GEPPO **中央労務管理協会-事務所通信**
中央労務管理協会 斉藤社会保険労務士事務所は 文京区 飯田橋駅近くに 社会保険労務士事務所を構えております
***中央労務管理協会 事務所通信***では 労使問題、年金問題、助成金のニュース、アウトソーシング,高年齢者雇用など気になる話題ををご提供していきます
セキュリティ調査に関する報告書
2023年6月29日11:35:37
お客様各位
齊藤社会保険労務士事務所
所長 齊藤誠司
関係各位の皆様には、大変ご迷惑をおかけしており、誠に申し訳ございません。
深くお詫び申し上げます。
当事務所がレンタルしている社労夢のシステム会社から以下の報告がありましたのでご案内させていただきます。
2023年6月28日
お客様各位
株式会社エムケイシステム
代表取締役 三宅 登
セキュリティ調査に関する報告書
このたびは、お客様に多大なご迷惑をお掛けしておりますことを、深くお詫び申し上げます。
このたび発生しました情報セキュリティインシデント(以下「本事業」という).に関して、調査結果を以下の通りご報告申し上げます。
1.発生事象
2023年6月5日(日)未明、弊社情報ネットワーク内の複数のサーバがサイバー攻撃により被害を受け、サーバ上のデータが暗号化されました。この攻撃により、暗号化されたデータへのアクセスができなくなり、結果としてシステムが停止し、再構築を余儀なくされる事態となりました。
2.本案件の対応経緯(初期検知と初動対応)
2023年6月5日(日)未明、弊社担当者が弊社のデータセンターで稼働するサーバへアクセスができないことからシステム異常を認知しました。事象を検知した後、弊社担当者がデータセンターへ入館し状況を確認した結果、弊社サービスを使用しているサーバがランサムウェアに感染していることが判明しました。事象確認後、同日9時頃からデータセンターで稼働していた全てのサーバをネットワークから遮断し、マルウェアの感染拡大や被害拡大防止のための対応を行いました。
3.本事案の原因調査のため、本事案が発生した弊社ネットワークにおいて、侵害可能として考えられる経路上の機器や攻撃者によって侵害された重要サーバ(ADサーバ、SQLサーバ、仮想基盤サーバ等)を中心に保全対象を選定し、対象機器のディスクイメージまたはログを保全致しました。
4.状況把握と被害状況
本事案による侵害状況について、弊社内の全てのサーバ及びパソコンに対して調査を実施した結果、侵害された機器は全てADドメイン(ドメインa及びドメインb)に参加しているWindowsサーバであることが確認されています。
一方で、社内システムに相当するドメインについては、サーバ(物理サーバ/仮想サーバ)・パソコンともに侵害被害が発生していないことを確認しています。
5.侵害状況の概要
(1)不正アクセスの痕跡と侵入経路(ネットワーク機器)
VPNFirewall(社内)より採取した本事案の発生時をまたぐログデータの解析から、データ漏洩などを想定される不審な挙動は確認できておりません。社内システムでの侵害被害も発生していないことも加え、侵入経路としての可能性は低いと考えます。
(2)不正アクセスの痕跡と侵入経路(サーバ機器)
保全したサーバ機器を調査した結果、アクセス痕跡から、攻撃者はドメインaのアカウント情報を何らかの方法で取得し、公開システム(RDPサーバ)へログインしたものと考えられます。
(3)不正プログラム(マルウェア)
調査対象機器のうち、仮想基盤サーバ及びSQLサーバから不審なプログラムを確認、検体解析をした結果、本事案で悪用されたマルウェア(ランサムウェア)であることを確認しています。
6.情報漏洩の有無について
個人情報を保持するSQLサーバの調査において、SQLサーバに関するプログラムの実行やサービスに対する接続痕跡、データベース情報の抽出・圧縮や外部転送などの情報搾取を示唆するプログラムの実行の事実や痕跡は確認できておりません。
また、本案件に関連する情報のダークウェブ等での掲載についても調査を実施していますが、現時点においても該当情報の掲載や公開は確認されておりません。
以上のことより、現時点において、情報漏洩の事実は確認されていないこと、ご報告いたします。
7.再発防止策
現在までの調査で確認された本事案の原因を踏まえ、米国CIS(Center for Internet Security)が定義するCIS Controls(V8)をベースとした抜本的な改革を推進していく所存です。
