コンピュータウイルス届出(ランサムウェア被害)様式 2022年10月27日 (届出者) 住所:東京都○○区××× △丁目△番△号 企業・組織名:(株)○○販売 氏名:□□□□ E-Mail:△△△@××.□□.○○○ TEL:○○-○○○○-○○○○ ランサムウェア被害について、下記のとおり届け出ます。 (以降、該当する事項の□を■にしてください。) ※いずれの項目も書ける範囲のみ記入いただくので構いません。  なお、後日判明した事項などがございましたら、追加でご連絡いただけますと幸いです。                      記 1.発見年月日:2022年10月24日 2.被害を受けたシステム構成:  2-1)被害を受けた機器・台数等:   ■パソコン(30)台   □スマートフォン/タブレット( )台   ・サーバ    □ECシステム( )台    □ウェブシステム( )台    □メールシステム( )台    ■ドメインコントローラ(ActiveDirectory等)(1)台    ■ファイルサーバ(5)台    □データベースサーバ( )台    □その他(                )   □ネットワーク機器( )台   ■NASなどのストレージ機器(1)台   □インターネットサービスのアカウント( )件   □その他(           )   □不明  2-2)被害を受けた機器の設置環境:   ■自組織内に設置(オンプレミス)   □クラウド環境に設置(AWS, Azure等)   □クラウドサービス(SaaS等)   □ホスティングサービスの利用   □インターネットサービス(Microsoft365等)の利用   □クローズド環境(インターネット接続なし)   □その他(         )   □不明  2-3)システムの接続形態図(書ききれない場合には別紙):   メールに添付した別紙の構成図を参照 3.被害発見経緯:  3-1)発見契機:   ・届出者自身(所属組織、運用・保守業者含む)が発見    ■目視で発見    □セキュリティソフトや監視ツール類のアラートにより発見     (社名:        ソフト名:          )   ・外部からの連絡で発見    □顧客・取引先からの連絡    □外部サービスの提供者(クラウドサービス事業者等)からの連絡     (連絡者:         )    □セキュリティベンダ・報道機関・政府組織からの連絡     (連絡者:           )    □その他(                             )  3-2)発見した内容(疑いを持った状況):   業務システムが停止していたためサーバの状態を調査したら、   不正な拡張子が付与されたファイルが多数発見された。   同様のファイルが従業員のPCやNASからも発見され、   PCの画面には英語のメッセージが表示された。 4.被害状況:  4-1)被害の有無:  ※何らか業務に支障が生じた場合には、「被害有り」を選択してください。    ■被害有り    □被害無し(未遂)  4-2)被害の種別:    ■ファイルの改ざん/消去/破壊    ■情報(データ)の窃取/不正閲覧    □窃取された情報の不正公開(暴露)    ■サーバダウン    □サービス妨害/低下    □サーバリソース(CPU等)の不正利用    □ウェブサイトの書き換え    □不正プログラムのインストール    □攻撃の踏み台    □オンラインサービスの不正利用(なりすまし等)    □不正なアカウントの作成    □メールの不正中継・スパムメールなどの不正送信    □その他(                  )  4-3)被害の内容・業務等への影響:  ・複数の機器において、ファイルの拡張子が変更された。   ファイルを開くことができないため暗号化されたものと推測している。  ・サーバのファイルが暗号化されたため、2つの業務システムが停止。  ・社内データを盗み見された恐れが考えられる。   ただし現時点で情報漏えいは確認されていない。  4-4)影響範囲:  ※暗号化されたファイルの総数や総容量など  ・拡張子を変更されたファイルが発見された機器は   サーバ5台、PC 10台、NAS 1台。  ・暗号化されたファイルの総数は確認中。   総容量は不明。  ・その他、VPN機器 1台に不正アクセスされた可能性がある。   詳細調査中。 5.ランサムウェア:  5-1)ランサムウェア名(判明している場合):   LockBit  5-2)暗号化されたファイルに付与された拡張子:   .lockbit  5-3)ランサムノート(脅迫文):    ■脅迫文あり    □脅迫文なし    □その他(                  )      ※脅迫文が表示されたときの画面を撮影した写真がありましたら、添付をお願いします。   なお、テキストやHTMLファイルの場合はセキュリティソフトに検知される恐れがあるため、   画像ファイルに変換したうえで、添付をお願いします。   画像ファイルをメールに添付しました。 6.原因:  6-1)侵入の原因:   調査中。   