると確認しました。

当アカウントは一時的な利用を目的として臨時で作成されたものであったため、非常に容易なIDとパスワードで作成されていました(例示:ID:temp PASS:password1msys1)。また、利用終了後に抹消せずにそのまま残存させてしまいました。

認証情報の突破方法については特定できていませんが、パスワードアタック等で突破されたと推測しています。

〈2025年5月4日〉組織外IPアドレスからこのVPNアカウントを利用したログインが成功されていたことが確認されました。以降、このVPNアカウントに対して組織外IPアドレスからの定期的なアクセス試行およびログインが繰り返されていたことが確認できました。(なお、この時のアクセスではログインのみが実施され、すぐにログアウトされています。)

〈2025年10月1日〉組織外IPアドレスより侵入および侵害活動が開始されました。(第四報参照)

(5月から定期的なアクセスを行った攻撃者と、10月に侵害活動を行った攻撃者が同一であるかは不明。なお、IPアドレスおよびアクセス元地域は異なっています。)

【当社の問題点】

  • 一時的な利用とはいえ、作成されたアカウントのパスワードの強度が低い
    (例示:ID:temp PASS:password1msys1)
  • 一時的な利用を終了後、即時にアカウントを抹消していない
  • 正規利用に限定するための認証(2段階認証、生体認証など)がない
  • 不正利用を検知するためのパスワードロックの仕組みがない
  • 不正利用を検知するための振る舞い検知システムがない

 

4. 管理者権限の奪取について

VPNより侵入後、Windowsサーバー(Active Directory)管理者権限が奪取されました。当管理者アカウントもパスワードの強度が低かったため、短時間でパスワードが破られました(例示:ID:admin-yamada PASS:pw1mino01)。また、当管理者アカウントはユーザー名を変更していたものの、初期固定値で割り当てられたセキュリティ識別子(SID:S-1-5-<domain>-500)をそのまま利用していたため、容易に管理者だと判別されたものだと推測しています。

管理者権限でネットワーク内の探索が行われましたが、社内ネットワークがどこにでもつながる構成になっていたため簡単に横展開され、その後ファイルサーバーなどに保管されているデータが搾取されました。

ランサムウェアについては一部で検体が確保され、詳細な調査も実施できました。それによるとランサムウェアは暗号化を巧妙に行うが、ウィルスを必要以上に複製せず足跡など証拠を極力残さないようにし、自分自身を削除して証拠隠滅をはかるなど挙動も判明しました。

【当社の問題点】

  • 管理者アカウントのセキュリティ識別子が初期設定(SID: S-1-5-<domain>-500)
  • 管理者権限アカウントのパスワードの強度が低い
    (例示:ID:admin-yamada PASS:pw1mino01)
  • 正規利用に限定するための認証(2段階認証、生体認証など)がない
  • 不正利用を検知するためのパスワードロックの仕組みがない
  • ネットワークが分割されていない(セグメンテーション)

 

5. 情報漏洩について

10月28日、ダークウェブ上の攻撃者が運営しているダークサイトにて当社のデータが約60GB程度公開されたことを確認しました。一方でインターネット通信機器のログから10月2日夜から10月4日早朝にかけて300GB程度の情報が外部に送信されたことも確認しております。

公開データは調査済みで、取引先企業の情報も含まれております。

当社の保有している個人情報はダークサイトにはありませんでしたが、流出の可能性は否定できません。

 

6. 当社の対応

当社は攻撃確認後、直ちに下記の対応を実施しました。

  • 各拠点を結ぶ通信回線の切断
  • 外部からのVPN接続機能の停止
  • 全サーバー・端末の安全性を確認し、感染疑い端末や暗号化された端末を隔離
  • セキュリティベンダーによるフォレンジック調査(侵入経路や情報搾取の詳細調査)の実施
  • 関係当局(警察や個人情報保護委員会など)ならびに主要取引先への報告
  • バックアップサーバーは無傷であったため、生産活動に必要なものから順次バックアップデータよりダメージを受けたサーバーの復元実施
  • 全社員アカウントのパスワード強制変更

 

7. 再発防止策

本事案を受け、当社は約1年程度かけて以下の強化対策を進めていきます。

  • VPNについては多要素認証などの仕組みを追加する。侵入経路の最重点項目であるので、早期に再開はせず、慎重に対策を行う予定
  • Windowsセキュリティ基盤(Active Directory等)はダメージを受けたため再構築するが、その際に認証機能強化や不正な操作でアラートを出せる仕組みなどを盛り込む
  • 各種パスワードについてはパスワードアタックで破られないように複雑かつ桁数(12桁以上を想定)の長いものを使い、複数回連続で間違えたらロックする仕掛けなども導入する
  • 社内ネットワークをいくつかのブロックに分割し、簡単にウィルスが横展開できないように再設計する
  • EDRのような不審な動きを検知する仕組みを導入し、それを24時間監視するサービス(SOC)も導入する。(既に対応済み)
  • 管理アカウントは用途ごとに権限や範囲を分ける
  • 一つのファイルサーバーに大量の情報を保存していたため一度にデータを搾取された。今後、サーバー構成を分割するなど見直し、機密情報は分離保管する
  • バックアップデータは通常の保管に加え、オフラインでも保管しておく
  • 古いWindowsはウィルスの攻撃に弱いので最新OSへの更新し、脆弱性管理ができるようにする
  • ランサムウェアのインシデント対応手順書をアップデートする
  • 社員へのセキュリティ教育で不審メール訓練は実施していたが、ランサムウェア対応訓練も追加する

 

8. お客様、お取引先様、および関係各位の皆様へ

この度はご心配とご迷惑をおかけし、誠に申し訳ございませんでした。

当社は今回の事案を重く受け止め、再発防止とセキュリティ強化に全力で取り組んでまいります。

 

TOP