宇宙航空研究開発機構(JAXA)の職員の端末がコンピュータウイルスに感染し、情報が外部に漏えいした問題で、JAXAは1月13日夜に記者会見を開き、調査状況などについて説明した。
JAXAによると、コンピュータウイルスの感染原因は、2011年7月6日に職員の知人の名前で送り付けられたメールである可能性が高いという。このメールには飲み会への参加を誘う件名が付けられ、日本語で本文が記載されていた。PDFファイルも添付されていたという。同様のメールが他の職員数人にも送信されていたが開封はしておらず、当該職員は送信者名が知人だったことから添付ファイルを開いてしまった可能性があるという。メールの文章が途切れているなど不自然な点があり、送信アドレスは職員の知人のものではなかった。
同年8月11日に、職員の端末にインストールされているセキュリティ対策ソフトが不正サイトへの通信を検知した。JAXAでは直ちに端末をネットワークから分離。この時点の調査でウイルス感染が発覚して駆除を行った(同月17日)が、ネットワークに再接続すると同様の検知が継続したという。
改めて不正プログラムの解析や端末内状況、ネットワークの通信ログなどを調査したところ、不正プログラムは、ウイルス対策ソフトで検知されない未知のトロイの木馬(バックドア型)とキーロガーであることが分かった。不正プログラムは、コロンビアをドメインとする外部サーバと通信した形跡があり、端末から情報を送信していた。さらに外部サーバから4回にわたって不審なファイルをダウンロードしていたという。ダウンロードファイルは1つ当たり数百キロバイトのサイズであり、不正プログラムに攻撃機能などを追加していた可能性がある。JAXAはこれらの状況を今年1月6日に確認したとしている。
不正プログラムが外部サーバに情報を送信していた可能性がある期間は、職員がメールを受信した7月6日から端末で不正通信を検知した8月11日までの約1カ月間。送信された疑いがある情報は、約1000件のメールアドレス、国際宇宙ステーションへの物資補給機(HTV)に搭載する機材や荷物の取り扱いに関する手順書などのデータ、JAXAの業務システムや米航空宇宙局(NASA)の国際宇宙ステーションなどに関する文書システム、米国宇宙航空学会の論文検索システムにアクセスするためのID、パスワードだという。
約1000件のメールアドレスの内訳は、約400件がJAXA内部、約600件はJAXA外部のものだった。外部アドレスのうちNASA関係者と国内大手企業関係者のものがそれぞれ約150件あり、残りは約20社の国内企業関係者のもの。これらのアドレスが悪用されたり、受信者が被害に遭ったりするなどの報告は現時点ではないという。
またHTV関連の情報は、HTVの本体設計に関わるといった機密性の高いものではないとしている。システムへのログイン情報は、JAXA関連のものについては直ちに変更を行って不正アクセスを防ぐ措置を取ったが、NASAのシステムに関してはNASAへ事件状況を連絡しており、調査準備を進めているところだという。
なお端末内には、不正プログラムが盗聴した情報を蓄積していた疑いのファイルが残されていた。このファイルには職員がメールシステムを操作した際の端末画面のキャプチャ画像やディレクトリのリストが含まれていた。
説明を行った執行役 情報システム部統括の大矢浩氏によれば、JAXAに対しては年間に多数のなりすましメールなどが送り付けられており、職員への周知や注意喚起を繰り返し実施していた。今回の事件はこうした取り組みのすき間を突く形で発生し、標的型メール対策の難しさが浮き彫りになった格好だ。
JAXAでは引き続き、漏えいした情報の特定や原因の究明、メールアドレス保有者への連絡を行っている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR