令和 5年 7月24日
各 位
社会保険労務士法人 労務協会いわて
代表社員 及川 潤
【株式会社エムケイシステム 不正アクセスに関する調査結果のご報告】
弊所が使用する社労士専用システム(社労夢)の開発運用元である株式会社エムケイシステム(以下、MKと表記します)がサイバー攻撃を受けた件について先日お知らせ致しましたが、MKより調査結果が公表されましたので、ご報告申し上げます。本事案について「個人情報の保護に関する法律」によると、個人情報の委託元(貴社)と委託先(弊所)の双方が個人情報保護委員会へ確報報告を行うものとされていますが、委託元・委託先の連名による報告が認められている事から、貴社との連名による確報報告を弊所が作成し、報告を行いたく存じます。皆様に多大なるご迷惑とご心配をお掛け致しました事、深くお詫び申し上げます。
MKよりの調査結果報告
この度、外部専門機関による本事案に関するフォレンジック調査(※)が完了し、その結果、情報流出は確認されなかったとの事です。なお、マイナンバーについては高度な暗号化処理を施しているため、今回の流出の恐れがある情報範囲には含まれておりません。
※フォレンジック調査とは、デジタル機器の記憶装置から証拠となるデータを抽出し、サーバーや通信機器などに蓄積されたログ等の証跡情報から発生事象を明らかにする手段や技術のことをいいます。
1.発生事象
2023年6月5日(月)未明、MK情報ネットワーク内の複数のサーバーがサイバー攻撃を受け、サーバー上のデータが暗号化されました。この攻撃により、暗号化されたデータへのアクセスができなくなり、サービス対象である約3,400ユーザーの大半に対して正常にサービスを提供できない状況となり、再構築を余儀なくされる事態となりました。
2.本事案の対応経緯
2023年6月5日(月)未明、MKのデータセンターで稼働するサーバーへアクセスできないことからシステム異常を認知しました。事象を認知した後、担当者がデータセンターへ入館し状況を確認した結果、サーバーがランサムウェアに感染していることが判明しました。事象確認後、同日9時頃からデータセンターで稼働していた全てのサーバーをネットワークから遮断し、被害拡大防止のための対処を行いました。
3.フォレンジック調査により判明した事実(今後のセキュリティ面を考慮し詳細は非公表)
・外部の第三者による侵入経路の特定 ・不正アクセスの影響を受けたサーバー機器の特定
・侵害状況及び流出の恐れがある情報範囲の特定
4.情報漏洩の有無について
調査の結果、情報窃取及びデータの外部転送等に関する痕跡は確認されませんでした。また、対象情報がダークウェブ等に掲載されていないか調査を実施しましたが、対象情報の掲載や公開は確認されませんでした。以上、調査の結果、情報漏洩の事実が確認されていないことをご報告申し上げます。
5.再発防止策
本事案については、外部専門機関による調査結果を踏まえ、外部専門機関と連携して今後の情報セキュリティ面の強化及び再発防止のための対策を講じております。本ご報告公表時点において対策済みの事項及び今後の対策予定に分けて、それぞれご説明いたします。
(1)対策済
・各機器のOS及びソフトウェアの最新化
・ウイルス対策ソフトを最新化した上でのフルスキャンの実施
・アカウントのパスワードポリシーの強化、パスワード再設定
・エンドポイント端末への EDR 導入及び保護、SOCによる常時監視
・セキュリティ対策を実装したクラウド環境(AWS)での新規構築
・再構築及び再開サービスに対するペネトレーションテストの実施
・アカウントの棚卸し(不要アカウントの無効化または削除)
・ログの安全な保管及び長期保存の設定実施
・ファイアウォールポリシーの見直し、強化
(2)対策予定
・ネットワークセキュリティ対策強化→拠点やセグメント間での通信制御及び監視
・エンドポイントセキュリティ対策強化→ EDR導入による継続的な保護及び監視
・OS及びソフトウェアの更新管理の徹底
・ペネトレーションテスト(脆弱性検査等)の定期的な実施
・リスクアセスメント、情報セキュリティ監査の定期的な実施→外部専門家による外部監査を定期的に実施
・情報セキュリティの運用体制見直し(情報セキュリティ専門家活用)
・情報セキュリティインシデントに対する体制整備(CSIRT構築運用)
・従業員に対するセキュリティ教育(定期的な啓発活動)
・事業継続計画(IT-BCP)の見直し
【個人情報に関する個人の方(本人)のお問い合わせ先】
エムケイシステム個人情報お問い合わせ窓口 (土・日・祝日除く)
・電話番号(フリーダイヤル)0120-351-733
・受付時間:7 月 19 日(水)〜10 月 31 日(火)9:00〜12:00、13:00〜17:00