雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
【セキュリティ事件簿#2023-360】アルプスアルパイン株式会社 当社グループが管理するサーバへの不正アクセスについて 2023年9月12日
【セキュリティ事件簿#2023-335】株式会社エフトリア セキュリティに関する重要なご報告
不正アクセスによって、弊社のパソコン 27 台、サーバ3台に保管されていた情報の一部が暗号化、または削除され、ダークウェブ上にファイル名が公開されたことを確認いたしました。本日現在、不正アクセスによって公開されたファイル名を原因とした損害や被害の連絡は入っておりません。
- 8月9日にパソコン 27 台、サーバ3台が不正アクセスの被害を受けたことを確認した後、直ちに被害対象のパソコン、サーバをネットワークから切り離した上での復旧作業とファイアウォールの設定変更を行っており、以降の不正アクセスの発生はございません。
- 8月 17 日に神奈川県警サイバーセキュリティ対策関係者より、弊社から情報を抜き出したことがダークウェブ上に公開されているとの連絡を受け、県警への捜査協力、外部専門家の協力を得てダークウェブの状況確認を進めております。
- 窃取されたデータの一部がダークウェブ上に掲載されていることを確認しておりますが、情報に関係するお取引先各社様を特定でき次第、順次ご報告を実施してまいります。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を徹底してまいります。
【セキュリティ事件簿#2023-332】バクマ工業株式会社 当社サーバーへの不正アクセスに関するお知らせ 2023年08月21日
この度、当社は、当社サーバーに対して不正アクセス攻撃を受けたことを確認しましたので、お知らせいたします。
2023年8月15日に、当社のサーバーが暗号化されるランサムウェア被害が発生していることを確認いたしました。
現在、被害の拡大を防ぐために被害端末をネットワークから遮断し、不正アクセスの原因調査、復旧作業を併行して進めております。
ネットワーク広域に攻撃の被害が及んでいる可能性もあり、全ての特定・調査完了と日常業務への完全な復旧までには、しばらくの時間がかかる見込みとなっております。
警察をはじめシステム会社などの関係機関への報告と助言のもと、連携しながら対応を進めております。
今後、お知らせすべき事項が判明しましたら、改めて開示いたします。
関係各位には、多大なるご迷惑およびご心配をおかけしますことを、深くお詫び申し上げます。
【セキュリティ事件簿#2023-330】株式会社スプリックス 当社子会社におけるランサムウェア被害の発生について 2023年8月23日
【セキュリティ事件簿#2023-327】長野県 公用パソコンからの個人情報流出の可能性について 2023年8月24日
県立高等学校の公用パソコン1台から、個人情報を含むデータが流出した可能性が否定できない事案が発生しました。
関係する皆様及び県民の皆様に深くお詫びいたします。
今後、このような事態が発生しないよう、情報の適正な管理を徹底し、再発防止に努めてまいります。
概要
令和5年8月20日(日)、北信地区の県立高等学校教諭が、自身の携帯電話に料金未払いの連絡を受け、示された電話番号を公用パソコンで検索したところ、トロイの木馬への感染を示す警告画面と連絡先が表示された。その連絡先へ電話をし、指示に従ったところ、パソコンの遠隔操作が行われてしまった。
なお、調査可能なパソコンの操作ログには情報が流出したという記録はなく、また、現時点では本事案により情報が流出した事実は確認されていないものの、流出の可能性を完全には否定できない状況である。
〇対象となりうる個人情報(平成28年度から令和5年度)
・生徒に関する情報(名簿、成績、進路指導・生徒指導・部活動に関する資料)
・職員に関する情報(氏名、電話番号、生年月日)
・外部指導者に関する情報(氏名、住所、電話番号、職業)
事実経過