初段の対応として、以下の再発防止を実施します。
(1)ネットワークセキュリティ対策の強化
システムに対するアクセス要件を整理し、アクセス権限を必要最小限に制限します。
※6/30迄に実施 : 利用者ID,管理者IDのアクセス制限の見直し及び再定義
(2)エンドポイントセキュリティ対策の強化(既知脅威情報だけでなく未知の脅威対応、他)
※実施済み:AWS上の仮想サーバ、自社PCを含め、全台にEDR導入、
24時間/365日体制での監視体制開始
(3)脆弱性管理の徹底とペネトレーションテストの実施
脆弱性情報の適切な入手と把握、迅速かつ適切な脆弱性対応を実施します。
※6/30迄に実施 :: ペネトレーションテストの実施
※6/30以降 : 脆弱性対応の適用利用について定期的な確認を実施(年2回)
(4)ネットワークセキュリティ対策の強化
※実施済み : クラウド基盤をIDCからAWSに変更し、AWSセキュリティポリシーの適用
ネットワーク接続にAppStream2.0を採用しセキュリティ強化
脆弱性対応最新セキュリティプログラムの適用
(5)強固な認証方式の利用
※6/30迄に実施 : 強固なパスワードポリシーの利用(利用者、管理者)
※早期に実施 : 二要素認証などを活用した強固な認証方式の利用
(6)定期的なアカウントの棚卸
※6/30迄に実施 : 不要なアカウントの無効化または削除
(7)定期的なログレビューの実施
※6/30以降 : ログの安全な保管及び長期保存
※定期的に実施 : ログの定期的なレビューや分析による不審なアクティビティの検出
(8)リスクアセスメント、情報セキュリティ監査の定期的な実施
※7月より月1回 定期的に実施
(9)情報セキュリティの運用体制の見直し
※実施済み : 情報セキュリティ専門家の活用
※7月から : 情報セキュリティ部門の増員
以上
|この記事のURL│
サービス再開についてのお知らせ
2023年6月26日10:18:00
お客様各位
齊藤社会保険労務士事務所
所長 齊藤誠司
関係各位の皆様には、大変ご迷惑をおかけしており、誠に申し訳ございません。深くお詫び申し上げます。
システム会社からの案内は下記の通りです。
当事務所としましては、6月30日(金)より準備が整い次第出来るだけ早くに順次今まで通りのサービスを開始する予定をしております。
誠に恐れ入りますが、いましばらくお待ち下さいますようお願い申し上げます。
以上
2023年6月25日
お客様各位
株式会社エムケイシステム
代表取締役社長 三宅 登
サービス再開についてのお知らせ
このたびはお客様、顧問先様、お取引先様、関係者の皆様に多大なご迷惑をお掛けしておりますことを、深くお詫び申し上げます。
6月5日からサービス停止しておりました社労夢のサービス再開について以下の通り、ご案内いたします。
1.社労夢クラウド版のサービス再開について
◎サービス再開日時:2023年6月30日(金) 午前0時
再開するサービス:
社労夢V5.0(社労夢シリーズ、ネットde顧問、ネットde事務組合)
Direct HR
※Cloud Pocket、社労夢ポストの社労夢連携によるご利用も再開いたします。
6月20日の中間報告におきまして、システムの復旧につきましてIDC(従来のデータセンター)とAWS(Amazon Web Services)上の両面で構築作業に着手している旨ご案内いたしましたが、システムの安定性、安全性を考慮し、外部専門家とも検討の上、AWS基盤(クラウド環境)でのサービス再開を決定いたしました。
サービス再開にあたり、セキュリティ面の強化を実施しております。下記の「3.セキュリティ対策について」をご確認下さい。
2.不正アクセスの調査状況
2023年6月5日(月)早朝にランサムウェアによる第三者からの不正アクセスを確認後、直ちに関連するインターネット回線を切断の上、警察などの関係諸機関への報告とご助言を得るとともに、外部の専門調査会社を交え侵入経路の特定、被害情報の確認、情報流出の有無の確認などの調査を実施しております。6月20日中間報告で既報の通り、専門調査会社による調査はその後も進んでおり、6月25日現在、個人情報が外部へ送信された痕跡については発見されておりません。また、本件にかかわる個人情報の不正利用等の事実も確認されておりません。なお、当社がお客様からお預かりしているマイナンバーは、他の社労夢製品とは切り離した環境で完全に暗号化されております。
3.セキュリティ対策について
