当社グループ名古屋地区のネットワークに対する第三者からの不正アクセスに係る件
三菱重工グループ(以下、「当社グループ」)名古屋地区のネットワークが第三者による不正アクセスを受けたことを確認いたしましたのでお知らせします。
本年5月21日に、当社グループ名古屋地区のサーバから外部不正通信を検知し、調査を開始しました。同地区のデータ通信内容を確認したところ、5月22日には、不正アクセスを受けた機器(以下、「当該機器」)が判明したため、当該機器をネットワークから遮断する等の初動対策を直ちに行った後、通信ログ等の解析を開始するとともに、関係各所へ適宜、報告を行ってまいりました。
社内調査の結果、本事案において、機微な情報や機密性の高い技術情報、取引先に係る重要な情報の流出はないことが確認されました。
お客様や関係者の皆様にご心配とご迷惑をおかけしたことを、深くお詫び申し上げます。情報セキュリティ対策および監視体制の強化を今後も継続してまいります。
【確認された不正アクセスの概要】
1. 経緯
4/29 | 当社グループの従業員が、在宅勤務時に自宅で社内ネットワークを経由せずに外部ネットワークへ接続、SNS(ソーシャル・ネットワーキング・サービス)を利用した際に、第三者から受領したウイルスを含んだファイルをダウンロードしたことにより、当該従業員の社有PCが感染。 |
5/7 | 当該従業員が出社し、社内ネットワークに接続。 |
5/18 | 社内ネットワークを通じ、感染が拡大。 |
5/21 | 外部不正通信を検知し、調査を開始。 |
5/22~ | 不正アクセスを受けた機器が判明したため、ネットワークから遮断する等の初動対策を直ちに行った後、通信ログ等の解析を開始。 |
6/16~ | パケット情報を分析、その解読・精査を開始。 |
7/21 | 流出を確認した情報の精査を完了。 |
2. 調査結果
感染が認められた社有PCおよびサーバを特定し、これらについて調査した結果、当社グループの機微な情報や機密性の高い技術情報、取引先に係る重要な情報の流出はありませんでした。
なお、当該機器からの不正通信は、暗号化されていましたが、保管していたパケット情報を分析、解読して、流出した情報や攻撃者の動向を把握できました。
その結果、流出した主な情報は、当社グループのネットワークを利用する従業員等の個人情報(氏名およびメールアドレス)のほか、サーバのログ、通信パケット、サーバ設定情報等のIT関連情報であることを確認しています。
3. 発生原因と対策
本事案は、SNSを悪用したソーシャルエンジニアリングが発端となっているため、その具体的内容を社内に周知し、注意喚起いたしました。
また、本事案発生時点では、社有モバイルPCを社内ネットワークを経由せずに外部ネットワークに接続し、利用することが可能な状態にあったことが、悪意のあるソーシャルエンジニアリングによる被害につながったものと考えております。本事案を受け、社有PCを外部ネットワークに接続する際、強制的に社内ネットワークを経由する処置(VPN強制接続)を適用しました。
影響範囲が当該従業員の社有PCから他機器に広がった要因として、同地区の一部のサーバのローカル特権アカウントに対し、同じパスワードが設定されていたことが考えられます。
(特権アカウントを悪用され他機器にログインされたものと考えております。)これらに対し、ローカル特権アカウントのパスワードを全て異なるものに変更する対策を実施済みです。
今後も、社内の監視体制等を一層強化することにより、再発防止に努めてまいります。
4. お客様および関係各所への対応について
お客様および関係各所には、本事案確認当初から適宜連携をとりながら調査を進め、報告を行ってまいりました。
今後も必要な対策や一層の管理強化につき、ご指導を賜りながら進めてまいります。
以上