8月20日(日) 事案発生、管理職へ報告
8月21日(月) 専門業者による操作ログの調査を開始
8月22日(火) 警察に相談
8月23日(水) 操作ログの調査結果を確認
生徒、保護者、卒業生等に事情の説明と謝罪を開始
今後の対応策
(1)引き続き関係者への事情の説明と謝罪
(2)再発防止対策
・情報管理に関するマニュアル等の再点検・見直し
・情報の適正な管理の徹底
【セキュリティ事件簿#2023-323】上條器械店 当社サーバへの不正アクセスに関するご報告とお詫び 2023年8月18日
【セキュリティ事件簿#2023-317】ザボディショップ 購入ポイント付与等サービスの一時停止に関するお詫びとお知らせ
【セキュリティ事件簿#2023-315】泉北高速鉄道株式会社 【お詫び】当社子会社「泉鉄産業株式会社」業務用パソコンへの 不正アクセスの発生及び泉鉄産業従業員情報の漏えいの可能性につきまして 2023年8月10日
2023年8月7日(月)10時ごろ
泉鉄産業株式会社が運営するセブン-イレブン店舗の従業員が、業務用パソコンの画面についていつもと違うことに気づき、外部からの不正アクセスがあった疑いを持ち、調査した結果、「セブン-イレブン泉北高速和泉中央店」及び「セブン-イレブン泉北高速泉ケ丘店」(以下「セブン-イレブン2店舗」という。)の業務用パソコンに不正なプログラムがインストールされていることが判明しました。
セブン-イレブン2店舗の従業員(退職者を含む)最大298名の個人情報が漏えいした可能性がございます。
セブン-イレブン2店舗の従業員(退職者を含む)の以下の情報
「氏名」「生年月日」「年齢」「住所」「電話番号」「採用日」「勤務情報」「給与情報」※ なお、当該店舗をご利用されたお客さまの個人情報やご利用情報につきましては、漏えいの可能性はありません。※ 上記 2 店舗以外のセブン-イレブン店舗に関する情報漏洩はございません
5.今後の対応
8月10日(木)、本事象について個人情報保護委員会(行政機関)に報告いたしました。
現在、情報の漏洩が発生したかどうか及び不正なプログラムがインストールされた原因を確認しております。
6.再発防止策
原因の究明に努めるとともに、再発防止策を徹底し、個人情報の厳重な管理を図ってまいります。
【セキュリティ事件簿#2023-215】コクヨ株式会社 (開示事項の経過)当社グループ情報システムに対する外部攻撃について 2023年8月7日
【セキュリティ事件簿#2023-293】株式会社ダイセル 当社グループ タイ法人におけるランサムウェア被害の発生について 2023年7月14日
【セキュリティ事件簿#2023-088】日本原燃株式会社 お取引先関係者様等の個人情報漏えいの可能性のお知らせとお詫びについて 2023年8月3日
※1マルウェア:ウイルスなど、コンピュータやその利用者に不利益をもたらすあらゆる種類のソフトウェアの総称※2フォレンジック調査:法廷での公的な調査資料などにも活用される調査技術。警察では「犯罪の立証のための電磁的記録の解析技術およびその手続き」と位置付けられる。裁判だけではなくマルウェア感染の調査や顧客情報流出の事後調査等、民間でも幅広く活用されている。
- 漏えいした可能性のある個人情報
ジェイテックが受発注する保修工事等の作業を実施するにあたり必要となる個人情報。具体的には、氏名、性別、生年月日、住所、電話番号、所属会社、身分証のコピーなど。 - 対象人数
約1万人:
2003年11月6日~2023年2月18日までの期間に、ジェイテックが受発注した保修工事等の業務(予定を含む)におけるお取引先関係者様および当該期間においてジェイテックに在籍した従業員
【セキュリティ事件簿#2023-208】株式会社エムケイシステム 当社サーバへの不正アクセスに関する調査結果のご報告(第3報) 2023年7月19日
※フォレンジック調査とは、デジタル機器の記憶装置から証拠となるデータを抽出し、サーバや通信機器などに蓄積されたログ等の証跡情報から発生事象を明らかにする手段や技術のことをいいます。
