ニュース

内閣サイバーセキュリティセンターでメールデータ漏えいの可能性、不正な通信を確認

原因はメール関連機器における未確認の脆弱性

 内閣サイバーセキュリティセンター(NISC)は8月4日、同センターのメール関連システムに対する不正な通信が確認され、個人情報を含むメールデータの一部が外部に漏えいした可能性があると発表した。

 原因は、メール関連システムに係る機器の、メーカーにおいても未確認だった脆弱性だと考えられるとしている。同様の事案が、国外においても確認されているという。

 発表された経緯は、次のようなものだ。6月13日に、メール関連システムに対する不正通信の痕跡を発見。6月14日~15日にシステムの運用を停止し、不正通信の原因と疑われる機器を交換するとともに、ほかの機器などの確認、内部監視の強化などの対策を実施した上で、システムを再稼働した。6月21日に保守運用事業者の調査によって、不正通信が機器の脆弱性を原因とするものであることを示す証跡を発見し、本件について個人情報保護委員会に報告したという。

 さらに、外部専門機関などによる調査を行った結果、NISCが2022年10月上旬から2023年6月中旬までの間にインターネット経由で送受信した個人情報を含むメールデータの一部が、外部に漏えいした可能性があることが判明したという。

 メールアドレスなどの個人情報が漏えいした可能性がある関係者には、個別に通知するとしている。また本件の概要や不明点について、電話での問い合わせ先を案内している。

 また、現時点では個人情報の悪用などの被害は確認されていないが、今後NISCを装った不審なメールが送付される可能性があると注意を呼び掛けている。

 NISCとパートナーシップを締結して情報提供などを行っている一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、本件に関して情報を発表。漏えい対象期間(2022年10月上旬~2023年6月中旬)におけるNISCとのメールのやり取りにおいて、インシデント事案などに関する機微な情報提供は行っていないため、インシデント対応の支援先などに二次被害などの影響が及ぶ可能性はないと考えられるとした。

 一方、どのようなメールの情報が漏えいしたのかNISCから技術的な報告を受けていないため、その他の二次被害などの影響については判断できていないとしている。また、NISCが発表している「外部専門機関等による調査」に、JPCERT/CCは関与していないとしている。