国立環境研究所がクラウドサービス事業者と契約をしていたWebコンテンツ開発用サーバにおいて、メールサービスへの外部から不正なアクセスがあり、所外の方へ迷惑メールが送信されたことが判明しました。
当該メールを受け取られた方々には深くお詫び申し上げます。
なお、当該サーバにおいては機微な情報の取り扱いは無く、迷惑メール送信へ悪用されたのみで情報漏洩等の被害はありませんでした。
事案の概要等は、次のとおりです。
1.概要
令和6年8月21日(水)16時頃から令和6年8月23日(金)17時30分頃までの間に、国立環境研究所がWebコンテンツ開発用として契約をしていたクラウドサーバで稼働していたメールサービスに不正なログインが行われ、所外の方へ迷惑メール送信が行われました。
送信メールの内容は、オランダ語とみられる言語で記載された、ベルギーで利用されているカードサービスを装ったフィッシングメールであり、海外のメールアドレスを中心に 約25000通 のメール送信が行われたことを確認しています。
なお、当該サーバにおいては機微な情報の取り扱いは無いため、情報漏洩等の被害はありませんでした。
2.原因
メールアカウントのパスワードが推測されやすいものになっていたため、メールサービスに不正なログインが行われたことが原因と考えられます。
3.対応状況
迷惑メールの送信が行われた事案が判明した後、ただちに当該サーバへのアクセスを遮断する等、必要な措置を実施しています。
4.再発防止策
国立環境研究所では、今般の事案に対し、技術的・システム的な情報セキュリティ対策の更なる強化を実施するとともに、職員に対する研修・訓練等の情報セキュリティ教育を徹底してまいります。