不正アクセスの完全な原因究明は困難

調査の結果、攻撃者は同社のネットワークに侵入するため、認証情報を盗み取り、不正使用したと推定された。

侵入後にネットワークを偵察し、複数のサーバにアクセスするための認証情報を収集。その後、脆弱性対策ソフト（EDRなど）を無効化して複数のサーバ間を移動し、権限を取得してネットワーク全体へのアクセス能力を取得した。権限の奪取後、ランサムウェアを複数サーバに感染させて、ファイル暗号化を一斉に実施。その際、バックアップファイルの削除も同時に行われたことが確認されたとしている。

原因を分析したところ、当時のログが削除されていることから、不正アクセスの完全な原因究明は困難という。その上で、例外的に多要素認証を適用していなかった業務委託先に付与した管理者アカウントのID・パスワードが漏えいし、不正利用されたことが確認さたと報告。検知の遅れについては、侵害が発生したデータセンターではサーバにEDRが未導入で、24 時間監視も行われていなかったためと説明している。

復旧が長期化した原因として、侵害が発生したサーバでランサムウェア攻撃を想定したバックアップ環境を構築していなかったことや、セキュリティ対策を適用すべきパソコンやサーバの台数が多かったことなどを挙げた。

事業所向けサービスのユーザー情報59万件など流出

また、これまでに事業所向けサービスの約59万件、個人向けサービスの約13万2000件のユーザー情報などが流出したことを確認した。情報が流出したユーザーに対し、個別に通知しているという。