宇宙航空研究開発機構(JAXA)は7月5日、2023年10月に発生したサイバー攻撃に伴う情報漏えいインシデントでの対応状況を報告した。このインシデントにおける短期的対策と恒久対策を着実に実施していく予定だとしている。
インシデントは、2023年10月に外部機関から通報を受けて、業務用イントラネットの一部のサーバーに対する不正アクセスが判明した。JAXAは、直ちに攻撃元との通信の遮断やサーバーなどをJAXAのネットワークから切断するなどの初期対応を実施したという。
次に、セキュリティベンダーによる侵害の痕跡の調査や、攻撃の対象となったサーバーと端末のフォレンジック調査などを行い、マルウェアが発見されて除去したほか、内部通信の強化など想定されるリスクに対する緊急対策を講じたとする。
また、調査の過程でJAXAが利用している「Microsoft 365」への不正アクセスの可能性が確認されたため、Microsoftの専門チームによる調査も行い、さらなる侵害が発生していないことを確認した。これらの対応では警察やJPCERT コーディネーションセンター、情報処理推進機構などとも連携し、不正な通信先やマルウェア情報などを報告、共有しているという。
調査からは、第三者がVPN装置の既知と見られる脆弱(ぜいじゃく)性を突いてJAXAのサーバーの一部と端末に不正アクセスを行い、ここから侵害範囲を広げるラテラルムーブメント(水平移動)に移り、アカウント情報などを窃取した。さらに第三者は、窃取したアカウント情報などを使って正規ユーザーになりすまし、Microsoft 365へ不正アクセスしたことが判明した。この侵害の過程では、複数の未知のマルウェアが使われたことも判明した。
この不正アクセスによって第三者は、JAXAの一部のサーバーや端末からJAXA職員などの個人情報含む一部の情報を窃取した可能があり、Microsoft 365からはJAXAが管理していた外部機関と業務を共同で実施するに当たっての情報と個人情報を窃取されたことが確認された。
第三者に漏えいした情報(可能性を含む)についてJAXAは、「相手との関係もあり詳細を差し控えるが、漏えいした本人・関係者には個別に謝罪と連絡した。現在のところ関係者の事業活動に著しい支障が生じているという報告はないが、多大なご迷惑をお掛けしたことは大変遺憾であり、改めてお詫び申し上げる」と述べている。なお、今回の侵害を受けた情報システムやネットワークでは、ロケットや衛星の運用などの機微情報は取り扱っていないという。
JAXAでは、短期的対策として迅速な脆弱性対応を行うための体制整備や内部通信のログ監視の強化などを講じた。また、恒久的な対策ではエンドポイントを含むネットワーク全体のさらなる監視の強化、外部からの接続方法の改善、運用管理の効率化、可視化、なりすまし対策の強化などを講じることを決め、現在は計画を具体化している途中だとしている。
これらの対策を進める中でも2024年1月以降に、ゼロデイ攻撃(未知の脆弱性などを悪用するサイバー攻撃)を含む複数回の不正アクセスを検知しているが、情報漏えいなどの被害は発生していないとしている。