美濃工業株式会社は11月3日、10月4日に公表したサイバー攻撃によるシステム障害について、第四報を発表した。10月21日の第三報までに報告した内容から調査結果が大きく変化したという。
同社では10月1日午後7時31分に、正規の社員用VPNアカウント悪用による社内ネットワークへの侵入を受け、同日午後8時32分にはシステム管理者アカウント権限が悪用され、以降10月4日午前4時45分のVPN切断までの間、組織内探索、同社クライアント端末の制御権が詐取され、複数の当該端末を出口にしてのデータ詐取が実行されている。
10月3日午後8時58分にはシステムの破壊、ファイル暗号化、サーバ初期化等が実行され、10月4日午前1時21分にはランサムノート(身代金脅迫文)が社内フォルダ内に保存されている。
同社では10月4日午前2時25分にサイバー攻撃を確認し、午前2時49分にネットワーク切断を、午前4時45分にはVPN切断を行っている。
同社では10月28日にダークサイトでの情報漏えいの事実を確認、10月29日にはダークサイトの閉鎖を確認しており、11月3日時点で再開していない。
同社では漏えいした内容の調査を進めているが、10月29日にダークサイトが閉鎖したため詳細調査が進められていない。現時点でのフォレンジックの調査にて、300GB程度の不正な通信の容量を確認している。
同社では現時点で下記の対応を実施している。
・EDR、振る舞い検知の新規導入
・より高度なアンチウイルスソフトによる、全サーバ、全端末のウイルススキャン
・全IDのパスワード変更
・VPN含む入口の全封鎖(現状早期再開の予定なし)
・外部とのアクセス制限(システムと切り離したクリーン端末にて接続)
・外部機関による詳細解析(フォレンジック調査)を継続中
同社では引き続き、当犯罪行為に対し安全宣言ができる環境整備に向けて対策するとともに、他団体で同様の被害が減ることを願い、情報を展開するとのこと。
