ＧＥＰＰＯ　　**中央労務管理協会-事務所通信**

お客様各位

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　齊藤社会保険労務士事務所
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　所長　齊藤誠司

 

関係各位の皆様には、大変ご迷惑をおかけしており、誠に申し訳ございません。
深くお詫び申し上げます。
当事務所がレンタルしている社労夢のシステム会社から以下の報告がありましたのでご案内させていただきます。

 

 

2023年6月28日

お客様各位

株式会社エムケイシステム
代表取締役　三宅　登

 

セキュリティ調査に関する報告書

 

 

このたびは、お客様に多大なご迷惑をお掛けしておりますことを、深くお詫び申し上げます。
　このたび発生しました情報セキュリティインシデント(以下「本事業」という).に関して、調査結果を以下の通りご報告申し上げます。

 

1.発生事象
　2023年6月5日（日)未明、弊社情報ネットワーク内の複数のサーバがサイバー攻撃により被害を受け、サーバ上のデータが暗号化されました。この攻撃により、暗号化されたデータへのアクセスができなくなり、結果としてシステムが停止し、再構築を余儀なくされる事態となりました。

 

2.本案件の対応経緯(初期検知と初動対応)
 2023年6月5日(日)未明、弊社担当者が弊社のデータセンターで稼働するサーバへアクセスができないことからシステム異常を認知しました。事象を検知した後、弊社担当者がデータセンターへ入館し状況を確認した結果、弊社サービスを使用しているサーバがランサムウェアに感染していることが判明しました。事象確認後、同日9時頃からデータセンターで稼働していた全てのサーバをネットワークから遮断し、マルウェアの感染拡大や被害拡大防止のための対応を行いました。

 

3.本事案の原因調査のため、本事案が発生した弊社ネットワークにおいて、侵害可能として考えられる経路上の機器や攻撃者によって侵害された重要サーバ(ADサーバ、ＳＱＬサーバ、仮想基盤サーバ等)を中心に保全対象を選定し、対象機器のディスクイメージまたはログを保全致しました。

 

4.状況把握と被害状況
　本事案による侵害状況について、弊社内の全てのサーバ及びパソコンに対して調査を実施した結果、侵害された機器は全てADドメイン(ドメインa及びドメインb)に参加しているWindowsサーバであることが確認されています。
　一方で、社内システムに相当するドメインについては、サーバ(物理サーバ/仮想サーバ)・パソコンともに侵害被害が発生していないことを確認しています。

 

5.侵害状況の概要
 (1)不正アクセスの痕跡と侵入経路(ネットワーク機器)
 VPNFirewall（社内)より採取した本事案の発生時をまたぐログデータの解析から、データ漏洩などを想定される不審な挙動は確認できておりません。社内システムでの侵害被害も発生していないことも加え、侵入経路としての可能性は低いと考えます。
 (2)不正アクセスの痕跡と侵入経路(サーバ機器)
 保全したサーバ機器を調査した結果、アクセス痕跡から、攻撃者はドメインaのアカウント情報を何らかの方法で取得し、公開システム(RDPサーバ)へログインしたものと考えられます。
 (3)不正プログラム(マルウェア)
 調査対象機器のうち、仮想基盤サーバ及びＳＱＬサーバから不審なプログラムを確認、検体解析をした結果、本事案で悪用されたマルウェア(ランサムウェア)であることを確認しています。

6.情報漏洩の有無について
　個人情報を保持するSQLサーバの調査において、ＳＱＬサーバに関するプログラムの実行やサービスに対する接続痕跡、データベース情報の抽出・圧縮や外部転送などの情報搾取を示唆するプログラムの実行の事実や痕跡は確認できておりません。
また、本案件に関連する情報のダークウェブ等での掲載についても調査を実施していますが、現時点においても該当情報の掲載や公開は確認されておりません。
　以上のことより、現時点において、情報漏洩の事実は確認されていないこと、ご報告いたします。 

 

7.再発防止策
　現在までの調査で確認された本事案の原因を踏まえ、米国CIS(Center for Internet Security)が定義するCIS Controls（V8)をベースとした抜本的な改革を推進していく所存です。
初段の対応として、以下の再発防止を実施します。
（1）ネットワークセキュリティ対策の強化
　システムに対するアクセス要件を整理し、アクセス権限を必要最小限に制限します。
　※6/30迄に実施 ： 利用者ID,管理者IDのアクセス制限の見直し及び再定義
（2）エンドポイントセキュリティ対策の強化(既知脅威情報だけでなく未知の脅威対応、他）
　※実施済み：AWS上の仮想サーバ、自社PCを含め、全台にEDR導入、
　　　　　　　　　24時間/365日体制での監視体制開始
（3）脆弱性管理の徹底とペネトレーションテストの実施
　　脆弱性情報の適切な入手と把握、迅速かつ適切な脆弱性対応を実施します。
　※6/30迄に実施 :： ペネトレーションテストの実施
　※6/30以降 : 脆弱性対応の適用利用について定期的な確認を実施(年2回)
(4)ネットワークセキュリティ対策の強化
　※実施済み :　クラウド基盤をIDCからAWSに変更し、AWSセキュリティポリシーの適用
　　　　　　　　　　ネットワーク接続にAppStream2.0を採用しセキュリティ強化
　　　　　　　　　　脆弱性対応最新セキュリティプログラムの適用
（5）強固な認証方式の利用
　※6/30迄に実施 : 強固なパスワードポリシーの利用(利用者、管理者)
　※早期に実施 : 二要素認証などを活用した強固な認証方式の利用
（6）定期的なアカウントの棚卸
　※6/30迄に実施 : 不要なアカウントの無効化または削除
（7）定期的なログレビューの実施
　※6/30以降 :　ログの安全な保管及び長期保存
　※定期的に実施 :　ログの定期的なレビューや分析による不審なアクティビティの検出
（8）リスクアセスメント、情報セキュリティ監査の定期的な実施
　※7月より月1回　定期的に実施
（9）情報セキュリティの運用体制の見直し
　※実施済み : 情報セキュリティ専門家の活用
　※7月から : 情報セキュリティ部門の増員

以上