ニップンおよびグループ会社、サイバー攻撃による不正アクセスにより企業情報及び個人情報が流出の恐れ

発表日時2021/8/16

ニップンおよびグループ会社にてサイバー攻撃による不正アクセスにより企業情報及び個人情報が流出の恐れ。同社にて、グループ子会社のニップンビジネスシステムが管理および運用している、同社グループの情報ネットワークにおいて、大部分のサーバーおよび一部の端末に対し、同時多発的に全部または一部を暗号化するといった内容のサイバー攻撃によるシステム障害が発生し、同社およびグループ会社が保管する企業情報及び個人情報の一部が流出した可能性があることが判明した。

システム障害発覚後、社内および社外とのネットワークを遮断し調査を開始。調査の結果、被害状況は、同社単体の財務管理、販売管理といった主要な基幹システムサーバやデータが保存されているファイルサーバを含め広範囲に及び、グループネットワーク内で運用している国内グループ会社の販売管理システム（11 社利用）と財務会計システム（26 社利用）であり、全サーバーの停止と社内外のネットワークの遮断を行ったが、それにより、基幹システムをはじめとする全ての社内システム、データが保管されている共有ファイルサーバへのアクセスも不可になった。また、外部専門家の調査により、本件は、サーバのボリュームもしくはサーバの内部に格納された電子ファイルの大部分に暗号化が施されており、システムの起動そのものが不可能であること、サーバの早期の復旧に有効な技術的手段が現状確認されていないこと、システムのデータバックアップを管理するサーバにおいても同様の状況であるため、データの復旧の、有効な技術的手段も現状確認されていないことが報告された。

同社によると、システム障害に対しての BCPについては、災害に備え、データセンターを分散設置していたが、一度の攻撃でサーバの大半が同時攻撃を受けたことで、BCP で想定していた事態を大きく上回る状況となり、サイバー攻撃等に対するセキュリティ対策製品も導入するなどしていた。今後については、情報システムの復旧には全面的なネットワーク環境の見直し、サーバの再構築、会計データの再取得等に相応の期間を要するため、主要システムの早期の復旧は難しく、財務会計システムにおいても、早期復旧の可能性が低いことから、決算作業の早期実施のため、同社単体と一部のグループ会社については、別環境にてシステムの導入を行い、他グループ会社は、バックアップデータが被害を受けていなかったため、安全性を確認のうえ、システム障害発生前の状態に復旧し、決算業務を進めるとし、延期を公表していた第 1 四半期連結決算発表は、11月に発表出来る予定であるとしている。

外部の専門家による調査の結果、本件についてランサムウェアやその他マルウェアに該当するものは発見されておらず、直接的な要因は攻撃者自身による直接の不正アクセスによるものと推定され、さらに情報漏えいの可能性に係る調査の結果、一部の PC・サーバ等に外部か
らのアクセスの痕跡が確認されたため、流出の有無について確認を行っている。延期を公表していた第 1 四半期連結決算発表については、8 月中旬に決算処理を再開し、10 月29 日に発表行い、11月15日には、第１四半期報告書の提出を行った。なお、第 2 四半期決算作業については、会計データに連動している業務管理や物流管理等、停止した基幹システムの復旧が受発注機能のみを搭載した代替システムの仮復旧に留まっていることから、主要の基幹システム復旧が第 3 四半期末日以降にずれ込んでおり、本来であれば、取引データが自動的に処理されていたが、すべてエクセル等による手作業で処理せざるを得ない状況となっている。多くの時間を要することから、2022 年 3 月期第 2 四半期報告書の提出の延長申請を行い、承認を得た。（2021年11月12日追記）