金融・保険外部監査専門機関

大阪本社:

06-6131-8377

平日 9時00分~17時00分

無料面談/相談
お問い合わせ
お問い
合わせ
お気に入り
登録

マルウェアエモテット感染後による対応・経緯のご報告<2019年1月14日更新>

ホーム > > マルウェアエモテット感染後による対応・経緯のご報告<2019年1月14日更新>

この度、2019年12月7日、弊社の社員のパソコンがウィルスに感染したことにより、
不審ななりすましメールを受信されている皆さまには、多大なご迷惑とご心配をおかけしていますことを心より深くお詫び申し上げます。
本事案発生に伴い、2019年12月12日に個人情報保護委員会へ不正アクセスによる個人情報漏洩事案として報告致しました。また現在におきましても、個人情報保護委員会ならびに専門業者と連携を図り対応を進めているところではございますが、現時点の状況報告をさせていただきます。

<事案概要>
今回、ウィルスが添付されたMicrosoft Wordファイルの編集の有効化をしてしまったことで、マルウェアエモテットに感染し、メール送受信データ内の電子メールアドレス(氏名含む)および、過去にやりとりを行ってきたメール本文の内容が流出。

(1)令和元年12月7日  :顧客名を装い「請求書を送ります」の件名で社内数名のアドレスにMicrosoftWordファイル付き不正メールが届く。同日不適切メールと判断し開封せずに消去する旨の社内通知を送付。幹部役職員による情報共有を実施。

(2)令和元年12月9日:14時00分頃、顧客Aの経理担当者より当社社員Aに対し「7日(土)に当社社員Aより 請求書送付のメールが迷惑メール届いていたが、何か送ったか」と確認を受ける。送付の事実が無い為削除を依頼する。同時に当社社員Aより幹部役職員に対し上記の連絡を受ける。幹部役職員は、サーバーの乗っ取りを疑い、サーバーの不正アクセスログ状況を確認。

(3)同日15時00分頃:社内共通アドレスに大量の不正メールが届く。同時に当社利用のサーバー会社より、異常を感知したため、メールアドレスを一時的に使用不可にした旨の通知が届く。幹部役職員はウイルス感染を疑い、サーバー内の送受信歴全消去を実施、またサーバーのIDおよびパスワードの変更を実施。

(3)同日16時15分~16時30分頃:当社社員Aが顧客Bおよび顧客Cの事務担当者より電話にて「当社社員Aより請求書送付のメールが届いているが、これは迷惑メールか」との連絡を受ける。

(4)同日16時45分頃:当社社員Aより幹部役職員に対し、上記顧客Bおよび顧客Cから連絡があった旨の電話連絡を受ける。

(5)同日17時45分頃:顧客Dより幹部役職員に入電。「ウイルスと疑わしいメールが7日(土 )に1回、8日に数回と、当社社員Aの名前で届いており、内容は以前、当社より送ったメールが引用されて頭に「RE」が付帯してきている」との連絡あり。

(6)同日19時35分頃:顧客Eより、当社社員Aに対して迷惑メールが届いている旨の連絡を受ける。また同時刻、緊急で全役職員を招集し状況を確認。幹部役職員よりメー ルの内容や送信されている状況から考えて、マルウェアエモテットによる感染と判断。当社A社員より7日の不正ファイルの開封事実を確認。過去の顧客名から請求書送付の件名通知であったことで、確認をするため添付ファイル (Word)を開封、ファイルを有効化するも英文字画面となり不審に思いデータをすべて削除したと確認する。

(7)同日20時00分頃:ウイルス感染したと思われる当社社員Aのパソコンのフルスキャンで脅威を確認するも検知無し。

(8)同日23時00分頃:再度、当社社員Aのパソコンのフルスキャンで脅威が検知される。よって、ウイルス感染した当社社員Aの電子メールアドレスの削除、サーバーの再設定、感染以外の全てのパソコンンのフルスキャン実施による脅威の確認等を実施。脅威の検知無し。(社内においてランケーブルの使用無し。)

(9)令和元年12月10日14時30分頃:JPCERTコーディネーションセンターへ事態を電話にて通知、マルウェアエモテット感染であるとの判断を受ける。

(10)同日18時00分頃:専門業者へ事態を説明する。マルウェアエモテット感染であると再度の判断を受ける。

(11)同日18時30分頃:当社ホームページにおいて感染の事実と注意喚起を公表。および現取引先に対して「お詫びと注意喚起」の電子メールを送付。

(12)同日23時45分頃:関係先全てに対し「お詫びと注意喚起」のメールを送付。

(13)令和元年12月11日:現取引先並びに関係先に対し、各担当者から電話による注意喚起の連絡および感染、被害状況の確認。(対応・確認件数:32件)

(14)令和元年12月12日:先日に続き、現取引先並びに関係先に対し、各担当者から電話による注意喚起の連絡および感染、被害状況の確認。(対応・確認件数:31件)
(15)同日19時00分頃:個人情報保護委員会へ今回の漏洩事案について報告を行う。

