2025年5月14日にお知らせしました弊社にて発生したセキュリティインシデントについて、内閣セキュリティセンターと連携している外部のフォレンジック調査会社に依頼して調査を進めてまいりました。調査結果および既に実施済みの対策についてお知らせいたします。
　　

１．調査内容

 

前述のフォレンジック調査会社により、以下の調査を行っております。

①自動起動調査

②プログラム実行痕跡調査

③不審ファイル調査

④イベントログに対する既知IOC調査（Windows環境）

⑤他機器に対する不審ログオンの確認

⑥高権限アカウント不正利用の確認

⑦ファイル・フォルダの参照痕跡調査

⑧不審な圧縮ファイル作成痕跡調査

⑨ファイル転送ツールの実行痕跡調査
　

調査の結果、2025年5月10日18:05:18から2025年5月11日02:34:58の期間において、攻撃者がVPN（SonicWall）経由で組織内ネットワークに侵入していた痕跡を確認しています。 また、上記VPN利用期間以降の2025年5月12日09:47:41に本社ADサーバにおいて福岡ADサーバを経由したランサムウェア実行にともなうデータ暗号化・脅迫文作成が行われた痕跡を確認しています。

攻撃者が、どのようにVPN接続成功に至ったのかという点については、事案発生当時のVPNログを攻撃者が削除しているため確認出来ておりません。

 

参照されたデータが攻撃者によって窃取された可能性があるかについて、東京・福岡に設置されているFortiGate の通信量などが記載された「FortiGate System Analysis Report」を調査いたしました。 
調査結果として、事案発生期間中に大量の通信が発生していたログは記録されていません。
なお、ランサムウェア事案などにおいて、攻撃者がデータを外部転送する目的で一般的に利用するツール（例：rclone、ssh）などの設置・実行痕跡を調査いたしましたが、該当するようなツールの設置・実行痕跡は確認されておりません。今回、業務用の一部サーバ及び業務端末計20台に対し、データの暗号化により、当社の通常業務を困難にする被害を受けましたが、当該領域については、お客様の個人情報等を保管していないため、個人情報等の情報漏洩は行われておりません。また、図面等を含むお客さまとの取引データの情報漏洩も確認されておりません。
 　

2. 対策・対処

 

■ 本事案については、既に以下の施策を実施しております。

 

①不審な挙動を感知後、被害の疑いがある全てのサーバ及び業務パソコンをネットワーク環境から隔離。

②攻撃者が利用する侵入元の外部サーバとの接続を遮断。

③不正アクセスに使用されたアカウントの削除

④各種パスワードの変更

⑤ADサーバ・福岡ADサーバ含め、侵入された社内領域の廃棄方針の決定（初期化・再利用は行わない）

 

■ 今後の対応と再発防止策

当社では、７月初旬の新システム稼働に際し、本件を厳粛に受け止め、下記の対策を実施しております。

 

①従前のファイアウォールを廃棄し、外部からのアクセスを一切許可せず、インターネット側からのアクセスに一切応答しない強力なファイアウォールに刷新。

②従前のFortiGateのアンチウィルス対策を廃棄し、各拠点の大元となるアンチウィルスソフトの刷新。メールやWEBアクセス時のウィルスやスパイウェアをインターネットの出入口で自動的に検出し、最新のウィルス定義ファイルを２４時間リモートで自動適用。

③不正な通信対策（IPS）の刷新。通信パケットの内容や振る舞いを検査し、不正な通信を遮断。更に情報漏洩やウィルス感染などのリスクのあるアプリケーションの通信も遮断。

④各種アカウントの定期精査

 

上記の再発防止策を講じることで、⼀層の情報セキュリティ体制の強化徹底を図り、今後もお客様および関係者の皆様に安心してご利用いただけるサービスの提供に全力で取り組んでまいります。
 
引き続き変わらぬご支援を賜りますよう、お願い申し上げます。