この度、株式会社ディレクタス社員の電子メールアカウントが第三者より不正アクセスを受け、当該アカウントから迷惑メールが送信される事象が発生いたしました。
弊社としては事象発覚後、第三者機関、および外部セキュリティコンサルタントに相談し、当該アカウントのパスワードの強度を上げて変更するとともに、迷惑メールの送信先と思われるすべての方に注意喚起とお詫びのご連絡をいたしました。
また、第三者による情報の持ち出し、情報流出の痕跡は確認されませんでした。
迷惑メールを受信された皆さまに多大なご迷惑、ご心配をおかけしたことを深くお詫び申し上げます。
今後同様の事象が発生しないよう、システムセキュリティ対策を改めて徹底し、再発防止に努めて参ります。
記
1.発生状況
・2020年12月2日15:02 弊社社員のアカウントが不正利用され迷惑メール168件が送信されました。(※1)
送信先内訳(重複を除く)
・外部アドレス 111件(内8件は配信失敗)
・社内アドレス 57件
2.対応
・当該アカウントから迷惑メールの送付先と思われるすべての方へ注意喚起とお詫びのご連絡をいたしました。
・不正利用されたアカウントをはじめ、「@directus.co.jp」ドメインの全てのメールアカウントのパスワードを変更いたしました。
・弊社のすべてのPCおよびネットワーク機器、サーバを調査し、マルウエアの感染、および不正なアクセスや不正な操作がないことを確認しております。
3.原因および影響
・直接的な原因は不明ですが、当該社員の利用する他アカウントや弊社のシステムには不正なログインがなかったこと、各専門家からの見解などを踏まえ、該当アカウントへの辞書攻撃、もしくはパスワードの使い回しによるパスワード漏洩と想定しております。
・弊社従業員のメールアドレス宛てを含む168件の迷惑メールが送信されました。(※1)
・弊社管理下のその他アカウント、および社内ネットワークへの不正な侵入は確認されておりません。また当該アカウントを含む全アカウントにおいて、ファイルの閲覧、操作、ダウンロードも確認されておりません。
4.再発防止策
・弊社管理下の全アカウントに対してパスワードの変更を実施。
・安易なパスワードにしないこと、パスワードの使い回しをしないことなどの弊社パスワード管理ルールを全員に対して再周知。
・全アカウントへのログインにMFA導入を実施予定。
※1 2020年12月8日訂正 迷惑メールの送信先が正確に判明したため件数を修正
■本件に関するお問い合わせ
株式会社ディレクタス
システムグループ
security@directus.co.jp