株式会社村田製作所は4月27日、3月6日に公表した同社のIT環境への不正アクセスについて、第三報を発表した。
同社では2月28日に、同社のIT環境への不正アクセスの可能性を認識しており、社内に危機対策本部を設置するとともに、外部のサイバーセキュリティ専門機関と連携し、影響範囲の調査と被害拡大防止のための対応を進めていた。
同社によると、社外の第三者に不正に取得された、またはそのおそれがある個人情報を含むデータは下記の通り。
・村田製作所の従業員、並びにその関係者(家族・退職者含む):約7.3万件
村田製作所のビジネス上の情報(会社メールアドレス、電話番号、所属、その他人事・労務・福利厚生関連情報など)
会社へ提供した私人としての情報(氏名、生年月日、性別、住所、連絡先、銀行口座情報、健康情報、その他各種申請や手続きのために会社へ提供した情報)
・村田製作所の社外関係者(顧客、仕入先、その他ステークホルダー):約1.5万件
村田製作所との連絡・取引等のために受領した情報(氏名、メールアドレス、電話番号などの連絡先、その他村田製作所との取引に関連して受領した情報)
また、一部の取引先との請求書、契約書、売上等に関するデータなど個人情報以外の同社外に関する情報が取得されたおそれがあるが、二次被害防止の観点から、本情報の詳細については公表を控えるという。
同社では既に、下記の再発防止策を実施している。
・今回不正アクセスを受けた特定システムに対する不審通信元からのアクセス遮断、監視強化
・社内ネットワークへの不正侵入を防止するためのアクセス制限強化
・主要なクラウド環境への不正侵入を防止するためのアクセス制限の段階的実施
・不正ログインやなりすましの防止を目的とした認証方式の強化、権限管理強化
・サイバー攻撃の早期発見と迅速な対応のためのセキュリティ監視の対象範囲と検知ルールの拡充
・安定したセキュリティ運用の実現のためのセキュリティ管理に関する運用プロセスの強化
また同社では今後、技術面・運用面の両面からシステム全体に対する対策の高度化やセキュリティ監視強化と継続的な改善として下記の対策を推進するとのこと。
・不正ログインやなりすまし防止のための認証方式や権限管理の徹底と強化継続
・更なる高度な攻撃に備えるための検知能力の高度化や監視範囲拡大の継続
・被害の早期発見のための自社関連情報の外部流通監視の強化
・継続的なセキュリティ改善サイクル実現のための定期的な外部監査・第三者機関アセスメントの拡充