日付 | 対応状況 |
---|---|
2023/6/5(月)6:00頃 | システムやサービスにアクセスできない状況を確認、システム異常を検知 |
2023/6/5(月)7:00頃 | 弊社内での調査開始。ランサムウェアによる感染を認知 |
2023/6/5(月) | ランサムウェア被害対策本部設置 |
2023/6/5(月)午後 | 外部の情報セキュリティ専門会社へ対応要請 ~状況ヒアリングや初動対応及び原因調査のためのデータ保全等を実施 |
2023/6/6(火) | 大阪府警(捜査当局)へ本事案について連絡、事情聴取に対応 |
2023/6/6(火) | 「第三者によるランサムウェア感染被害のお知らせ」適時開示 |
2023/6/8(木) | 個人情報保護委員会へ報告 |
2023/6/9(金) | 「第三者によるランサムウェア感染被害への対応状況のお知らせ」適時開示 |
事案発生直後~現在 | システム復旧に向けた再構築(継続対応中) |
2023/6/21(水) | 「第三者によるランサムウェア感染被害への対応状況のお知らせ(第2報)」適時開示 |
2023/6月中旬~現在 | 再発防止策及び対策強化(継続対応中) |
2023/6/30(金)0 時 | 一部サービスの再開:社労夢 V5.0(社労夢シリーズ、ネット de顧問、ネット de事務組合)、DirectHR |
2023/7/7(金)9時 | 一部サービスの再開:社労夢 V3.4(社労夢シリーズ、ネット de顧問、ネット de事務組合)、MYNABOX、MYNABOX CL |
2023/7/11(火)0時 | 一部サービスの再開:一般企業向け社労夢 CompanyEdition V5.0、DirectHR、MYNABOX |
2023/7/19(水) | 個人情報保護委員会へ確報を提出 |
2023/7/19(水) | 当社サーバへの不正アクセスに関するお知らせと調査結果のご報告(本報告) |
- 外部の第三者による侵入経路の特定
- 不正アクセスの影響を受けたサーバ機器の特定
- 侵害状況及び流出の恐れがある情報範囲の特定
※今後の情報セキュリティ面のことを考慮し、上記判明した事実の内容については、詳細の公表を控えさせて頂きます。
社労夢 V5.0
社労夢 V3.4
社労夢 CompanyEdition(V5.0のサービス)
ネット de 顧問
MYNABOX
MYNABOX CL
ネット de 事務組合
DirectHR
SR-SaaS
社労夢 CompanyEdition(V3.4のサービス)
【セキュリティ事件簿#2023-268】鹿児島県日置市の市立校で、サポート詐欺に騙されて市内20校の校務システム停止
- 発生日: 2023年7月12日
- 被害校数: 20校
- 影響: 校務系システム一時停止、通知票の配布遅延
【セキュリティ事件簿#2023-230】ヤマハ株式会社 米国子会社への不正アクセスについて(第 2 報) 2023 年 7 月 20 日
当社の米国販売子会社であるヤマハ・コーポレーション・オブ・アメリカ(YCA)で発生したランサムウェア(身代金要求型ウイルス)感染について、被害状況の調査が終了しました。また、本件を契機に当社グループ全拠点のネットワークセキュリティについても調査を行ったところ、新たな不正アクセスを確認しましたので、お知らせいたします。
1.YCA への不正アクセスの被害および対応
第1報でお伝えしておりますように、YCA ではランサムウェアに感染した機器のネットワーク接続を速やかに遮断した上で、安全対策を施して復旧し、現在は通常通り営業しています。その後の調査の結果、お客様やお取引先、従業員の個人情報の漏洩はなかったことを確認しております。
2.新たに確認した不正アクセスの被害
カナダの当社販売子会社であるヤマハ・カナダ・ミュージック(YC)でも同時期に第三者による不正アクセスがあり、現地の従業員や直営音楽教室・お取引先の個人情報が窃取されたことを確認しました。YC では情報漏洩の可能性のある関係者に周知・注意喚起を行い、現地の警察にも通報をしております。なお、YC は不正アクセスを確認後、直ちに全てのシステムのネットワーク接続を遮断して安全対策を講じ、すでに復旧を終え、現在は通常通り営業しております。
