2023/12/04

【セキュリティ事件簿#2023-436】国立環境研究所が運用するオンラインストレージサービス(Proself)への不正アクセスについて


国立環境研究所がファイル転送サービスとして利用していたオンラインストレージサービス(Proself)について不正アクセスがあり、サーバ内に保管していた個人情報を含むデータの一部が外部に漏えいした可能性があることが判明しました。

これは、メーカーにおいて確認できていなかったProselfの脆弱性(ゼロデイ脆弱性)を突いたサイバー攻撃によるものとなります。

国立環境研究所における本事案の経緯及び講じた措置は以下のとおりです。

10月5日 Proselfへの不正アクセスの痕跡を発見。同日に対象サーバを運用停止。
10月10日 調査により、脆弱性を悪用してアカウントの一覧やパスワードハッシュを窃取し、その情報をもとに不正ログインが行われ、一部のファイルへアクセスが行われたことが確認された。(同日、個人情報保護委員会に報告)。

実際に不正アクセスが行われた期間は、9月15日~9月28日までの間で、個人情報を含むデータの一部が外部に漏えいした可能性があります。現在漏えいが判明している個人情報は、当研究所職員の健診受診者名簿、外部機関等を含む各種委員会等の名簿、研究所Webサイトからのデータダウンロードサービスをご利用の際にご登録いただいたメールアドレス等が含まれていることが判明しております。

引き続き、詳細調査を継続しておりますが、並行して、漏えいした可能性のあることが判明した方に対して順次、個別の通知を進めているところです。関係者の皆様には、ご迷惑をおかけすることとなり、お詫び申し上げます。

なお、現時点で、個人情報の悪用等の被害は確認されていません。

国立環境研究所では、引き続きセキュリティ対策の強化に努めるとともに、セキュリティ関係機関等とも連携しながら、一層の状況把握に努めてまいります。