美濃工業株式会社は12月25日、10月4日に公表したサイバー攻撃によるシステム障害について、最終報告を発表した。
同社では2025年10月1日から10月4日にかけて、ランサムウェア攻撃者グループ「SafePay」による攻撃を受け、ドメインコントローラー(ActiveDirectory)、仮想化基盤(ESXi)を含む主要な業務系サーバ、一部のクライアントPC等が暗号化され、主要なファイルサーバからデータが詐取される被害が発生していた。
同社では侵入経路について、FortiGate(SSL-VPN)を経由した正規VPNアカウントの認証情報を何らかの方法で突破した侵入で、一時的な利用を目的として2025年4月10日に作成した同社正規VPNアカウントの悪用による侵入であることを確認している。同アカウントは一時的な利用を目的として臨時で作成されたものであったため、非常に容易なIDとパスワードで作成されており、利用終了後に抹消せずにそのまま残存させていた。同社は認証情報の突破方法については特定できていないが、パスワードアタック等で突破されたと推測している。なお、ファームウェアは最新版となっており、脆弱性を利用した侵入ではない。
VPNより侵入後に、Windowsサーバ(Active Directory)管理者権限が奪取されているが、同管理者アカウントもパスワードの強度が低かったため、短時間でパスワードが破られている。また、同管理者アカウントはユーザー名を変更していたが、初期固定値で割り当てられたセキュリティ識別子(SID:S-1-5-<domain>-500)をそのまま利用していたため、容易に管理者だと判別されたものだと推測している。
その後、管理者権限でネットワーク内の探索が行われたが、社内ネットワークがどこにでもつながる構成になっていたため簡単に横展開され、ファイルサーバなどに保管されているデータが詐取されている。
同社では、ランサムウェアについて一部で検体を確保し、詳細調査を実施したところ、ランサムウェアは暗号化を巧妙に行うが、ウイルスを必要以上に複製せず足跡など証拠を極力残さないようにし、自分自身を削除して証拠隠滅をはかるなどの挙動が判明している。
同社では10月28日に、ダークウェブ上の攻撃者が運営しているダークサイトで同社のデータ約60GB程度が公開されたことを確認している。また、インターネット通信機器のログから10月2日夜から10月4日早朝にかけて、300GB程度の情報が外部に送信されたことも確認している。公開データは調査済みで、取引先企業の情報も含まれている。同社保有の個人情報はダークサイトにはないが、流出の可能性は否定できないという。
同社ではセキュリティベンダーの協力のもと、調査、復旧、監視等の対応を実施した結果、社内に侵入していたウイルスの根絶、不正アクセスの侵入経路と攻撃手法の特定、新たな不正アクセスおよびウイルス再侵入の可能性排除等を確認し、それらがないとの判断を得たことに加え、24時間監視体制も整ったことで、「当社のIT環境については安全であることを宣言」している。
同社では今後、約1年程度かけて下記の強化対策を進めるとのこと。
・VPNについては多要素認証などの仕組みを追加する。侵入経路の最重点項目であるので、早期再開せず、慎重に対策を行う予定
・Windowsセキュリティ基盤(Active Directory等)はダメージを受けたため再構築するが、その際に認証機能強化や不正な操作でアラートを出せる仕組みなどを盛り込む
・各種パスワードについてはパスワードアタックで破られないように複雑かつ桁数(12桁以上を想定)の長いものを使い、複数回連続で間違えたらロックする仕掛けなども導入する
・社内ネットワークをいくつかのブロックに分割し、簡単にウイルスが横展開できないように再設計する
・EDRのような不審な動きを検知する仕組みを導入し、それを24時間監視するSOCも導入する。(既に対応済み)
・管理アカウントは用途ごとに権限や範囲を分ける
・一つのファイルサーバに大量の情報を保存していたため一度にデータを詐取されたことを受け、今後はサーバ構成を分割するなど見直し、機密情報は分離保管する
・バックアップデータは通常の保管に加え、オフラインでも保管
・古いWindowsはウイルスの攻撃に弱いので最新OSに更新し、脆弱性管理ができるようにする
・ランサムウェアのインシデント対応手順書をアップデートする
・社員へのセキュリティ教育で不審メール訓練は実施していたが、ランサムウェア対応訓練も追加する