3.その他拠点の状況
ヤマハグループの国内拠点 15 箇所、海外拠点 40 箇所のネットワークについて調査を行いましたが、YCA と YC 以外に不正アクセスの被害はありませんでした。また、日本国内をはじめ当社グループの他拠点のシステムへの影響はありませんでした。
今回の事態を受け、当社ではグループ全拠点のシステムにおけるセキュリティ強化、アカウント管理の徹底、従業員へのセキュリティ教育を改めて実施してまいります。お客様をはじめ、関係する皆様にご心配とご迷惑をおかけしましたことを深くお詫び申し上げます。
【セキュリティ事件簿#2023-165】日本コンクリート工業株式会社 ランサムウェア被害の調査結果について 2023 年 7 月 7 日
- 調査機関 外部専門家(サイバーセキュリティ―、ウィルス感染対応の専門業者)
- 調査目的 感染原因経路調査、サーバー感染有無、クライアント PC 影響確認等
- 外部攻撃者によるファイアウォール VPN 機能の既知の脆弱性を衝いた不正アクセス。
- 不正アクセスは 5 月 3 日(水)から開始され、5 月 5 日(金)深夜に本格化。
- 攻撃者はネットワークに侵入後、パスワード総当たり攻撃で管理者パスワードを取得、情報資産にログインし順次ランサムウェアによる暗号化を展開。
- 調査対象サーバー15 台中 11 台が暗号化。
- PC は 100 台中 5 台にアクセスを試みた形跡が認められたが、全台感染していないことを確認。
- 暗号化されたファイルの復号(暗号の解除)は不可能(現時点で復号のためのキー情報が解明されていない)。
- 侵害期間における大量のデータ外部流出の痕跡はなく、現時点で具体的な情報漏洩の事実は確認されていない。また、今回のランサムウェアは、様々なセキュリティーベンダーのレポートでデータ持出しをしないことが確認されている。
⇒当社としては現時点で情報漏洩は無いものと判断しております。
- ファイアウォールのセキュリティー強化
- 全サーバーへのアンチウィルスソフトのインストール
- セキュリティーポリシーの変更
- ファイルサーバーのバックアップ方法の再検討
- セキュリティー製品の導入
- 業務システムの大部分が暗号化され復号不可能であることから、現行システムの完全復旧は困難と判断し、以前より計画していた新システムへの移行(2024 年 4 月予定)を進める。
- 新システム稼働までの間は、暫定的なデータ入力方法を構築することで感染を免れたシステムを継続利用し、現時点で再稼働している経理システムに繋げる。
- 経理システムの各事業所での利用再開 本社:6 月 1 日、事業所:7 月 3 日
- 社内ネットワーク復旧 8 月 1 日
- 第 1 四半期(4~6 月)データ入力作業 8~9 月
- 第 1 四半期決算作業 10~11 月(予定)
- 新システム稼働 2024 年 4 月(予定)
※スケジュールについては現時点での計画であり、変更になる場合があります。
【セキュリティ事件簿#2023-257】株式会社プロット 現在発生している障害について(第6報) 2023年7月6日
この度は、当社クラウドサービス、ホスティングサービスの障害につき、多大なるご迷惑をおかけしており、大変申し訳ございません。
また、代替サービスをご利用のお客様にもご不便をおかけしまして、大変申し訳ございません。
現在の状況につきましては、以下よりご確認ください。
サービス再開時の安全性向上に向けた取り組み
以前よりサービス再開の条件として設定しておりました、安全性向上の取り組みおよび第三者専門業者による安全性確認について、7月3日に全て終了いたしましたことをご報告いたします。
クラウドサービス再開の手法について
安全性向上に向けた取り組み施策が全て完了したため、これより順次クラウドサービスの再開に取り組んでまいります。
