内閣サイバーセキュリティセンター(NISC)は8月4日、同センターの電子メール関連システムに対し不正通信が行われ、個人情報を含むメールデータの一部が外部に漏えいした可能性があると発表した。また、あわせて気象庁および気象研究所でも同日、それぞれ使用しているメール関連機器に対して 同様のシステムの脆弱性を狙った不正通信があり、受信したメールデータの一部が外部に流出した可能性があるとしている。
NISCの発表によれば、使用していた電子メール関連システムの機器の脆弱性が原因とされ、この脆弱性はメーカーにおいて確認されていなかったという。また、同様の事案は国外においても確認されている。
NISCでは、6月13日に電子メール関連システムに係る不正通信の痕跡を発見し、同月14~15日には当該システムの状況を確認するため、速やかに運用を停止。不正通信の原因と疑われる機器を交換するとともに、他の機器等に異常がないことの確認や、内部監視の強化等の対策を実施の上で、当該システムを再稼働したという。
その後、6月21日には保守運用事業者の調査により、不正通信が当該機器の脆弱性を原因とする証跡を発見。
これを受けて外部専門機関等による調査を行った結果、NISCが令和4年10月上旬から令和5年6月中旬までの間にインターネット経由で送受信した個人情報を含む、メールデータの一部が外部に漏えいした可能性があるという。
気象庁でも、令和4年6月上旬から令和5年5月下旬までに気象庁(気象研究所を含む全国の気象官署)に送信されたメールのうち、 一部のデータが外部に流出した可能性があるとしている。
NISCでは、メールアドレスなどの個人情報が漏えいした可能性を排除できない対象者に対して個別に通知するとともに、事案の公表を実施。
なお現時点で具体的な個人情報の漏えいなどはわかっておらず、個人情報の悪用などの被害は確認されていないものの、今後NISCを装った不審なメールが送付されるなどの可能性があることから、注意を促している。
【関連記事】
・NISC、年末年始休暇におけるセキュリティ対策の注意喚起を実施
・国内学術者やシンクタンクなどを標的としたサイバー攻撃を多数確認 警察庁とNISCが注意喚起
・北朝鮮組織によるサイバー攻撃に警戒を 警察庁やNISC、金融庁が暗号資産関係者へ注意喚起
