お知らせ
社内調査・対策チームからの最終報告及び特別損失の計上についてのお知らせ
各位
平成28年1月19日に「弊社セキュリティ環境の調査及び対策設置についての報告」について開示いたしましたが、平成28年2月9日に開催しました臨時取締役会にて社内調査・対策チームより本事件の対応についての最終報告がありましたと共に、それに関連して特別損失を計上することになりましたので、お知らせ致します。
1.社外ネットワーク環境の調査について
外部の調査会社と連携して、今回の不正アクセス事件による社外サーバに対する安全性の確保のために社外ネットワーク環境の調査として下記のプラットホーム診断、Webアプリケーション診断およびフォレンジック調査を実施しました。調査結果につきましては、下記のとおりとなります。
なお、不正アクセスにより窃取された顧客データ(最大3,859件)の項目別件数は、下表のとおりとなります。
|
会社名 |
住所 |
電話番号 |
ご担当者名 |
メールドレス |
件数 |
|
○ |
○ |
○ |
○ |
○ |
1,254 |
|
○ |
○ |
○ |
○ |
3 |
|
|
○ |
○ |
○ |
○ |
946 |
|
|
○ |
○ |
○ |
8 |
||
|
○ |
○ |
○ |
○ |
46 |
|
|
○ |
○ |
○ |
1,020 |
||
|
○ |
○ |
24 |
|||
|
○ |
○ |
○ |
○ |
25 |
|
|
○ |
○ |
○ |
32 |
||
|
○ |
○ |
○ |
11 |
||
|
○ |
○ |
14 |
|||
|
○ |
○ |
8 |
|||
|
○ |
○ |
16 |
|||
|
○ |
452 |
||||
|
3,859 |
3,301 |
3,318 |
2,293 |
1,368 |
3,859 |
(1) プラットホーム診断
実施時期:平成28年1月7日~13日
調査内容:社外サーバの各ホスト①~⑥までの脆弱性検査
本診断における各ホストにおける脆弱性の件数は、下表の通りであります。
|
リスク |
計 |
ホスト名 |
|||||
|
① |
② |
③ |
④ |
⑤ |
⑥ |
||
|
High |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
|
Medium |
4 |
0 |
0 |
0 |
2 |
2 |
0 |
|
Low |
14 |
2 |
1 |
3 |
5 |
3 |
0 |
【リスクレベルの分類基準】
High 緊急性が高く、早急に対応が必要
- 情報漏洩
- ホストへの侵入や任意コマンドの実行
- メール不正中継、プロキシサーバの不正利用など踏み台として利用
Medium 間接的に攻撃に利用され、複数組み合わせることで実害へと発展する可能性が存在、対策が必要
- ユーザやホストのシステム情報取得
- リソースを不正利用
- ホスト、サービス停止
Low 直接的な被害に発展する可能性は低い、対策を推奨
- アプリケーションインストール時に作成される不要ファイルの存在
- ネットワークやホストの構成情報取得
- セキュリティ上の観点から好ましくない設定
上記診断の結果として、弊社の社外ネットワーク環境のセキュリティレベルの総合評価は、下表のとおりとなります。
|
ホスト名 |
総合評価 |
|
① |
AAA |
|
② |
AAA |
|
③ |
AAA |
|
④ |
AA |
|
⑤ |
AA |
|
⑥ |
AAA |
【評価レベルの基準(外部ネットワーク調査会社の診断基準)】
|
AAA |
AA |
A |
B |
C |
|
100~96 |
95~86 |
85~71 |
70~51 |
50~0 |
(2)Webアプリケーション診断
実施時期:平成 28 年 1 月 8 日
調査内容:社外Webアプリケーションの診断
本診断において、サイト、利用者に重大な影響を及ぼし、サイトの社外的信頼性失墜につながると判断され早急な対応が必要となるような重要な問題は確認されませんでしたが、間接的に攻撃に利用される可能性があり、複数組み合わせることで実害への発展のおそれがある改善点が4件確認されました。
(3)フォレンジック調査
平成 28 年1月 19 日に開示しました「弊社セキュリティ環境の調査及び対策設置についての報告」に不正アクセスによる顧客情報の窃取の手口として考えられるのは①Web システムへの管理者権限を持つアカウントのなりすまし(外部から当社サーバに不正アクセスしユーザID及びパスワードを不正取得)によりログインされて情報が持ち出された可能性、②サーバやWeb アプリケーションの脆弱性を悪用され、情報が持ち出された可能性および③SSH(セキュアシェル)サービス等による不正ログインにより、サーバに侵入され情報が持ち出された可能性を記載いたしましたが、アクセスログ情報等を分析するフォレンジック調査を実施する事により、今回の手口は、①Web システムへの管理権限を持つアカウントへのなりすましにより情報が持ち出されたと最終的に判断しております。
●本調査に対する対応について
平成 28 年1月 19 日に開示しました「弊社セキュリティ環境の調査及び対策設置についての報告」の記載のとおり、上記、(1)~(3)の調査に対応するため 26 項目のセキュリティ対策を構築し、当社のセキュリティレベルの強化を図りました。
2.社内セキュリティ環境の調査について
平成 28 年1月 19 日に開示しました「弊社セキュリティ環境の調査及び対策設置についての報告」の記載のとおり、弊社は社内セキュリティへの不正アクセス及び不正使用の痕跡があるかどうか、また、社内クライアントPCにウィルスやスパイウェア等のマルウェアが存在しているなどを調査致しましたが問題は確認されませんでした。
3.弊社セキュリティ製品について
本事件は、弊社のセキュリティ製品のセキュリティレベルに影響を与えることはございません。今回の不正アクセス事件では、御関係者の方々には大変なご迷惑、ご心配をおかけ致しましたことをお詫び申し上げます。
4.業績への影響につきまして
今回の事案に掛かる費用(ネットワーク調査費用、対策設置費用、弁護士費用、お客様対応費用等)は、969 万円程度と見込んでおり、実際の金額につきましては 2 月 15 日に予定しております第 3 四半期の決算報告に特別損失として計上致します。通期業績への影響につきましては、1 月の営業状況及び 2 月、3 月の営業見込を精査し、ご報告させて頂きます。
5.事件の捜査について
本開示は、社内外セキュリティ再構築についての最終報告とさせて頂きますが、警察の事件捜査には、引き続き協力してまいります。事件捜査の進展があった場合には、追ってご報告させて頂きます。
以上
(参考)当期業績予想(平成27年12月18日公表分)および前期実績
|
売上高 |
営業利益 |
経常利益 |
当期純利益 |
|
|
当期業績予想 (平成28年3月期) |
百万円 1,230 |
百万円 231 |
百万円 231 |
百万円 147 |
|
前期実績 (平成27年3月期) |
991 |
172 |
170 |
108 |
【お問い合わせ先】
弊社経営企画室
電話番号:03-5825-9340
受付時間:9:30~17:30(土日、祝日を除く。)