今回の事象発生以来、システムの復旧作業と並行して外部の専門調査会社と連携して情報セキュリティ対策の強化策を検討してまいりました。お客様に安心して社労夢クラウド版をご利用いただくための主な強化策は以下の通りであります。情報セキュリティ対策及び監視体制の見直し・更なる強化を実施し、今後同じ事態が発生しないよう再発防止策を取ってまいります。
・ネットワークセキュリティ対策の強化(アクセス制限、強固な認証方式 他)
・エンドポイントセキュリティ対策の強化(既知脅威情報だけでなく未知の脅威対応 他)
・ペネトレーションテスト(脆弱性検査等)の定期的な実施
・リスクアセスメント、情報セキュリティ監査の定期的な実施
・情報セキュリティの運用体制の見直し(情報セキュリティ専門家の活用)
以上
|この記事のURL│
システム会社より中間報告
2023年6月20日13:26:00
2023年6月20日
各位
株式会社エムケイシステム
代表取締役 三宅 登
中間報告書
このたびはお客様、顧問先様、お取引先様、関係者の皆様に多大なご迷惑をお掛けしておりますことを、深くお詫び申し上げます。サービスが停止している事で皆様に大変なご迷惑をお掛けしている上に、「個人情報の流出の恐れ」につきましても大変なご心配をお掛けする事になり、申し訳ございません。
今回の事象につきまして、経過と現時点の状況、今後の対応をご報告いたします。
1.発覚の経緯
・6月5日(月)6:00頃、データセンター上の当社サーバーがダウンした事が判明。
・同7:00頃、インフラ担当者がIDCデータセンターへ直行し、状況を確認。調査を開始。
・画面上にランサムウェアらしき警告文を確認。不正アクセスの可能性が高まったため直ちに関連するインターネット回線を切断。その後外部専門家も合流の上、引き続き状況調査を行った結果、ランサムウェアによる第三者からの不正アクセスと断定。
・動作確認で社労夢システムのサービス提供用サーバー全てが暗号化され動作しない事が判明。
2.当社の対応
・6月5日(月)対策本部設置
・6月5日(月)~ ユーザー様向け障害情報メール配信を継続実施
・6月6日(火)大阪府警高度情報推進局サイバーセキュリティ対策課へ通報、事情聴取対応
・6月6日(火)「第三者によるランサムウェア感染被害のお知らせ」適時開示
・6月8日(木)個人情報保護委員会へ報告
・6月9日(金)「第三者によるランサムウェア感染被害への対応状況のお知らせ」適時開示
3.調査、分析作業
・6月5日(月)
事象確認後対象サーバーを全てネットワークから隔離し、現状保全。
外部専門家へ調査依頼。
サービス提供用の各種サーバーがランサムウェアにて暗号化されている事を確認。
・6月5日(月)~6月7日(水)
外部専門家とのヒアリング及び現状把握作業実施
・6月7日(水)
外部専門家とデータセンターにおいて当社サーバーの現地調査実施。
当社データセンター内関連機器のログ保全を行い、感染経路調査を開始。
・6月8日(木)~6月18日(日)
現時点ではランサムウェアにより暗号化された形跡は突き止めたものの、個人情報が外部
へ送信された形跡については発見されておりません。なお、ランサムウェアの種類につい
ては特定しております。
・調査報告
調査報告(侵入経路の特定、情報流出の有無、再発防止策、対策強化方針など)に
向け、継続して調査を実施。
4.システムの復旧状況
◆給与計算
・6月9日(金)
給与計算を急ぐ必要がある事務所様からのお問合せに対応し、AWS上で開発を進めていた
ネットde賃金WEB版(顧問先版)を社労士事務所用に改修し、約2,800の社労士事務所
ユーザーに順次暫定版リリースとしてご案内。
◆システム全体の復旧目途について
最短期間での復旧を目指し、IDC(現在のデータセンター)、AWS(新たな環境)両面での構築作業に着手しております。早期のサービス提供の開始だけでなく、安全性、安定性をより一層引き上げる事も含め、最短でのサービス再開に向けて復旧作業を継続しております。
システム復旧の目途につきましては現状のところ、6月末から7月上旬を予定しております。詳しい状況につきましては改めてご案内をいたします。またシステム復旧後のサービス開始にあたっては、外部専門家と検討の上、様々なセキュリティ対策を講じた上での提供を準備しております。その内容につきましても、別途ご案内をいたします。
本件により、お客様、顧問先様、お取引先様、関係者の皆様に 多大なるご迷惑をおかけしましたことを、改めて深くお詫び申し上げます。
以上
|この記事のURL│