2024年6月10日に公表しました「ランサムウェア被害発生についてのお知らせ(初報)」及び同年7月10日に公表しました「ランサムウェア被害発生についてのお知らせ(第2報)」につきまして、その後、外部専門機関などの支援を受けながら影響の範囲等の調査と復旧への対応を継続して進めておりましたが、この度、本事案に関するフォレンジック調査(※)が終了し、報告書を受領しましたので、当該調査結果及び再発防止に向けた取り組みについてご報告申し上げます。
当グループのシステムは、現時点で新しいサーバおよびセキュリティ環境の下で稼働しており、現時点まで今回のランサムウェア被害に関わる情報流出は確認されておりません。
お取引先様、関係先の皆様に多大なるご心配とご迷惑をおかけすることになりましたことを深くお詫び申し上げます。
(※)デジタル機器の記憶装置から証拠となるデータを抽出し、サーバや通信機器等に蓄積されたログ等の証跡情報から発生した事象を明らかにする手段や技術
1. 発生した事象と経緯
6月4日(火)夜に税理士法人髙野総合会計事務所、髙野総合コンサルティング株式会社及び監査法人TSK(以下、当グループとします。)のデータ管理サーバにおいて発生したアラートを契機に、速やかに当該データサーバの隔離および当グループネットワークのインターネット遮断を実施し、委託業者(※1)による調査を行ったところ、6月6日(木)夜にランサムウェアによる被害が発生していることを確認しました。
(※1)当グループのITシステムの保守を委託している業者
2. 外部専門機関の調査で判明した内容
(1)本事象の原因
6月7日(金)より外部専門機関による調査を行い、下記の事項が判明いたしました。
・6月4日(火)に外部(海外)より複数サーバに対して不正アクセスが行われていたこと
・不正アクセスに先立つ5月26日(日)に行われた当グループのインターネット接続点に設置する通信機器の更新作業において、委託業者が通信機器の設定を誤った結果、当グループのデータサーバに不正アクセスできる状態であったこと
・当該経路から不正アクセスが行われ、ウィルス対策ソフトの停止を含む当グループのセキュリティ対策の無効化が行われたのちに、ランサムウェアが実行された可能性が高いこと
(2)影響を受けた情報の範囲
調査の結果、データサーバの一部で保管しているファイルがランサムウェアにより暗号化されていることが判明しました。暗号化されたデータには、お取引先様からお預かりしたデータも含まれており、当該お預かりしたデータには氏名、住所、電話番号等の 個人情報が含まれていることを確認しております。なお、個人情報保護法に基づき、お取引先様と連携して対応を進めております。
(3)情報漏えいの可能性
調査の結果、外部との微量な通信が確認されているため、情報漏えいの可能性を完全に否定することはできないものの、現時点では、個人情報を含む各種情報が外部に流出したことを示す事実や、攻撃者によって情報が公開されている事実は確認されておりません。
3.現在および今後の対応
現在、本事象の影響を受けない形で新たなシステム環境を構築し、業務を復旧しております。なお、今後も情報漏えいの有無について、外部専門機関により監視を継続し、新たな事実が判明しましたら、お知らせいたします。
4. 再発防止策
本事案について外部専門機関等と連携して、今後の情報セキュリティ面の強化及び再発防止のための対策を講じております。
(1)業務委託先の選定及び監督の強化
①業務委託におけるセキュリティリスクの評価
➁業務委託のセキュリティリスクに応じた委託先への安全管理措置の策定、実施の要求、実施状況の把握
③委託契約における監督権限の明文化
④その他委託先の選定及び監督に必要な行為の実施
(2)インシデント事案が発生した場合の管理体制の整備
(3)社内セキュリティポリシーの再確認・セキュリティポリシーの実施状況の定期検査の実施
(4)技術的対策
①IT環境の刷新
本インシデントの影響を受けない環境とするため、ネットワーク、システム、端末を含むIT環境を新たに構築して業務を再開しております。
➁アクセス制御の強化
ネットワーク境界をベースとしたアクセス制御からID認識ベースのアクセス制御に移行することにより厳格なアクセス制御を適用しております。
③認証強化
ID認識ベースのアクセス制御への移行とあわせ、多要素による認証強化を行っております。
④監視機能の強化
最新のセキュリティソリューションの導入のほか、認証および端末操作のログ取得を通じて、異常検知の強化を行ってまいります。
リリース文(アーカイブ)
【2024年7月10日リリース分】
【2024年6月10日リリース分】