2023年7月19日

お客様各位

株式会社エムケイシステム
代表取締役　三宅　登

当社サーバへの不正アクセスに関する調査結果のご報告

　当社は、当社サービスを提供しているデータセンター上のサーバがランサムウェアによる第三者からの不正アクセスを受け、当社が保有するお客様の個人情報が流出したおそれがあること及びデータの暗号化により正常にサービスが提供できない状況になっていたこと（以下、「本事案」といいます。）について、2023年6月6日から2023年6月21日にかけて公表いたしました。
　この度、外部専門機関による本事案に関するフォレンジック調査（※）が完了し、報告書を受領しましたので、当該調査結果及び再発防止に向けた取り組みにつきましてご報告申し上げます。
　当社システムは現時点でほぼ復旧しており、現時点まで本事案に関わる情報流出は確認されておりません。なお、当社はマイナンバーについては高度な暗号化処理を施しており、今回の流出の恐れがある情報範囲には含まれておりません。
　お客様、顧問先様、お取引先様、関係者の皆様に多大なご迷惑をお掛けしましたことを深くお詫び申し上げます。
※フォレンジック調査とは、デジタル機器の記憶装置から証拠となるデータを抽出し、サーバや通信機器などに蓄積されたログ等の証跡情報から発生事象を明らかにする手段や技術のことをいいます。

1．発生事象
　2023年6月5日（月）未明、弊社情報ネットワーク内の複数のサーバがサイバー攻撃を受け、サーバ上のデータが暗号化されました。この攻撃により、暗号化されたデータへのアクセスができなくなり、結果としてシステムが停止し、当社サービスの対象である約3,400ユーザーの大半に対して正常にサービスを提供できない状況となり、再構築を余儀なくされる事態となりました。

2．本事案の対応経緯
　2023年6月5日（月）未明、弊社担当者が弊社のデータセンターで稼働するサーバへアクセスできないことからシステム異常を認知しました。事象を認知した後、弊社担当者がデータセンターへ入館し状況を確認した結果、弊社サービスを使用しているサーバがランサムウェアに感染していることが判明しました。事象確認後、同日9時頃からデータセンターで稼働していた全てのサーバをネットワークから遮断し、マルウェアの感染拡大や被害拡大防止のための対処を行いました。
　本事案に関する主な対応経緯は以下の通りです。

3．フォレンジック調査により判明した事実
・外部の第三者による侵入経路の特定
・不正アクセスの影響を受けたサーバ機器の特定
・侵害状況及び流出の恐れがある情報範囲の特定
※今後の情報セキュリティ面のことを考慮し、上記判明した事実の内容については、詳細の公表を控えさせて頂きます。

4．情報漏洩の有無について
　調査の結果、本事案がランサムウェアによる侵害であることから、何らかのデータが攻撃者によって窃取された可能性は完全には否定できませんが、情報窃取及びデータの外部転送等に関する痕跡は確認されませんでした。また、現時点において、当社情報がダークウェブ等に掲載されていないか調査を実施してきましたが、当社情報の掲載や公開は確認されませんでした。
　以上、調査の結果、情報漏洩の事実が確認されていないことをご報告申し上げます。
　なお、個人情報に関する顧問先及び一般企業の従業員の方からのお問い合わせにつきましては、末尾記載の【個人情報に関する個人の方（本人）のお問い合わせ先】にて対応いたします。

5．再発防止策
　本事案については、外部専門機関による調査に基づき、「3．フォレンジック調査により判明した事実」により判明した本事案の発生原因を踏まえ、外部専門機関と連携して今後の情報セキュリティ面の強化及び再発防止のための対策を講じております。本ご報告公表時点において対策済みの事項及び今後の対策予定に分けてそれぞれご説明いたします。

（1）対策済
・各機器のOS及びソフトウェアの最新化
・ウイルス対策ソフトを最新化した上でのフルスキャンの実施
・アカウントのパスワードポリシーの強化、パスワード再設定
・エンドポイント端末へのEDR導入及び保護、SOCによる常時監視
・セキュリティ対策を実装したクラウド環境（AWS）での新規構築
・再構築及び再開サービスに対するペネトレーションテストの実施
・アカウントの棚卸し（不要アカウントの無効化または削除）
・ログの安全な保管及び長期保存の設定実施
・ファイアウォールポリシーの見直し、強化

（2）対策予定
　今後、CISControlVersion8（情報セキュリティガイドライン）の管理策を参考とし、以下の対策を推進します。
・ネットワークセキュリティ対策強化
→拠点やセグメント間での通信制御及び監視
・エンドポイントセキュリティ対策強化
→EDR導入による継続的な保護及び監視
・OS及びソフトウェアの更新管理の徹底
・ペネトレーションテスト（脆弱性検査等）の定期的な実施
・リスクアセスメント、情報セキュリティ監査の定期的な実施
→外部専門家による外部監査を定期的に実施
・情報セキュリティの運用体制見直し（情報セキュリティ専門家活用）
・情報セキュリティインシデントに対する体制整備（CSIRT構築運用）
・従業員に対するセキュリティ教育（定期的な啓発活動）
・事業継続計画（IT-BCP）の見直し

6．システム再開や今後の予定
　以下のシステムは、7月中のサービス再開を予定しています。リリース時期は別途ご案内いたします。
・SR-SaaS
・社労夢CompanyEditionV3.4

7．個人情報保護委員会への確報報告手順のご案内について
　上記2．に記載の通り、弊社としましては個人情報保護委員会への確報を本日19日に提出いたしました。ユーザー様各位における同報告に係る手順書を21日にご案内させていただきます。個人情報保護法上、本件確報の提出期限は発覚日から60日以内となっておりますので、何卒宜しくお願い申し上げます。

【個人情報に関する個人の方（本人）のお問い合わせ先】
エムケイシステム個人情報お問い合わせ窓口
・電話番号（フリーダイヤル）0120-351-733
・受付時間：7月19日（水）～10月31日（火）9:00～12:00、13:00～17:00（土日祝除く）
※お電話が混み合いつながりにくくなる可能性がございます。お電話がつながらない場合は、誠に申し訳ございませんが、時間をおいておかけ直しいただけますようお願い申し上げます。
※対象事業所を既に退職されているなど諸事情により、対象者ご本人様への直接のお知らせが困難となっている場合がございます。当事案につきまして不安を感じられた方につきましても本問い合せ窓口までお電話いただければ、ご対応させていただきます。

以上