東証プライム上場企業の山一電機株式会社は6月15日、4月22日に公表した同社グループのフィリピン子会社でのランサムウェア被害について、最終報を発表した。
同社グループのPricon Microelectronics,Inc.(フィリピン)では4月17日に、一部サーバでランサムウェア被害の発生を確認しており、外部専門家等と連携のうえで、影響を受けたシステムの保護と復旧対応を進めるとともに、被害状況の確認と原因等の調査を行っていた。
外部専門機関によるデジタルフォレンジック調査とログ解析を実施した結果、Pricon Microelectronicsの一部サーバを対象としたランサムウェア攻撃であることを確認している。また、侵入の起点となった端末を特定したが、攻撃者によるログの暗号化と削除が行われていたため、初期侵入経路の完全な特定には至らなかった。
被害を受けたシステムでは一部端末でデータ消失が確認されたが、バックアップ等を活用した復旧作業を実施し、事業継続に重大な支障を及ぼす影響は発生していない。
外部専門機関によるログ解析の結果、情報の外部流出を示す不審な通信や異常なデータ転送の痕跡は確認されていない。なお、被害対象となったシステムには顧客や取引先、従業員に関する個人情報等が保存されていたが、外部への流出を示す事実は確認されていない。
Pricon Microelectronicsでは、被害のあったシステムのデータ復旧に加え、サーバ環境の再構築を実施し、安全性を確認したうえで4月29日に復旧を完了し、現在はすべてのシステムが正常に稼働している。
山一電機では下記の再発防止策を実施し、グループ全体の情報セキュリティ体制のさらなる強化に取り組むとのこと。
・EDR(Endpoint Detection and Response)の導入と監視強化
・全システム利用者の認証情報の見直し
・特権アカウント管理とアクセス権限管理の強化
・外部専門機関と連携した監視体制の強化
・従業員に対する情報セキュリティ教育の継続的実施
なお同社では、本件に関連して調査費用とシステム復旧費用が発生しているが、現時点で同社の連結業績に与える影響は軽微であると見込んでいる。
