2021年12月24日、防衛省は三菱電機が2020年1月に公表した不正アクセスで、外部へ流出した可能性のあるファイルに安全保障へ影響があるデータが含まれていたとして調査結果を公表しました。ここでは関連する情報をまとめます。
注意該当の情報確認し全件調査
- 2020年1月20日に三菱電機は同社内ネットワークが不正アクセスの被害を受けていたことを公表。この事案で流出した可能性があるファイルの内、防衛関連の情報が含まれているものについて防衛省が安全保障への影響について調査を行っておりその結果が2021年12月24日に公表された。
- 同社への不正アクセスで外部へ流出した可能性のあるデータに注意情報に該当するデータが3件が含まれていたことがその後判明した。この3件は昨年5月に報じられた三菱電機が防衛省より貸与を受けていた防衛装備品の高速滑空ミサイルの性能に関する資料だったとみられる。ミサイル試作品に関する入札の際、応札する企業に求めた性能等が記載された資料だった。*1 資料は注意情報にあたるとして防衛省側は複製を禁じていたが、三菱電機が無断で電子化しサーバー上に保管していたため不正アクセスによる対象データに含まれることとなった。
- 防衛省は三菱電機に保管されていた防衛に関する約2万件のデータファイルの全件調査。その結果、装備品性能や研究開発内容などの安全保障への影響がある恐れのあるデータファイルがさらに56件存在していることが判明した。防衛省は先の3件を含む計59件のファイルについて情報が流出したことを前提にそれぞれに対して適切な措置を講じたとしているが、全件調査で判明した56件の内容については明らかにしていない。*2 *3
- 内閣官房関係者は「安全保障に関する情報がサイバー攻撃により漏えいしたことが公に認められた初のケース」と取材にコメントしている。*4
防衛関連企業への対策強化
- 防衛省は三菱電機に対して、12月22日付で口頭にて適切な管理ができていなかったことに対する注意と適切な取り扱いの徹底について指示。
- 防衛省は防衛産業のサイバーセキュリティ体制強化を目的として、関連企業約250社に対して、2021年度中にNIST SP800-171(非連邦政府組織およびシステムにおける管理対象非機密情報(CUI)の保護)と同程度の管理策を含めた情報セキュリティ基準の規則化を行うとしている。*5
関係組織の発表
- 防衛省 2021年12月24日 [PDF] 三菱電機株式会社に対する不正アクセスによる安全保障上の影響に関する調査結果について
- 三菱電機 2021年12月24日 [PDF] 不正アクセスによる個人情報と企業機密の流出可能性について(第 4 報)
更新履歴
- 2021年12月27日 PM 公開
*1:新型ミサイル性能漏えいか 三菱電機、サイバー攻撃 防衛省が全容調査,日本経済新聞,2020年5月20日
*2:安保情報含む2万件流出か 三菱電機不正アクセス―防衛省,時事通信,2021年12月24日
*3:防衛省 “安全保障へ影響”データ流出か 三菱電機サイバー攻撃,NHK,2021年12月24日
*4:流出ファイル59件が安全保障に影響か 三菱電機へのサイバー攻撃,朝日新聞,2021年12月24日
*5:安保情報59件、流出の可能性…三菱電機サイバー攻撃で防衛省調査,読売新聞,2021年12月24日