2023年11月29日、今年夏ころに宇宙航空研究開発機構に対し不正アクセスが行われていたとして複数の報道機関が報じました。また2024年6月21日には、2023年の不正アクセス事案の詳細や2024年以降も不正アクセスが発生していたことが報じられました。ここでは関連する情報をまとめます。
ネットワーク機器の脆弱性を悪用しクラウドまで一連の攻撃か
- 宇宙航空研究開発機構(JAXA)で不正アクセスが確認されたのは調布航空宇宙センターのネットワークや事務処理に用いられる端末が接続されたネットワーク(JAXAnet)、そして同機構が利用しているクラウドサービス(Microsoft 365)で、JAXAnetにおいては管理(アクティブディレクトリ)サーバーも被害にあったと報じられている。攻撃者は外部からネットワークにアクセスし、内部の情報を閲覧ないしは窃取していた可能性がある。*1 *2 JAXAは2024年6月21日時点でWebサイト等を通じて不正アクセスの事実について公表を行っていないが、2023年11月29日の参議院文教科学委員会でJAXA理事長が攻撃は事実と発言した。*3 また2024年6月21日には報道を受けて、官房長官らが不正アクセス発生の事実を認める発言をしており、然るべき時期に説明する機会を設けたいとしていたが、7月5日に概要が公開された。*4
- 不正アクセスは2023年6月に発生していたが、2023年10月頃に警察より連絡を受けるまでJAXAは不正アクセスの被害にあっていたことを気づいていなかった。*5 事実確認後、JAXAは所管省庁の文部科学省や個人情報保護委員会への報告をするとともにネットワークの切り離しなどの対応を行っている。
- 不正アクセスは2023年6月に修正されたネットワーク(VPN)機器の脆弱性を悪用されたものとみられている *6 が攻撃を受けたネットワークがどのようなシステムと接続されているかはJAXAは非開示としている。*7 ネットワーク機器はJAXAのイントラネットへ接続するためのもので6月にベンダより報告を受け対応を行っていた。*8 2024年に入ってからも3回にわたりVPN機器の脆弱性を悪用され侵害される事案が続いた。これまで4回の攻撃のうち、2回はゼロデイ脆弱性を悪用したものが含まれている。
- 警察からの連絡を受けて調査を進めていたところ、2024年に入っても2023年6月の事案同様にVPN機器の脆弱性を悪用したとみられる不正アクセスを複数回にわたり受けていた事実が判明した。これら不正アクセスで外部への情報流出の事実は確認されていないとJAXAは説明しているが詳細は公表していない。*9 同機構では6月の事案発生を受けて、新たな機器導入や職員のパスワードリセットなどを行っていた。2024年の不正アクセスについては朝日新聞が報じており、概要は次の通り。*10
| 不正アクセス発生月 | 不正アクセス対象 | 侵入の手口 |
|---|---|---|
| 2024年1月 | 業務イントラネットワーク | VPN機器の侵害 |
| 2024年4月 | 地球観測基盤システム | VPN機器の侵害 |
| 2024年5月 | スーパーコンピューター | VPN機器の侵害 |
NDAを結んだ組織の情報も流出可能性
- 外部への流出可能性があるのは約1万を超えるファイルで、これらには秘密保持契約を結んでいる米国航空宇宙局、防衛省、三菱重工業、トヨタ自動車などの外部の40を超える組織の情報も含まれていたことが判明している。またJAXA内では研究開発から事務関連まで10を超える部署に影響が及んだ。Microsoft365からはJAXA幹部職員らが保有するファイルが閲覧されたり、外部に持ち出された可能性がある。影響を受けたうちの1社は、機密情報が漏れた情報に含まれていること、社内での調査より実害なしと判断したことを回答している。*11
