内閣官房内閣サイバーセキュリティセンター(NISC)は8月4日、メール関連システムから情報漏えいが発生した可能性があると発表した。NISCと提携するJPCERT コーディネーションセンター(JPCERT/CC)は同7日、この件について「調査に関与していない」と立場を明らかにした。
NISCによると、6月13日にメール関連システムで不正通信の痕跡が見つかり、翌14日から状況確認のためにこのシステムの運用を停止し、不正通信の原因が疑われる機器を交換したほか、他の機器などでの異常確認、内部監視の強化などを講じた上で、15日までにこのシステムを再稼働させた。同月21日には、この不正通信が機器の脆弱性を原因だとする保守運用事業者による調査の結果を個人情報保護委員会に報告したという。
外部専門機関などによる調査の結果では、2022年10月上旬から2023年6月中旬までに、インターネット経由でNISCが送受信した個人情報を含むメールデータの一部が外部に漏えいした可能性がある。8月4日時点で具体的な個人情報の漏えいなどは不明とし、個人情報の悪用などの被害は確認されていないと説明した。これまでに、漏えいの影響の可能性がある関係者に事態を個別に通知し、「ご迷惑をおかけすることになり、お詫び申し上げる」とコメントした。
NISCは、今後NISCを装う不審なメールが送付されるなどの可能性を否定できないとして、注意を呼びかけている。また、引き続きセキュリティ対策の強化に努め、セキュリティ関係機関などとも連携しながら一層の状況把握に努めるとしている。
NISCとパートナーシップを締結しているJPCERT/CCは、日頃からNISCに対して情報を提供しているとしつつ、情報漏えいの可能性があった期間については、NISCとのメールによるやりとりにおいて、「JPCERT/CCが関係するインシデント事案などに関する機微な情報の提供をしていない」と説明。その上で、「インシデント対応支援先などに直ちに二次被害などの影響が及ぶ可能性はないと考えている」との見方を示した。
しかし、「他方で、どのようなメールの情報が漏えいしたのか、技術的な報告を受領していないため、その他の二次被害などの影響を判断できていない」とも現状を報告。さらに、NISCの「外部専門機関などによる調査」については、「JPCERT/CCは本件調査に関与していない」と立場を明らかにした。
NISCは、情報漏えいの原因をメール関連システムの機器における脆弱性の悪用と説明したが、詳細情報を公表していない。
JPCERT/CCは、「どのような分野の被害組織であれ、被害公表だけでなく、情報共有や専門機関との連携含め、『サイバー攻撃被害に係る情報の共有・公表ガイダンス』で示されている対応がなされることで、被害組織のインシデント対応に適切な評価が得られるようになるだけでなく、ほかの被害組織を含め、あらゆる関係者にとって必要な情報の非対称性が解消され、国全体として攻撃活動への対処がなされるものと考えている」との意見を表明した。
またJPCERT/CCは同日、JPCERT/CCが提供しているSIG情報連携ポータルの「SOC間連携API」に複数の脆弱(ぜいじゃく)性が存在し、情報が閲覧されてしまう恐れがあると発表した。パッチを公開して、ユーザーに適用を呼びかけているほか、パッチを適用できない場合は、APIの利用を停止することで脆弱性の影響を回避できるとする。
この脆弱性情報についてJPCERT/CCは、「本日(2023年8月7日)の脆弱性情報公開に向け以前から調整してきたものであり、NISCのメール関連システムからのメールデータ漏えい被害が公表されている件とは無関係」と説明している。
