今般、内閣サイバーセキュリティセンター(NISC)の電子メール関連システムに対し、不正通信があり、個人情報を含むメールデータの一部が外部に漏えいした可能性があることが判明しました。
これは、メーカーにおいて確認できていなかった電子メール関連システムに係る機器の脆弱性を原因とするものであると考えられ、同様の事案は国外においても確認されています。
NISCにおける本事案の経緯及び講じた措置は以下のとおりです。
- 6月13日 電子メール関連システムに係る不正通信の痕跡を発見。
- 6月14~15日 当該システムの状況を確認するため、速やかに運用を停止。不正通信の原因と疑われる機器を交換するとともに、他の機器等に異常がないことの確認や、内部監視の強化等の対策を実施の上で、当該システムを再稼働。
- 6月21日 保守運用事業者の調査により、不正通信が当該機器の脆弱性を原因とするものであることを示す証跡を発見(本事案について個人情報保護委員会に報告)。
これを受けて、外部専門機関等による調査を行った結果、現時点までに、NISCが令和4年10月上旬から令和5年6月中旬までの間にインターネット経由で送受信した個人情報を含むメールデータの一部が外部に漏えいした可能性があることが判明したところです。
NISCにおいては、本事案により、メールアドレス等の個人情報が漏えいした可能性を排除できない方に対して個別に通知するとともに、事案の公表を行うこととしたところです。関係者の皆様には、ご迷惑をおかけすることになり、お詫び申し上げます。
なお、現時点で、具体的な個人情報の漏えい等は不明であり、個人情報の悪用等の被害は確認されていませんが、今後NISCを装った不審なメールが送付される等の可能性は否定できませんので、ご注意ください。
NISCでは、引き続きセキュリティ対策の強化に努めるとともに、セキュリティ関係機関等とも連携しながら、一層の状況把握に努めてまいります。