- 被害にあったサーバーには役職員や派遣社員5,000件余りがサーバー上に保管されていたため、これら個人情報などが外部へ流出した可能性があるが、*12 情報流出の有無については2024年6月21日時点で調査中でありセキュリティにかかわる情報であることを理由として回答を避けていた。*13 また、ロケットや人工衛星の運用にかかる情報など機密性の高い情報は別のネットワークで管理されているとして対象外であるとJAXAは説明している。
- JAXAの不正アクセス事案受けて、文部科学相は「JAXAで調査を進め必要なネットワークの遮断を行ったと聞いている。何かしらの情報流出はあったが、ロケットや衛星に関わる機微情報は含まれていない。」と発言。官房長官は「昨年来外部から複数の攻撃が行われており、攻撃について専門機関の協力を得ながら調査を進めている」と発言。*14 また防衛相は「現時点で業務への特段の支障はないと考えているが、調査を引き続き確認していきたい」と発言している。*15
- JAXAは流出した対象者へ個別に連絡をとっているが、相手方との関係があるということを理由として詳細を開示しない方針とした。
| 日時 | 出来事 |
|---|---|
| 2023年6月 | JAXAの業務用イントラネットワークに不正アクセス被害。その後Microsoft365まで被害拡大。 |
| 2023年10月 | 警察より情報提供を受け、JAXAが不正アクセスを受けている事実を把握。 |
| 2023年11月29日 | JAXAが不正アクセス被害にあっていたと報道。 |
| 2024年1月、4月、5月 | JAXAの業務イントラネットワークなどに対して不正アクセス被害。 |
| 2024年6月21日 | JAXAが2024年に入っても複数回の不正アクセス被害にあっていたと報道。 |
| 2024年7月5日 | JAXAが不正アクセスの概要を公表。 |
公式発表
- 2024年7月5日 JAXAにおいて発生した不正アクセスによる情報漏洩について
更新履歴
- 2023年11月29日 PM 新規作成
- 2023年11月29日 PM 続報反映
- 2024年6月21日 PM 続報反映
- 2024年7月6日 AM 続報反映
- 2024年7月26日 AM 続報反映(朝日報道)
*1:JAXAにサイバー攻撃 情報流出の有無「調査中」 攻撃元も不明,毎日新聞,2023年11月29日
*2:JAXAに複数回サイバー攻撃、機密流出か NASA、トヨタ情報も,朝日新聞,2024年6月21日
*3:JAXAにサイバー攻撃、理事長「機微情報の漏洩ない」,日本経済新聞,2023年11月29日
*4:JAXAに昨年から複数回のサイバー攻撃 「然るべきタイミングで説明したい」,ITmedia,2024年6月21日
*5:JAXAにサイバー攻撃 今夏ごろ、機微情報閲覧の可能性,共同通信,2023年11月29日
*6:JAXAにサイバー攻撃 不正アクセス、機微情報含まず,時事通信,2023年11月29日
*7:JAXAが不正アクセス受けた恐れ、ネットワーク機器の脆弱性悪用か,日経クロステック,2023年11月29日
*8:ネットワーク機器に脆弱性 JAXA攻撃に利用か,東京新聞,2023年11月29日
*9:JAXAにサイバー攻撃 昨年以降、外部機関の情報流出か,東京新聞,2024年6月21日
*10:JAXAサイバー攻撃、不正侵入1年で4回 対策後にスパコンも標的,朝日新聞,2024年7月6日
*11:秘密保持契約の企業、40超で情報流出恐れ JAXAサイバー攻撃,朝日新聞,2024年6月22日
*12:JAXA サイバー攻撃受け役職員の個人情報など漏えいか,NHK,2023年11月29日
*13:JAXA 複数回のサイバー攻撃で情報漏えいか,NHK,2024年6月21日
*14:JAXAにサイバー攻撃、情報流出・不正閲覧の可能性…メーカー・研究機関の内容も含む恐れ,読売新聞,2024年6月21日
*15:JAXAに複数回サイバー攻撃、23〜24年 機密情報流出か,日本経済新聞,2024年6月21日
