ソフトバンク・テクノロジー株式会社
代表取締役社長 CEO 阿多 親市
>第二報についてはこちらをご確認ください
>最終報についてはこちらをご確認ください
謹啓
貴社益々のご盛隆のこととお慶び申し上げます。平素は格別のお引きたてを賜り厚くお礼を申し上げます。
このたび、弊社の保持する検証サーバー(保守契約管理システムの検証サーバー、以下 当該サーバー)に対する不正アクセスが確認されました。当該サーバーには、保守契約管理システムの移行作業で利用する取引先情報が格納されたファイルが存在し、不正アクセスを行った第三者(以下、攻撃者)に情報が流出した可能性があることが判明しました。お客様および関係者の皆様に多大なるご心配とご迷惑をおかけいたしますことを、深くお詫び申し上げます。
現在、第三者機関による詳細な調査を行っており、詳細が判明次第、速やかに公表する予定です。弊社および第三者機関において、攻撃者が当該ファイルを持ち出した痕跡を確認する一次調査を行いましたが、情報流出の痕跡は確認されませんでした。詳細については、下記の通りでございます。
記
1.不正アクセスの状況
弊社ネットワーク環境内において、マルウェア(仮想通貨採掘プログラム)検出のアラートが発生し、マルウェアを調査した結果、当該サーバーが不正アクセスを受けていたことが判明しました。当該サーバーには取引先情報が格納されたファイルが存在し、攻撃者がアクセス可能な状態にありました。
当該サーバーはインターネットに接続可能であるにも関わらず、①不要なアカウントが存在し、②当該アカウントのパスワードが脆弱であり、③外部アクセス対策が適切ではなかったことから、攻撃者により不正アクセスを発生させてしまいました。加えて、当該サーバーには検証作業等で利用する取引先情報が格納されたファイルが存在していましたが、④当該ファイルの管理が不十分だったため、情報流出の可能性に発展しました。
なお、攻撃者の振る舞いからは、情報収集ではなく、仮想通貨採掘プログラムのインストールを目的とした攻撃と想定され、弊社および第三者機関の一次調査では情報流出の痕跡は確認されておりません。
2.情報流出の可能性がある取引先企業の担当者情報(当該サーバー内の格納情報)
| 内容 | 件数 |
|---|---|
| 会社名、担当者名、電話番号、メールアドレス | 4,071社、12,534件 |
3.対応の経緯
2017年7月17日(月)19時50分以降、攻撃を受けた当該サーバーはネットワークから遮断しており、当該サーバーに外部からアクセスすることはできません。現在、第三者機関において詳細な調査を行っております。
| 2017/7/17 13:52 | セキュリティ監視チームがマルウェアの実行および通信のブロックを検知。 |
|---|---|
| 2017/7/17 14:08 | CISO、情報システム部門、CSIRTメンバーに情報展開。 |
| 2017/7/17 15:45 | 当該コンピュータのネットワーク隔離を開始。 |
| 2017/7/17 19:45 | マルウェアの調査結果より、不正アクセスを受けた当該サーバーを特定。 |
| 2017/7/17 19:50 | 当該サーバーをネットワークから遮断。当該サーバーの調査開始。 |
| 2017/7/20 10:00 | 当該サーバーが不正アクセスを受けた形跡を確認。当該サーバーの取引先情報が格納されたファイルに、攻撃者がアクセス可能だったことが判明。第三者機関の手配開始。 |
| 2017/7/21 16:00 | 第三者機関による調査開始。 |
| 2017/7/22 13:50 | 第三者機関の一次調査完了。 |
4.今後の対応
一次調査の結果、当該サーバーから取引先情報が格納されたファイルの流出は認められませんでしたが、現在第三者機関の調査中であり、詳細が判明次第公表予定です。調査結果をお待ちいただきますようお願い申し上げます。また、弊社では、このたびの事態を厳粛に受け止め、現状の総点検と再発防止に取り組んでまいります。
■当該サーバーについて
①不要なアカウントが存在した件(アカウント管理不備)
アカウントの棚卸を完了し、必要最低限のアカウント以外の利用を停止しました。
②当該アカウントのパスワードが脆弱だった件(パスワード管理不備)
パスワードの脆弱なアカウントがないか確認し、脆弱なパスワードのアカウントについて利用を停止しました。
③外部アクセス対策が適切ではなかった件(アクセス制御不備)
現在、当該サーバーは調査のためにネットワークから隔離し、外部アクセスができない設定としました。
④取引先データの管理が不十分だった件(情報管理不備)
現在、当該サーバーは調査のためにネットワークから隔離しております。速やかに再発防止のための対策を講じ、順守を徹底します。
■全社システムに対して
上記4つの観点から全社システムの総点検を実施中です。これら以外についても、再発防止に向けた対策や運用の見直しを検討し、最優先として対応を強化してまいります。
5.参考情報
今回発見されたマルウェア(仮想通貨採掘プログラム)の情報
| ファイル名 | java.exe |
|---|---|
| ハッシュ値 | MD5:40f49dbb3e95960d9cb93871931f5b33 SHA1:17d108dc510186713d2daae9ea13790e779b23e9 SHA256:86bfcca2aa4100897ad3c49fed6824286a7db3da1efcf08ced8d5b27ba07bbfe |
| 通信先 | xmr[.]crypto-pool[.]fr:3333 ※記載の通信先については、実際のアドレスから「.(ドット)」を[.]と変更しております。 |
<本件に関するお問い合わせ>
| 取引先各位 | 報道機関向け窓口 |
|---|---|
| ご不明点やご質問、流出の可能性が想定される事案がございましたら、誠に恐れ入りますが弊社担当営業宛にご連絡いただきますようお願い申し上げます。 | コーポレートコミュニケーショングループ Email:sbt-pr@tech.softbank.co.jp |
