第一工業株式会社は5月8日、3月25日に公表した同社へのサイバー攻撃について、第三報を発表した。
同社では3月25日に、外部からの不正アクセスによるランサムウェア攻撃があり、同社のデータが暗号化されたことを確認しており、外部専門家の協力のもとで調査を進めていた。
その後の調査の結果、攻撃者は同社データセンター内に設置しているVPN装置から侵入した可能性が高く、現時点で確認されている被害は、同社データセンター内のドメイン参加サーバとNetApp上のファイルに限定されることが判明している。
攻撃者により閲覧された可能性を否定できない個人情報は下記の通り。
・第一工業従業員(退職者含む)に関する情報
氏名、生年月日、性別、住所、電話番号、連絡先、所属、役職、健康情報、その他人事・福利厚生関連情報等
・取引先、仕入先、協力会社等の社外関係者に関する情報
氏名、住所、電話番号、メールアドレス等
調査に当たった外部専門家は、攻撃者による各種ログの消去等の制約で、侵害行為とファイル操作の詳細を網羅的に検証することは困難な状況で、攻撃者により閲覧された可能性を否定できない個人情報を含む同社情報が漏えいしていないことを技術的に証明することは困難であると同社に報告を行っている。
同社では、各種フォレンジック調査等の結果、本件事案が発生してから約40日間が経過した現時点で個人情報および顧客情報を含む外部への情報漏えいを示す証跡、不正利用による被害、攻撃者リークサイト上での情報公開が確認されていないこと、現時点で本件事案に起因すると考えられる不正利用その他の二次被害の報告が無いことから、同社情報が漏えいした蓋然性は低いものと判断している。
同社では、部専門機関の知見を活用しながら、不正アクセスのあった機器に対する隔離・再構築等の適切な対応と、ふるまい検知強化等の残存可能性のあるリスクへの対策を講じているとのこと。
