1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 美濃工業へのサイバー攻撃の情報 漏洩「極小」から「相当量」-ランサムウェア グループ SafePayが犯行声明

美濃工業へのサイバー攻撃の情報 漏洩「極小」から「相当量」-ランサムウェア グループ SafePayが犯行声明

セキュリティニュース

投稿日時: 更新日時:

美濃工業へのサイバー攻撃の除法漏洩「極小」から「相当量」-ランサムウェアグループ SafePayが犯行声明

美濃工業株式会社は、ランサムウェアによるサイバー攻撃の第四報(11月3日)で、第三報までの評価を「極小容量の通信」から「相当量の通信」に訂正し、顧客情報・個人情報の一部流出を確認したと発表しました。新たなフォレンジック結果では、約300GBの不正な通信量が確認されています。10月28日にはダークサイト上で流出の事実を確認、翌29日に当該サイトは閉鎖され、以降は再開していない状況です。

判明している被害の範囲

  • 情報流出顧客情報・個人情報の一部が外部流出。フォレンジックでは約300GBの不正通信量を確認(調査継続中)。

  • 取引先への二次被害現時点で具体的な不正利用や被害は確認されていない

  • 暗号化・破壊:ファイル暗号化・サーバー初期化が確認済み。

ランサムウェアグループ SafePayが犯行声明

10/25ランサムウェアグループ SafePayがダークウェブ上で同社へのサイバー攻撃を主張していましたが、当時からサンプル情報も公開されておらず、11/4時点でもリークサイトへアクセスできない状態になっており、

11/5時点でリークサイトが復活しましたが、引き続きサンプルデータは公開されておらず真偽は不明です

技術的分析(侵入経路と攻撃手口)

  • 侵入経路社員用VPNの正規アカウント情報の不正使用。装置の既知脆弱性悪用ではなく、認証情報の窃取/不正取得が起点。

  • 権限昇格:管理者アカウントの悪用により横展開(ラテラルムーブメント)が容易化。

  • データ持ち出し複数クライアントを外向きの出口として用いることで、通信の分散・秘匿性を高めつつまとまったデータ量の外送を実施。

  • 破壊・恐喝:暗号化・初期化で業務継続性を毀損し、ランサムノートで金銭的圧力を掛ける典型的な二重(または三重)恐喝モデルの態様。

現在の対策状況(同社公表)

  • EDR/振る舞い検知の新規導入、全サーバ・端末の高機能AVスキャン

  • 全IDのパスワード変更VPN含む入口の全封鎖当面再開予定なし)。

  • 外部アクセスはクリーン端末経由(本番系と分離)。

  • 外部機関によるフォレンジック継続

侵入から暗号化・持ち出しまで

  • 10/1(水)19:31:社員用VPNアカウントを正規ID/パスワードの不正利用で悪用し、社内ネットワークへ侵入(デバイス脆弱性経由ではない)。

  • 10/1(水)20:32システム管理者アカウント権限を悪用。以降、

    • 組織内探索(ディスカバリ)

    • クライアント端末の制御権奪取

    • 複数端末を出口に用いたデータ搾取(外部送信)
      10/4(土)04:45のVPN切断まで継続。

  • 10/3(金)20:58システム破壊/ファイル暗号化/サーバー初期化を実行。

  • 10/4(土)01:21:ランサムノート(身代金要求文)を社内フォルダへ配置。

事故対応(初動と通報)

  • 10/4(土)02:25:攻撃を確認。02:49 ネットワーク遮断/04:45 VPN切断

  • 同日:顧客・関係各所・警察へ連絡、受注・生産・出荷・資金決済系のシステム確認と復旧開始。

  • 10/7(火):外部接続制限を開始。

  • 10/8(水)個人情報保護委員会へ流出可能性を報告

  • 10/10(金)フォレンジック調査を本格開始。

  • 10/28(火)ダークウェブで情報流出を確認

  • 10/29(水)ダークウェブが閉鎖(11/3現在も再開なし)。

    利害関係者が取るべき行動(実務的アドバイス)

    • 取引先・顧客

      • 取引関連の不審メール/添付/URLに注意(なりすまし・追加詐欺の予防)。

      • 登録情報の使い回しパスワード変更、不要な公開情報の棚卸し。

      • 必要に応じて信用情報モニタリング等の自己防衛。

    • 仕入・物流・金融関係先

      • 取引データ(口座・与信・出荷指示)に改ざんがないか二者照合を強化。

      • 通信経路の**署名・暗号化・改ざん検知(ハッシュ照合)**の徹底。

    • 社内関係部署(参考)

      • インシデント連絡網の再点検、緊急時の支払差し止め基準の統一。

      • 受発注・与信・出荷の例外処理フローを臨時強化(追加承認・本人再確認)。

    関連記事

    奈良県職員の健康診断結果が誤送信、142名分の要配慮個人情報が一斉送付される奈良県職員の健康診断結果が誤送信、142名分の要配慮個人情報が一斉送付される SonicWall(ソニックウォール)、不正アクセスで全クラウドバックアップ 顧客のファイアウォール 設定が盗まれるSonicWall(ソニックウォール)、不正アクセスで全クラウドバックアップ 顧客のファイアウォール 設定が盗まれる Sensata Technologies(センサータ テクノロジーズ)、ランサムウェア 攻撃 被害を公表 一部業務に支障、情報漏洩の可能性もSensata Technologies(センサータ テクノロジーズ)、ランサムウェア 攻撃 被害を公表 一部業務に支障、情報漏洩の可能性も 日本ジッコウがランサムウェアの被害を公表、復旧作業と調査を進行中日本ジッコウがランサムウェアの被害を公表、復旧作業と調査を進行中 情報資産管理台帳とは?目的や記入すべき内容、サンプルを解説情報資産管理台帳とは?目的や記入すべき内容、サンプルを解説 ランサムウェア グループ Gunraがトーモクへの不正アクセスによるサイバー攻撃を主張ランサムウェア グループ Gunraがトーモクへの不正アクセスによるサイバー攻撃を主張 ランサムウェア 攻撃 グループ Qilinが宇都宮セントラルクリニックへの不正アクセスと情報窃取を主張ランサムウェア グループ Qilinが宇都宮セントラルクリニックへの不正アクセスと情報窃取を主張 AIや生成AIの情報漏洩 事例を解説AIや生成AIの情報漏洩 事例を解説 ランサムウェア 攻撃 グループ「Qilin」が光精工への不正アクセスと情報窃取を主張ランサムウェア 攻撃 グループ Qilinが原田工業へ不正アクセスと情報窃取を主張