NISC(内閣官房・内閣サイバーセキュリティセンター)の電子メール関連システムが不正な通信を受けました。メールデータの一部が外部に漏えいした可能性があります。
原因は、メーカーも確認できていなかったという電子メールシステムに係わる機器の脆弱性によるものです。不正通信の痕跡を発見したのは6月13日で、状況確認のため6月14日~15日の運用を停止。機器の交換を行うとともに、ほかの機器に異常がないかを確認しました。以後、内部監視強化などを実施し、システムを再稼働しています。
外部専門機関の調査によると、NISCが2022年10月上旬から2023年6月中旬までの間にインターネット経由で送受信した個人情報を含むメールデータの一部が外部に漏えいした可能性があることもわかりました。情報公開の時点では、具体的な個人情報の漏えいなどは不明で、個人情報の悪用による被害はないとしていますが、今後NISCを装った不審メール送付の可能性があるとして注意を呼びかけています。
また、気象庁と気象研究所が運用するメール関連機器に対しても不正な通信が発生しました。こちらも、気象庁が受信したメールデータが外部に流出した可能性があり、NISCのケースとも類似性が見られます。
今回の不正な通信は関連システムの脆弱性を突いたものですが、この脆弱性はシステム機器メーカーも把握できていなかったものだということです。また、国外でメール関連機器の脆弱性を原因とした不正アクセスを確認しており、セキュリティ対策を強化した機器に交換するといった対策を講じていたなかで発生しました。
メールデータは、2022年年6月上旬から2023年5月下旬にかけて気象庁(気象研究所を含む全国の気象官署)に送られたもので、その一部が流出の対象となります。気象庁は「個人情報を聞いたりWebサイトへアクセスするよう依頼することはない」として、気象庁からの連絡を装ったメールや電話などに注意するよう呼びかけています。
コメント