(16)令和元年12月13日:先日に続き、現取引先並びに関係先に対し、各担当者から電話による注意喚起の連絡および感染、被害状況の確認。(対応・確認件数:31件)

(17)令和元年12月16日:先日に続き、現取引先並びに関係先に対し、各担当者から電話による注意喚起の連絡および感染、被害状況の確認。(対応・確認件数:24件)

(18)令和元年12月17日:先日に続き、現取引先並びに関係先に対し、各担当者から電話による注意喚起の連絡および感染、被害状況の確認。(対応・確認件数:18件)

<発生原因>

当社A社員に対し過去の顧客名による件名「請求書送付」の通知であったことから、添付ファイル(Word)を開封、ファイルを有効化するもMicrosoftの英文字画面となり不審に思いデータをすべて削除した。しかし、この動作によってマルウェアエモテットに感染。(ウィルスが作動)

<漏えい等した個人データ又は 加工等情報の内容と係わった件数>
種類:顧客情報
項目:氏名、メールアドレス、メール本文の内容(一部)
件数:71件

<二次被害の有無>
令和元年12月10日時点で、なりすましメールの添付ファイル(Word)を開封してしまったとの連絡を3件受けるも、その後の二次被害の報告は受けておらず、継続して現在も調査中。

<被害拡大防止策と再発防止策>
①ウイルス感染したパソコンの利用停止
②ウイルス感染した電子メールアドレス・ドメインの削除
③疑わしい電子メールアドレスの一部変更
④全てのパソコンのセキュリティレベルを高設定に変更
⑤当社サーバーの迷惑メールフィルタをレベル高に変更
⑥全てのパソコンのメールボックス送受信歴の削除
⑦電子メールによる添付ファイルの送受信の制限(添付ファイル送信においては原則禁止。高セキュリティストレージサービスを介しての送信を利用)
以上が現時点におきます状況のご報告となります。

以下に再度、注意喚起事項として、
不審メールの内容について記載させていただきますのでご確認いただけますようお願い申し上げます。

【現在確認されている不審メールの一例】2020年1月14日更新

1.メール送信者の表示名と送信元アドレスに相違がある。(弊社の社名や社員の名前が表示されていますが、送信元のメールアドレスは、本来の(@legal-holdings.co .jp)とは全く異なるものとなっております。
2.メール本文の最初に、弊社または弊社の社員が送信したかのように(●●●●@legal-holdings.co.jp)のアドレスが記載されている。
3.開封させることを目的とした、「アルファベットの羅列」または「ご入金額の通知」のwordファイ ルが添付されている。
4.メール本文に「ご入金額の通知・ご請求書発行のお願い200_2019_●‗●」と記載があり、「添付いたし ますのでご確認ください。内容に齟齬がございませんでしたら、黒線太枠内をご記入いただき、社判を捺印の上、下記、住所までご郵送くださいませ。」との内容になっている。
5.メール本文にURLをクリックし、内容の確認を求める内容になっている。
6.メール本文に「TO 関係各位 お世話になります。※本件、役員 各所属 部・課長へ配信しております。大変申し訳ございませんが、各担当への展開 出席調整願います(配信漏れ等ございましたら、展開頂く様お願い致します)【会議開催通知】添付いたしますのでご確認ください。」との内容のもとWordファイルが添付されている
※上記6.は2020年1月14日に新たな内容として確認されたため追加しました。

 

なお、不審ななりすましメールは弊社の社員が送信したものではございません。

受信された際は、添付ファイルの開封やURLのクリック等は行わず、メールごと削除していただくようお願いいたします。 万が一、皆さまのパソコンで弊社の社員を装った不審なメールの添付ファイルを開封された場合、お手数ではございますが、直ちに御使用中のパソコンからLANケーブルを抜き、御社のセキュリティ管理者にご報告いただくなど、必要な措置を講じていただきますようお願いいたします。 また、皆様におかれましてもウィルスの感染がないかをかご確認いただき、直ちにセキュリティソフトでウィルススキャンを実施していただくよう、お願いいたします。

本事案発生に伴いまして、不審なメールを受信された皆さまには多大なご迷惑とご心配をおかけしていますことを改めて心より深くお詫び申し上げます。
弊社は今回の事態を厳粛に受け止め皆様への注意喚起と被害拡大防止、再発防止に引き続き努めてまいります。
なお本件事案発生以降、書類等の種類を問わず、お客さま(お取引さまを含む)に対してEメールによる添付送信を廃止し、オンラインストレージサービスを利用した書類等の送付方法に変更しておりますので、弊社名または弊社社員名による添付ファイルによる受信メールを確認された場合は、なりすましメールとして削除をお願いいたします。
本件に関してのお問合わせは、リーガル・ホールディングス株式会社経営管理部までお願いいたします。
TEL(06)6131-8377