サービス再開においては、準備が整った今即時に実施するものではなく、サービス再開時の注意事項のご説明などを丁寧にお客様に行い、サービス再開時期などのご意向をすり合わせたのちに行います。
サービス再開後における、ご利用をいただいておりました代替サービスの今後の取り扱いや、データの破棄等につきましても、当社からご説明を差し上げる予定です。
なお、CYASおよびホスティングサービスにつきましては、現在復旧に向けて準備中です。ご迷惑をお掛けし申し訳ございませんが、今少しお待ちください。
お客様への注意事項のご説明、ご意向確認のご連絡は、7月5日より順次行っております。
なお、大変申し訳ございませんが、個別にご連絡差し上げられる数に限りがございます。
当社といたしましても最大限の努力をいたしますが、お客様によってはご連絡が遅くなる可能性がございます。
大変恐縮ながらあらかじめご容赦頂きますよう何卒宜しくお願い致します。
サービス再開に向けた判断について
当社が確認を終了いたしましたのは、当社で準備を進めておりましたサービス基盤の新設、及びその安全性の準備状況になります。
上述のサービス再開に向けた安全性確認は終了しておりますが、情報漏えいの有無に関する調査は引き続き行っており、最終的な調査結果を元にした報告書を作成し、ご提示させていただく予定です。
情報漏えいの有無に関する調査の進捗率について
現状の調査の進捗としては、概算ですが全体の約3~4割程度と考えております。
初動調査で取得した仮想基盤側のログやアプリケーションログなどログとして取得可能であったものについては、8割以上完了しております。その他IDC内及び当社内でランサムウェア攻撃を受けたハードウェアについては、先日内部データの抽出が完了したというステータスです。これよりそのデータの調査に入りますので、7月下旬までかかる見込みです。調査の進行度合いによってはそれよりも前倒しされる可能性もございます。
最終報告書提示見込みについて
現在行っております情報漏えいの有無に関する調査の結果を元に、最終的な報告書を提示させていただく予定です。
最終報告書の発信は、現状想定されている調査スケジュールを元に、7月下旬から8月初旬を予定しております。
なお、調査の進行度合いによってはそれよりも前倒した最終報告を行う可能性もあります。
【セキュリティ事件簿#2023-262】札幌日本大学学園 「ランサムウェアによるサイバー攻撃」に関する報道について 2023年7月5日
【セキュリティ事件簿#2023-257】株式会社プロット 現在発生している障害について(第5報) 2023年6月23日
今までの進行プロセスと現状のステータス
侵入経路や被害範囲の調査に必要な端末の特定が完了し、現在第三者外部専門業者によるフォレンジック調査が進められております。
その他の機器や新調達した資源を利用し、現在サービス復旧に向けた基盤構築を進めています。
既に一部基盤については構築も完了している状況です。
バックアップデータを新基盤へ展開するにあたっては、データ自体の安全性・改ざんの確認、悪意の混入の確認を行った上で実施する予定です。
現在バックアップデータのウイルススキャンに着手しております。
新サービス基盤については、社内ネットワークとは完全に切り離した環境として構築しており、アプリケーション自体にも侵入検知プログラムの実装等、従来よりも強固なセキュリティ対策を施す事を前提に進めております。
代替サービスの提供状況
6月22日までにお申込みいただいた代替ホスティングサービスの8割については顧客への配送が完了しております。
また代替Smooth Fileについても顧客へ配布が進んでおります。
ホスティングサービス、Smooth Fileクラウド以外の代替サービスについても、準備を進めております。
その後の漏えい調査結果
ダークウェブ上で公開された情報について、引き続き調査を行っております。
公開されたファイル一覧は、当社の社内ソースコード管理システム内にあったものと「ファイル名及びサイズ」についてほぼ合致している事が確認できております。
