- ニデックプレシジョン株式会社
日頃よりニデックプレシジョン株式会社をご愛顧いただき、誠にありがとうございます。
このたび、当社のベトナム拠点のニデックプレシジョン(ベトナム)会社(以下、「NPCV」)は、2024年8月12日付けで当社及びニデック株式会社のウェブサイトにて公表させていただきましたとおり(前回内容はこちらをご参照ください。以下、「第一報」)、外部の悪質な犯罪集団(以下、「外部犯罪集団」)から不正アクセスを受け、NPCVのサーバー内のドキュメントやファイルを窃取され、それを元に身代金の支払いを要求されるという恐喝被害が生じました。また、当社が外部犯罪集団の当該要求に応じなかったことを受けて、外部犯罪集団が窃取したドキュメントやファイルをいわゆる闇サイトに公開し、第三者によるアクセスが可能な状況が生じるという被害に至りました(以下、「本インシデント」)。
本通知では、本インシデントに関する当社の現時点での調査結果をご報告申し上げます。
関係する皆さまに正確なご報告ができるよう被害の状況把握に時間を要しましたこと、皆さまにご迷惑とご心配をおかけしておりますことを、心より深くお詫び申し上げます。
1.本インシデントの概要
2024年8月5日、外部犯罪集団よりNPCVのネットワークに不正に侵入し、サーバー内のドキュメントやファイルを窃取したとの通知があり、その後、「身代金」の支払いを求める恐喝がありました。
外部専門家及び当社による調査の結果、NPCVが保有する情報の一部がいわゆる闇サイトに公開され、第三者によるアクセスが可能な状況が生じたことが判明いたしました。
なお、当該公開の後は、新たな攻撃活動、ファイルの暗号化等の被害は生じておりません。
また、本インシデントに関する被害は、NPCV以外の当社グループ会社並びにニデック株式会社及びそのグループ会社では確認されておりません。
これまでの対応経緯の詳細につきましては後述の「7.これまでの対応経緯」に記載しております。
2.外部犯罪集団によって公開された情報
外部犯罪集団によって閲覧された可能性が完全には否定できないファイルのうち、当社が可能な限りの調査を尽くして把握した外部犯罪集団によって公開された情報は以下のとおりです。
ファイル数:50,694
情報の種類:NPCVの社内文書、お取引先様の書簡、グリーン調達、労働安全衛生および方針(業務・サプライチェーン等)関連文書、取引書類(注文書、インボイス、領収書)、契約書等
漏洩した情報に関わるお取引先様には、個別に別途ご案内申し上げます。
3. 原因と対応状況
(1)原因
外部犯罪集団が、NPCVの一般ドメインアカウントのユーザーID、パスワードを何らかの手段で不正に取得してサーバーへアクセスし、当該アカウントの権限で閲覧可能なファイルを窃取したものと考えられます。
(2) 対応状況
暫定対策として、当社全グループ会社にて全ての端末のフルスキャン、パスワードリセット及びサーバーのアクセス権限の見直しを実施、NPCVにおいては侵入の端緒と考えられるVPN(※)装置については、十分な対策が講じられるまでその運用を停止することといたしました。
※「Virtual Private Network」の略称で、インターネット上に設定された仮想の専用線であり、特定の人のみが利用できる専用ネットワークを指します。
4.二次被害、またはそのおそれの有無、及びその内容
漏洩した、または漏洩等の可能性のある情報の中に、経済的な二次被害を直接生じさせ得る情報は含まれておりません。また、現時点で、本インシデントに起因する情報の不正利用等の二次被害については確認されておりません。
万が一、当社グループを騙り、または本インシデント攻撃者を自称する等の不審なメール等を受信された場合は開封せず、また、当該メッセージに記載されたURL等へのアクセスはしないようお願い申し上げます。
5. 再発防止策
今後も外部セキュリティ専門機関、外部弁護士と相談しながらセキュリティ・システムの強化、社員の再教育等を継続して行い、再発防止策を講じることで、お取引先様により安心・信頼いただける環境を構築することを目指して取り組みを進めて参ります。
6.お問い合わせ窓口
本インシデントに関するお問い合わせ窓口
電話番号:03-3965-1115(本社・総務人事部)
受付時間:9時~17時(平日)
7.これまでの対応経緯
本インシデントに関する当社グループのこれまでの対応経緯は以下のとおりです。
・8月5日、外部犯罪集団より犯行声明のメッセージを受領。
・8月6~8日、セキュリティインシデントに関する外部専門家への相談を開始し、調査を実施。
・8月9日、調査により、外部犯罪集団からサンプルを掲載したとして提示されたウェブサイト(以下、「リークサイト」)に、NPCVから窃取したと思われる情報が公開され、第三者からのダウンロードが可能な状態になっていることを確認。
・8月12日、これまでの状況を踏まえ、当社のホームページにおいて、第一報を公表。
・8月15日、NPCVにて、情報漏洩の被害を受けたことについて、ベトナムの地元警察へ届出を実施。
・8月28日、外部弁護士との相談を開始。その後のやり取りにより、日本の個人情報保護法に基づく報告義務がないこと等を確認。
・9月6日、外部調査会社の継続調査及び外部弁護士への相談を経て、NPCVにて、ベトナム・公安省サイバーセキュリティ及びハイテク犯罪予防管理局へ個人情報保護法令に基づく届出を実施。
・9月7日、外部犯罪集団がリークサイトに追加情報を掲載し、その旨をSNSに投稿していることを確認。
・9月9日、外部犯罪集団により窃取された情報がリークサイトでダウンロード可能な状態となっていることを確認。
・9月12日、NPCVにて、ベトナム・ハイテク犯罪予防管理局へ追加の情報漏洩に関する被害届出を実施。
お客様をはじめ、関係者の皆様にご迷惑及びご心配をおかけする事態となりましたこと、改めて深くお詫び申し上げます。
以上
