美濃工業、ランサムウェアによるサイバー攻撃の被害 最終報告を公表

セキュリティニュース

投稿日時: 更新日時:

美濃工業、ランサムウェアによるサイバー攻撃の被害 最終報告を公表

美濃工業株式会社は2025年12月25日、外部からの不正アクセスによるサイバー攻撃について最終報告および安全宣言を発表しました。同社は、調査・復旧・監視対応の結果、ウイルスの根絶と侵入経路の遮断が確認できたとして、現在のIT環境は安全な状態にあるとしています。

関連:美濃工業、サイバー攻撃で従業員等の個人情報漏洩の恐れ(2026年2月発表)

現在の稼働状況と安全宣言の根拠

同社によると、主要システムの応急復旧は完了しており、業務は通常通り稼働しています。生産活動や出荷、金融機関との取引への影響はなく、事業運営に支障は出ていません。

安全宣言の根拠として、侵入経路が特定され完全に遮断されていること、約1か月にわたる社内端末の監視で不審な挙動が確認されなかったこと、高度なセキュリティソフトによるスキャンでも問題が検出されなかったことなどを挙げています。また、悪用された管理者アカウントを含むすべてのユーザーアカウントのパスワード変更も実施済みです。

ランサムウェア攻撃の概要

攻撃は2025年10月1日から4日にかけて発生しました。ランサムウェアグループ「SafePay」による攻撃で、Active Directoryを担うドメインコントローラーや仮想化基盤(ESXi)を含む主要な業務系サーバー、一部クライアントPCが暗号化されました。また、主要ファイルサーバーからデータが不正に取得されたことも確認されています。

関連:美濃工業へのサイバー攻撃の情報 漏洩「極小」から「相当量」-ランサムウェア グループ SafePayが犯行声明

侵入経路と原因分析

侵入経路は、FortiGateのSSL-VPNを経由した正規VPNアカウントの悪用でした。

ファームウェアは最新で、既知の脆弱性を突いた攻撃ではなかったとしています。

問題となったVPNアカウントは、2025年4月に一時利用目的で作成されたもので、IDやパスワードの強度が極めて低く、利用終了後も削除されずに残っていました。2025年5月以降、組織外IPアドレスからログインが成功していた形跡があり、10月1日に本格的な侵害活動が始まったと説明しています。

管理者権限の奪取と被害拡大

VPN侵入後、Windowsサーバーの管理者権限が奪取されました。管理者アカウントはパスワード強度が低く、SIDも初期設定のままだったため、攻撃者に容易に特定されたとみられています。

その後、ネットワーク内の探索と横展開が行われ、ファイルサーバーに保存されていたデータが不正に取得されました。確保されたランサムウェアの検体解析から、証拠を残さないよう自己削除するなど、痕跡隠蔽を意識した挙動も確認されたとしています。

情報漏えいの状況

2025年10月28日、攻撃者が運営するダークウェブ上のサイトにおいて、同社のデータ約60GBが公開されていることを確認しました。一方、通信ログの分析では、10月2日夜から4日早朝にかけて約300GBのデータが外部に送信されていた形跡も確認されています。

公開されたデータには取引先企業の情報が含まれていました。個人情報についてはダークサイト上での公開は確認されていないものの、流出の可能性を完全に否定できないとしています。

インシデント発覚後の対応

攻撃確認後、同社は各拠点間の通信回線切断、外部からのVPN接続停止、感染疑い端末の隔離を実施しました。あわせて、セキュリティベンダーによるフォレンジック調査を行い、警察や個人情報保護委員会、主要取引先への報告も行っています。

バックアップサーバーは無事だったため、生産に必要なシステムから順次復元を進め、全社員のアカウントパスワードも強制的に変更しました。

再発防止に向けた取り組み

同社は今後約1年をかけて、再発防止策を段階的に実施するとしています。具体的には、VPNへの多要素認証導入、Active Directoryの再構築と認証強化、パスワードポリシーの厳格化、ネットワークのセグメンテーション、EDRとSOCによる24時間監視体制の整備などを進めます。

さらに、機密情報の分離保管、オフラインバックアップの併用、古いOSの更新、インシデント対応手順書の改訂、社員向けのランサムウェア対応訓練の追加など、組織全体でのセキュリティ強化を図るとしています。