PR

 産業技術総合研究所(産総研)は2018年7月20日、2018年2月13日に判明した不正アクセス事案について調査結果を公表した。研究者ら職員143人のメールアカウントが不正侵入され、未公表の研究情報120点や学会参加者名簿などの個人情報が持ち出された。

産業技術総合研究所が公表した報告書
産業技術総合研究所が公表した報告書
[画像のクリックで拡大表示]

 ただし、産総研は流出データには研究所や国の業務、利益に重大な損害を与えるような、特に機密性が求められる重要情報が含まれていなかったとする。今回公表した「産総研の情報システムに対する不正なアクセスに関する報告」によれば、産総研へのサイバー攻撃は特定の個人もしくはグループによるものと想定され、攻撃は2017年10月から2018年2月にかけて継続的に発生した。

 攻撃者はまず産総研が導入する日本マイクロソフトのクラウド型メールサービス「Office 365」に対して、IDとパスワードを総当たりで試行入力する「ブルートフォース攻撃」を仕掛けた。2017年10月27日に1人のメールアカウントへの不正ログインに成功。その後、攻撃者は10月30日と31日にこの1人を含む8人のアカウントに不正侵入し、12月末までに合計100人のアカウントに不正侵入した。

 これらのアカウントは攻撃者がメールの内容を閲覧できるほか、検索や添付ファイルのダウンロード、なりすましてのメール送信など様々な操作をできる状態だった。不正侵入された人はキーボード配列をひと続きでなぞるようにして入力する脆弱なパスワードを使っていたケースが大半で、これが不正アクセスを許す一因になった。

外部サーバーからマルウエアを取り込ませる

 攻撃者はOffice 365とは別のシステムにも侵入した。産総研のある研究チームが外部の関係者と共同でソフトウエア開発に使い、ソースコードを保管してた外部のレンタルサーバーだ。IDとパスワードが何らかの手段で破られたという。産総研はイントラネット内部にある開発用サーバーで同ソースコードを取り込んでコンパイルし、実行環境を産総研内部に作っていた。攻撃者はこの仕組みを悪用。外部のレンタルサーバーにソースコードとともにマルウエアを仕込み、イントラネット内の開発用サーバーに取り込ませた。

 攻撃者は開発用サーバーを踏み台にして、さらに2台の内部サーバーにマルウエアを感染させ、外部からコントロールできるようにした。これら3台のサーバーからイントラネット内部にある、研究部門が管理するサーバー群やファイル共有システム、イントラネットの基盤システムを探索し、研究資料など多数のファイルをダウンロードした。

 またイントラネット内にあったLDAP(Lightweight Directory Access Protocol)サーバーにアクセスして、職員情報を閲覧。ここで得た情報を基に43人のメールアカウントに不正侵入した。ブルートフォース攻撃による100人と合わせて、合計で143人のメールが不正アクセスされた計算だ。

 メールの添付ファイルとイントラネットから持ち出したファイルを合わせて、以下のデータが漏洩もしくは漏洩した可能性がある。研究関連のデータについては、未公表の研究情報が120点で、共同研究契約に関する情報が208件。個人情報を含むデータについては、採用関係書類が204点で、学会やイベントの参加名簿が165点、所内業務用の連絡先が4337件である。学会やイベントの参加名簿には合計で約3800人の個人情報が含まれていた。