【セキュリティ事件簿#2024-288】国立研究開発法人宇宙航空研究開発機構 JAXAにおいて発生した不正アクセスによる情報漏洩について 2024/7/5

JAXA
 

宇宙航空研究開発機構(JAXA)において昨年発生した不正アクセスによる情報漏洩への対応状況について、以下のとおりお知らせいたします。

昨年10月、外部機関からの通報に基づき、JAXAの業務用イントラネットの一部のサーバに対する不正アクセス(以下、「本インシデント」といいます)を認知しました。その後速やかに不正通信先との通信遮断等の初期対応を実施しつつ、専門機関及びセキュリティベンダー等とも連携して調査を行い、事案の解明、対策の策定及び実施に取り組んできました。本インシデントの概要は別紙のとおりですが、その中で、JAXAが管理していた情報の一部(外部機関と業務を共同で実施するにあたっての情報及び個人情報)が漏洩していたことを確認いたしました。

本インシデントについて、関係する皆様には多大なるご迷惑をお掛けしましたこと、深くお詫び申し上げます。

本インシデントで漏洩した情報については、相手方との関係もあることから詳細は差し控えさせていただきますが、情報が漏洩したご本人・関係者の皆様には個別に謝罪及びお知らせを行いました。現在のところ、関係者の皆様の事業活動に著しい支障が生じているという報告はありませんが、皆様に多大なご迷惑をお掛けしたことは大変遺憾であり、改めてお詫び申し上げます。

また、本インシデントにより、国内外の関係機関との協力を含め、事業遂行が困難になるようなことは生じていないと認識していますが、JAXAとしては信頼関係を損ないかねない事案として重く受け止めており、再発防止に向けて対策を強化してまいります。

なお、今年に入って複数回の不正アクセスが発生していますが、これらによる情報漏洩はないことを確認しています。昨年のインシデントを含めて、これらはいずれもVPN機器を狙ったものであることを確認しています。

JAXAとしては、脆弱性対応を迅速に行うための体制整備等の短期的対策及び更にセキュリティを強化するための恒久対策の策定を既に実施済です。現在、恒久対策の具体化を順次進めており、引き続き情報セキュリティ対策を一層強化していく所存です。

1. JAXAの対応状況

JAXAは、外部機関からの通報を踏まえて、攻撃元との通信遮断及びサーバ等のJAXAのネットワークからの切断など初期対応を速やかに実施しました。その上で、セキュリティベンダーによる侵害痕跡の調査、攻撃対象サーバ及び端末の詳細調査(フォレンジック調査)等を実施し、マルウェアを発見・除去したほか、内部通信の強化など、想定されるリスクに対する緊急対策を実施しました。

また、調査の過程で、Microsoft365(以下、「MS365」といいます)に対する不正アクセスの可能性が確認されたことから、Microsoft社の専門チームによる調査を実施し、更なる侵害が発生していないことを確認しました。

これらの対応を実施するにあたっては、警察、一般社団法人JPCERTコーディネーションセンター、独立行政法人情報処理推進機構(IPA)などの専門機関と連携し、不正な通信先の情報や使用されたマルウェア情報などを報告・共有して進めております。

2. 侵害範囲

初期調査、セキュリティベンダー及びMicrosoft社による調査並びにJAXAによる分析を踏まえ、本インシデントに関する主な侵害範囲を以下の通り明らかにしました。なお、侵害の過程では、未知のマルウェアが複数使用されていたことが確認されており、侵害の検知を困難にしておりました。

①第三者がVPN装置の脆弱性を起点にJAXAの一部のサーバ及び端末に侵入。先だって公表された脆弱性が悪用された可能性が高い。

②侵入したサーバからさらに侵害を広げ、アカウント情報等を窃取。

②窃取したアカウント情報等を用いて、MS365に対して正規ユーザを装った不正アクセスを実施。

3. 流出した情報

本インシデントにより、侵害を受けたJAXAの端末・サーバに保存されていた一部の情報(JAXA職員等の個人情報含む)が漏洩した可能性があります。また、MS365上でJAXAが管理していた情報の一部(外部機関と業務を共同で実施するにあたっての情報及び個人情報)が漏洩したことを確認しております。関係する方々には既に個別にご説明及び謝罪を差し上げております。なお、本インシデントで侵害を受けた情報システムやネットワークにおいては、ロケットや衛星の運用等の機微な情報は扱われておりません。

4. 対策

本インシデントを受けて、脆弱性対応を迅速に行うための体制整備や内部通信ログの監視強化等の短期的対策を実施しました。加えて、更にセキュリティを強化するための恒久対策を検討し、エンドポイントを含めたネットワーク全体の更なる監視強化、外部からの接続方法の改善、運用管理の効率化・可視化、なりすまし対策の強化等の対策を策定しました。現在、これらの対策の計画の具体化をはかっているところです。

なお、上記の対策を進め監視を強化している中で、本年1月以降、複数回の不正アクセスを確認しました(その中には、ゼロデイ攻撃によるものも含まれます)が、情報漏洩等の被害が発生していないことを確認しました。

5. 今後の取組

サイバー攻撃がますます高度化し、攻撃も対策も常に進化し続ける中、JAXAは中核的宇宙開発機関として、迅速・的確なセキュリティ対応が求められていることを強く自覚し、本インシデントを受けた短期的対策及び恒久対策を着実に実施していく予定です。今後も専門機関を含めた関係機関と連携し、情報セキュリティを今後一層強化してまいります。

リリース文アーカイブ