VPN経由で外部からリモートアクセス可能なようにしていたため、   VPNの設定等に脆弱な箇所があった恐れがあり、重点的に調査している。  6-2)組織内で拡散した原因:  ・ドメインコントローラによるPCの集中管理をしており、   ランサムウェアにその機能を悪用されて管理下のPCに感染が広まった。   ドメインコントローラを乗っ取られた原因は調査中。  ・ファイルサーバやNASでファイル共有の機能を使用していたため、   ファイル暗号化の被害が複数の機器に広がった。  ※いずれも脆弱性を悪用されたと考えられる場合は、わかる範囲で構いませんので、   当該脆弱性についてもご記入ください。   ・脆弱性が存在したシステム・ソフトウェア名(          )、バージョン情報(    )   ・脆弱性の名称、またはCVE番号と呼ばれる脆弱性識別子(           ) 7.事前対策・インシデント対応・再発防止策:  7-1)事前に実施していたセキュリティ対策:   ・インターネットとのネットワーク境界にVPN装置を設置。    社内へのリモートアクセスはVPN経由でのみ可能なようにし行っていた。   ・サーバやPCへのウイルス対策ソフトの導入  7-2)本インシデントの対応内容・時系列:   10月24日:   ・業務システムの停止を検知。    サーバでファイル名の異常が見られたため、    ランサムウェア攻撃を受けたと判断し、調査を開始。   ・調査範囲を社内の全機器に拡大して調べたところ、    複数のPCとNASでも同様の事態が発見された。    直ちに当該機器はネットワークから切断した。   10月26日:   ・システム部で調査した結果、下記の2点が判明した。    (1) VPN装置のファームウェアが最新でなく脆弱性が存在した可能性があること。      侵入経路は継続して調査中    (2) 社内ドメインコントローラに対して、不正な操作がされた形跡があること。    セキュリティ専門業者に詳細な調査を依頼し対策を協議中である。  7-3)回復方法:    □セキュリティソフトで駆除または削除     (社名:        ソフト名:          )    □専用ツールで駆除または復旧(ランサムウェアで暗号化されたファイルを復号するツール等)     社名・ソフト名 または ダウンロード先のURL等(                  )    □ファイルやメールの削除    ■初期化    ■その他(バックアップデータのリストア)    □回復できていない  7-4)再発防止のための対策:   ・VPN利用時のパスワード変更(完了)。さらに多要素認証方式の導入を検討。   ・調査結果が判明次第、追加の対策を検討予定。  7-5)他機関への届出状況:    ■関係省庁    ■個人情報保護委員会(PPC)    ■警察    □セキュリティベンダ 組織名(                     )    □その他(                     ) 8.その他:  8-1)被害規模(概算損失額や対応に要した日数)など:   ・システムの仮復旧までに、弊社の職員10名が7日間対応にあたった   ・警察、個人情報保護委員会、セキュリティ専門事業者(〇〇社)に連絡を行った。  8-2)届出を提出いただいた経緯(他機関から届出窓口の紹介があった)など:   ・個人情報保護委員会から紹介があった。  8-3)サイバー保険    ※サイバー保険の保険金支払いに関する届出の場合は、次の項目もご記入ください。    ・保険会社名(           )    ・保険商品名(           )    また、記載いただいた保険会社からIPAに事案に関する照会があった場合、    IPAが当該保険会社へ届出の内容を開示することを    (□許可する □許可しない) ※被害状況等をご記入いただければ、原因等の詳細は無い状態で届出をいただいても  受理のご連絡をいたしますが、専門業者等へ調査を依頼している場合は、  その結果等を後日追加でご送付願います。                                     以上 --------------------------------------------------------------------------------  独立行政法人情報処理推進機構 セキュリティセンター  コンピュータウイルス届出窓口  E-Mail:virus(at)ipa.go.jp  ※(at)は@に置き換えてください -------------------------------------------------------------------------------- ※この届出はコンピュータウイルス対策基準(平成12年12月28日付 通商産業省告示 第952号)の  規定に基づいています。届け出られた内容は被害の拡大及び再発の防止のために活用しますが、  記載されているプライバシーに関する情報を公表することはありません。  詳細はこちらをご確認ください。  URL: https://www.ipa.go.jp/security/todokede/crack-virus/about.html ver.3.5 (2024/3/27)