ランサムウェア被害に対応した安全宣言

過日お知らせいたしました、令和5年2月9日未明の弊社への「身代金要求型ウィルス ランサムウェア」による攻撃に関して、復旧対策後、約2ヵ月経過観察を行ってまいりましたが、令和5年4月26日の状況を持ちまして安全宣言を致します。

2023年4月26日
株式会社ラグロフ設計工房
代表取締役 金重稔

1．情報漏洩について

令和5年4月26日現在、被害発生から 2ヵ月超経過しましたが、弊社から外部への情報が流出した事実は見られておりません。
被害発生以降、定期的に実施しているネットワーク機器のログの調査と社外からの通知がないことによる、現時点での見解です。

2．再発防止策について

当社はこれまでサイバー攻撃に対する様々な対策を講じてきましたが、今回の被害発生以降、対応体制、重要情報管理、早期検知・対処などで、さらなる対策の強化を行い、より高度な攻撃への対応を図り、以下の再発防止策を実施しています。

(1) セキュリティ強化

1) UTM・ルーター

・製品の保守（セキュリティパッチ）提供を確認、適用
・最新ファームウェアの確認
・機器メンテナンス時の独立した専用ポートを使用
・管理者アカウントのパスワードは当社運用規程に則った強固なパスワードとし、管理者アカウントの利用者は情報セキュリティ責任者および情報システム管理者に限定

2) PC

・業務データは原則クラウドで管理、PC 内保存の禁止
・起動時にはネットワーク接続せずにスキャンを実施し退社時には切断を徹底、チェック

(2) 情報セキュリティ規程の徹底運用

・令和4年4月策定の情報セキュリティ規程を全社員に再度周知徹底
・メール管理者のアカウントのパスワードは当社運用規程に則った強固なパスワードとし、管理者アカウントの利用者は情報セキュリティ責任者および情報システム管理者に限定

(3) 社内でのデータ管理及び運用について

業務上、社内での共有を必要とするデータファイルに関しては、社外のクラウドストレージサービス上で 実施。管理及び運用は以下とする。
・従業員個別のアカウントを作成し、2 段階認証機能を有効にすることで不正アクセスを防止
・情報システム管理者の管理のもとフォルダーへのアクセス権を設定し、従業員入社時・退社時・人事異動時･1回/年のセキュリティ監査時に適切なアクセス権のチェックを実施
・有事の際の事実確認のため、アクセスログの収集を実施
・外部ユーザーごとに専用の公開フォルダーを設置（1回/年のセキュリティ監査時に見直しを予定）

(4)社外教育ほか

岡山県警開催のセキュリティ対策訓練「POLICE ファイアウォール」へ全社員で参加し、行動規程を確認する等、社内教育・訓練を実施

以上