NTTコミュニケーションズ(以下 NTT Com)は、当社の設備が攻撃者からの不正アクセスを受けたことを5月7日に検知し、一部の情報が外部に流出した可能性があること(以下 本事象)を5月11日に確認しました。

社内調査の結果、当社の一部サービス(「Bizホスティング エンタープライズ(以下 BHE)」^※1、「Enterprise Cloud1.0(以下 ECL1.0)オプションサービス」^※2)に関する工事情報管理サーバーおよび、当社の社内業務で利用しているサーバー群(以下 社内サーバー群)において、一部の情報が外部に流出した可能性があることが判明しました。

現時点においては、踏み台となったサーバーの停止などの初動措置を終えておりますが、影響を受けた可能性があるお客さまには、順次連絡を差し上げております。あわせて、再発防止に向けた対応を実施しております。

また、個人のお客さまに関する情報は含まれておりません。

関係者の皆さまには、多大なご迷惑およびご心配をお掛けすることとなり、誠に申し訳ございません。心よりお詫び申し上げます。

1.不正アクセス検知後の当社対応経緯

5月7日にシステム主管部門が、当社Active Directory^※3(以下 AD)サーバーに対し、不正な遠隔操作を試みたログを検知し、同日に当該の遠隔操作の踏み台となった社内セグメントのAD運用サーバー(以下 サーバーA)を緊急停止しました。その後、調査を開始し、サーバーAへのアクセス元のBHE/ECL1.0サービス管理セグメントにある運用サーバー(以下 サーバーB)を緊急停止し、社内セグメントのADサーバーから外部への通信をすべて遮断しました。また、マルウエアと通信する外部サイトとの通信を遮断しました。

その後、社内サーバー群のアクセスログを解析した結果、不審なアクセスがあり一部の情報が流出した可能性があることが5月11日に判明しました。

また、今回の不正アクセスによる情報流出の恐れのあるルートは、サーバーB経由であったため、サーバーBのフォレンジック調査^※4を実施しました。その結果、BHE/ECL1.0サービス管理セグメントの工事情報管理サーバー(以下 サーバーC)に不正アクセスされた形跡があることが判明しました。サーバーCのアクセスログを解析した結果、サーバーCに保管されていたファイルが流出した可能性があることが5月13日に判明しました。

なお、侵入経路を調査した結果、サーバーBがあるBHE/ECL1.0サービス管理セグメントに接続されている海外拠点(シンガポール)への攻撃および侵入をきっかけとして、日本のサーバーBに到達したことが判明しています。

【発生事象概要図】

2.お客さまへの影響

現時点で、流出の可能性が判明している情報は以下のとおりです。本事象の影響を受けた可能性があるお客さまには、順次連絡を差し上げております。

• サービス管理セグメントの工事情報管理サーバー(サーバーC)から、サービスに関する工事情報などが流出した可能性があるお客さま数：　　621社

3.今後の対応

BHEは、ご利用中のお客さまの環境を新サービスへ移行しておりました。このたび、移行に伴って撤去を控えていたサーバーB、海外の運用サーバー、ならびに一部の通信経路が、攻撃者の侵入経路として利用されたと考えております。

今後の対策として、新サービスへ移行中の設備に対しても、物理的な撤去が終わるまでは最新の攻撃手法に対応可能なセキュリティ対策を適用し、またお客さまが利用停止される都度、不要な通信経路の停止を徹底いたします。引き続き社内サーバー群の調査を行うとともに、再発防止のためのセキュリティ対策、監視体制のさらなる強化を進め、より一層のサービス品質の向上を図ってまいります。

新たにお知らせすべき内容が判明した場合、速やかに情報を開示してまいりますが、個別のお客さまに関する情報の開示は、機密保持の観点から差し控えさせていただきます。ご理解賜りますよう、よろしくお願い申し上げます。