弊社に対するサイバー攻撃に関する調査結果

2020年11月10日

お客様・お取引先様 各位
株式会社 社会情報サービス
緊急対策本部

<弊社に対するサイバー攻撃に関する調査結果>

調査結果の概要
  • サイバーセキュリティ専門企業の調査により、今回のサイバー攻撃被害の直接の原因となったマルウェアは、弊社社内ネットワークに不正に侵入した悪意のある第三者によって設置されたことが判明しました。
  • 今回のマルウェアは、他に感染・拡大する能力を保持していないため、社内外に感染・増殖することはありません。また、本マルウェアには外部との通信機能がないため、マルウェアからの情報漏洩はありません(当該マルウェアは弊社内からも完全に除去されています)。
  • 悪意のある第三者がどのように不正アクセスを行ったかはひきつづき調査中です。
顧客・取引先への影響
情報漏洩
マルウェアの活動が確認されている10月20日以降の情報漏洩はないことが確認されています。マルウェア自体に外部との通信機能はなく、当該期間中の不正利用されたアカウントによるファイルアクセスも確認されていません。それ以前の状況については同じ専門企業により調査中です。
弊社からのメール・ファイル送信について
今回のマルウェアは、他に感染・拡大する能力を保持していないため、社内外に感染・増殖することはありません。そのため、弊社からのメールやお送りするファイルによって今回のマルウェアに感染することはございません。
サイバー攻撃の概要・原因
今回のサイバー攻撃は、悪意のある第三者が2020年10月20日-23日の間、特定の 業務用個人PC のアカウント(1アカウント)を利用しVPN経由で不正にアクセスした上で、Active
Directory (AD) の管理者アカウントに不正にログイン、ADサーバーにマルウェアを設置し、グループポリシーを利用して社内ネットワークにマルウェアを配布したことで発生したことが確認されました。
なお、被害の範囲はサーバー5台、業務用個人PC16台に及びました。
VPNアカウント、ADサーバー管理者アカウントの不正入手経路については現在同じ専門企業により調査中です。
攻撃発生時のタイムライン:
10月22日(木)夜間:
  • 社内スタッフから、ファイルサーバー上のファイルの拡張子が変化していること、およびいくつかのファイルが暗号化されていることが弊社IT部門に報告
  • IT部門は緊急事態と判断し、社内ファイルサーバーを停止。
  • 10/22終了時には業務用個人PCへの被害は確認されていない。
10月23日(金):
  • 社内スタッフから業務用個人PCにおいて同様の被害(拡張子変化および暗号化)の報告があり、社内ネットワークを切断、また全社に業務用個人PCの使用禁止を通達。
  • 暗号化が確認された業務用個人PC上に、マルウェアと暗号化に関連すると思われるテキストファイルが発見された。また、社内の複数のアドレスに対し、ファイルの暗号化に関するメールが届いた。
10月24日(土):
  • Active Directory (AD) サーバーが攻撃を受け、有害なグループポリシーを配布していたことが確認された。
10月25日(日)以降はサイバー攻撃前に使用していた社内ネットワーク、サーバー、業務用個人PCはすべて停止。
マルウェアの性質
今回弊社サーバー内、および業務用個人PCの暗号化を行った直接の原因はランサムウェアのようなファイル暗号化機能を持ったPowerShellスクリプトであることが調査の結果明らかになりました。本マルウェアには、ランサムウェアが一般的に保有すると想定されるファイル流出機能、継続的に攻撃者から指令を受けるC2サーバとの通信機能がないことが確認されています。また、Windows OS以外には影響が出ないことも確認されています。
  • 本マルウェアに関するIndicator of Compromise (IOC)
    Hash value:
    • md5: 6f080f2938c6b4b2e678e98e44ac916d
    • sha1: 216faede85e825b46399b4d56c5e29db26551984
    • sha256: aa15e543f3be809608f67bbe83643ca09fc094c60cd77435cd614b5642a8df26
    アクセス元IPアドレス:
    • 45.144.30.30
    ホスト名:
    • LESLIN_CIN09562
    • NTUDJWEIDJQW3
    ファイル名:
    • ssri.ps1
安全対策
本件に対して、以下の安全対策を講じております。
  • 不正侵入に利用されたVPN接続の利用停止(セキュリティ専門業者による安全強化確認後、再開予定)
  • 被害を受けたADサーバー、ファイルサーバーの新環境下(Microsoft Azure)での新規構築
  • 全業務用個人PCのクリーンインストール・パスワードの変更
  • サーバー、全業務用個人PCのEDRによる不正アクティビティ検出能力の強化
  • サーバー監視の組織体制の強化
今後のタイムライン
以下のスケジュールでの業務復旧および、より安全な環境への移行を進めています。
11/9の週……調査サーバー等一部社内サーバー、社内LANの復旧
11/16の週……クリーンインストールした業務用PCの配布開始、順次、共有ファイルの復旧
以上

過去のお知らせ

scroll top