内閣サイバーセキュリティセンターが不正侵入被害、脆弱性突かれメール8カ月漏洩

内閣サイバーセキュリティセンター（NISC）は2023年8月4日、電子メール関連のシステムに不正通信があり、個人情報を含むメールデータの一部が外部に漏洩した可能性があると発表した。中央省庁の情報システムのセキュリティー確保や政府のサイバーセキュリティー戦略などを担う組織で起きた漏洩だけに、波紋を広げそうだ。

https://xtech.nikkei.com/atcl/nxt/news/18/15721/

　メールデータの漏洩が発覚した最初のきっかけは、2023年6月13日に電子メール関連システムで不正通信を示す痕跡を発見したことだ。6月14～15日にシステムの運用を停止し、不正通信の原因と疑われる機器を交換。他の機器に異常がないことの確認などをした上で、システムを再稼働した。その後、調査に当たった保守・運用事業者が6月21日、機器の脆弱性により不正通信が発生したことを示す痕跡を発見した。

　不正通信の痕跡発見を受けNISCは、外部の専門機関などによる調査も実施。現時点までに、2022年10月上旬～2023年6月中旬の8カ月以上にわたりNISCがインターネット経由で送受信した個人情報を含むメールデータの一部が、外部に漏洩した可能性があると判明している。

　NISCは不正侵入を許した原因について「メーカーが確認できていなかった機器の脆弱性が原因」と説明。同様の漏洩が海外でも確認されているとする。NISCは、メールアドレスなどの個人情報が漏洩した可能性を排除できない関係者に対して個別に通知。現在、具体的な個人情報の漏洩などは不明で、個人情報の悪用などの被害は現時点で確認できていないという。

　日経クロステックはNISCに対し、電子メール関連システムや脆弱性のあった機器、発見した痕跡などの詳細について問い合わせたが、NISCは「セキュリティー保安上答えられない」として明らかにしていない。