2023/12/31

【セキュリティ事件簿#2023-448】株式会社アイテス 当社サーバーへの不正アクセスに関するお知らせと調査結果のご報告


株式会社アイテス(以下「当社」といいます。)は、第三者による不正アクセス攻撃を受けましたこと(以下「本インシデント」といいます。)を2023年10月23日に公表いたしました。

この度、外部専門機関の協力のもと進めてまいりました本インシデントに関する調査が完了し、報告書を受領しましたので、当該調査結果および再発防止に向けた取り組みにつきましてご報告申し上げます。なお、当社は今後も継続的にセキュリティ対策の強化を図ってまいります。

お客様ならびにご関係者の皆様につきましてはご心配とご迷惑をおかけいたしましたこと、深くお詫び申し上げます。

【対応経緯】

 ■2023年10月20日
  当社サーバーへの不正アクセスが発覚。
  同日、外部に接続しているネットワークをすぐに遮断し、外部専門機関へ報告・相談
 ■2023年10月23日
  警察および関係機関への報告を実施
 ■2023年10月23日
  本インシデントに関するお知らせをホームページへ掲載
 ■2023年10月25日
  外部専門機関へ詳細調査を依頼。依頼した調査内容は以下の通り。
   ・不正アクセス被害を受けた可能性のある機器に対する安全性確認
   ・被害を受けた機器のフォレンジック及び各種ログの解析を通した被害の詳細・範囲の分析
   ・侵入経路の調査、及び安全性確認
 ■2023年11月30日
  外部専門機関より調査報告を受領。
 ■2023年12月5日
  調査結果と再発防止策等についてホームページへ掲載

【調査結果】


 1.被害の原因
   調査の結果、攻撃者は当社ネットワークおよびサーバー等へ不正に侵入し、ランサムウェアによるデータ暗号化の侵害をしていたことを確認しました。
   なお、他のPCについてマルウェア感染等の被害は、確認されませんでした。

 2.影響範囲
   外部専門機関による調査では、当社のデータについて、情報窃取およびデータの外部転送等を示唆する明確な痕跡情報は確認されませんでした。

 3.二次被害について
   現時点で本インシデントにかかわる個人情報あるいはお客様情報情報の不正利用は確認されておりません。

【再発防止策について】

 当社では、本インシデントの発生を重く受け止め、再発防止に向けて外部専門機関からのアドバイスを受け以下の対策等を実施します。

  ・脆弱性管理の徹底
  ・強固な認証方式の利用
  ・適切なセキュリティ機能監視体制の整備
  ・インシデントに対する体制整備 等