内閣サイバーセキュリティセンターにゼロデイ攻撃 - 公知後も対策に至らず

内閣サイバーセキュリティセンター（NISC）のメール関連システムがサイバー攻撃を受け、メールデータの一部が外部へ漏洩した可能性があることがわかった。ゼロデイ攻撃により侵害され、その後脆弱性が明らかとなったものの、侵害された状態が続いていた。

NISCによれば、6月13日にメール関連システムにおいて不正通信の痕跡を発見、問題が発覚したもの。NISCでは翌14日から15日にかけて運用を停止して状況を確認し、原因と見られる機器を交換。保守事業者が脆弱性に起因して不正通信が生じたことを示す痕跡を同月21日に発見した。

今回のサイバー攻撃により、2022年10月上旬から2023年6月中旬にかけて、インターネット経由で送受信したメールデータの一部が外部に漏えいした可能性がある。本誌の取材に対して、侵害された機器のメーカー、台数など構成については、セキュリティ保安上の観点から回答を差し控えるとしてコメントを避けた。

問題の脆弱性については、侵害が発生した当初、メーカーにおいても確認されていなかったいわゆる「ゼロデイ脆弱性」が悪用されたものであると説明している。

一方、不正通信の痕跡が発見され、対応が進められた6月中旬の段階で、機器のメーカーなどは脆弱性をすでに把握しており、「ゼロデイ状態」は解消されていた。NISCに対してメーカーや保守事業者から脆弱性に関する注意喚起などはなかったという。

（Security NEXT - 2023/08/07 ）ツイート