また、実際に公開されているファイルの一部を第三者専門業者経由で入手し調査した所、ハッシュ値レベルの照合により約95%以上が実際に当社のソースコードであることが確認できており、その他ファイルも当社のものである確認が取れています。
これら調査結果から、ダークウェブ上で公開された情報は当社の社内ソースコード管理システムから窃取したものであることは間違いないものと考えております。
今後の予定
現在、復旧に向けて必要な安全性強化策を取りまとめ、準備を進めております。
新環境が適切に安全に保たれているかどうかを第三者専門業者と協議の上で最終的な復旧宣言を行う予定です。
ご請求について
本サービス障害に関連するお客様向けのご請求処理については、現在も未だサービス停止中でありSLA範囲の確定がされておりません事から、ご請求等の処理は行わない予定です。
オンプレミス製品ご利用中のお客様向けのご請求処理については、通常通り実施させていただきます。 ご不明点等ございましたら、随時下記お問い合わせ先までご相談ください。
社名変更延期のご案内
2023年7月2日に予定しておりました「株式会社CYLLENGE(呼称:サイレンジ)」への社名変更につきましては、延期することといたしました。 延期後の変更日については現在未定となりますので、決定次第改めてお知らせいたします。 お客様及び関係者の皆様へ深くお詫び申し上げます。ご理解とご了承いただきますよう、何卒よろしくお願い申し上げます。
【セキュリティ事件簿#2023-257】株式会社プロット 現在発生している障害について(第4報) 2023年6月16日
公開された情報の詳細な内容については、現在第三者専門業者のアドバイスの下、データを取得し確認を進めております。
侵入経路については第三者の専門業者と連携し調査中ですが、初動対応時の状況や被害状況から、現段階ではメンテナンス用VPN機器の脆弱性を突かれて内部侵入された可能性が高いと判断しております。
その後、サービス基盤の脆弱性を突かれ、基盤上で稼働しているゲストOSが一斉に暗号化されたことによりサービスが停止いたしました。
暫定の代替サービスについては、安全性を高めた形で6月15日より順次出荷を開始しております。
サービス復旧に向けては、現在新設サービス基盤の構築を進めております。
【セキュリティ事件簿#2023-257】株式会社プロット 現在発生している障害について(第3報) 2023年6月14日
現在までの調査の結果、ランサムウェアによる攻撃を受けたことが判明いたしました。
この攻撃により当社社内システム及び、当社提供クラウドサービスが停止している状況です。
現在、各種公的機関への報告を行い、所轄警察とも連携し調査を進めております。
また、情報漏えいや被害範囲については現在外部委託専門企業への調査要請を行っており、サービスの安全な復旧に向けて全力で取り組んでいる状況です。
第2報でご案内したSmooth Fileクラウド、Fast Sanitizerクラウドの簡易版に付きましては、順次申し込みを頂いた企業様に提供を開始していく予定です。
なお、Smooth Fileクラウド、Fast Sanitizerクラウドの簡易版に関しましては、現在ご契約いただいているものとは異なるログインURLでのご提供となり、既存のユーザーやファイルなどは引き継がれない形となります。
ホスティングサービスにつきましても代替手段の準備をすすめておりますので、ご利用をご希望のお客様は、大変お手数ですが、以下のフォームにてお申し込みをお願いします。
また、当社ホスティング・レンタルサーバーをご利用で外部サーバーへの移管をご希望のお客様におかれましては、新しいホスティング・レンタルサーバー事業者様のサービスを契約した上で、以下のドメイン移管申請フォームに必要事項をご記入ください。
多大なるご迷惑をお掛けし、心よりお詫び申し上げます。
弊社のサービスがご利用できない間、皆様のご理解とご協力をお願い申し上げます。
何卒宜しくお願い致します。