共同研究契約や個人情報など漏えいか 産総研サイバー攻撃 3カ月以上気付かず

産業技術総合研究所つくば本部=つくば市梅園

【鈴木宏子】産業技術総合研究所(本部つくば市梅園、中鉢良治理事長)がサイバー攻撃を受け、今年2月から2カ月近く、外部へのインターネット接続などを遮断していた問題で、同所は20日、被害状況や原因について調査結果を発表した。

不正アクセスが発覚したのは2月6日だが、昨年10月27日から3カ月以上にわたって気付かないままサイバー攻撃を受け続け、被害が広がっていたことが分かった。漏えいした可能性がある情報は、共同研究の契約情報208件、未公表の研究情報120件のほか、契約職員の採用書類、学会・イベントの参加者名簿、職員の氏名と所属などの個人情報4849件の計5177件が盗まれたか閲覧された可能性があるという。ただし、国の安全や研究所の業務に重大な損害を与える恐れがある情報は漏えいしていないという。

だれが攻撃したかは特定できなかったが、日本も含め13カ国・地域のIPアドレスが用いられ、月曜から金曜の午後4時30分ごろから深夜2時ごろに活動するという特徴があったという。特定の種類の閲覧ソフトが継続して使用されていたことから、一連の不正アクセスは、同一人物か同一グループによる1人か数名の攻撃だと推定できるという。

手口は巧妙で、昨年10月27日から12月末までと、今年1月23日以降の2回の攻撃があった。まず外部システムにあるメールから職員のメールIDを盗み出し、パスワードを幾パターンも試して配列が簡単だった143人分のパスワードを特定した。その後、IDとパスワードを使って職員に成りすまし、共同研究で使用していて内部システムにつながっていた外部のレンタルサーバーを踏み台にして内部のサーバーに侵入し、さまざまな情報に不正アクセスしたという。

被害を発生・拡大させた要因として同所は、メールがIDとパスワードのみで見られる設計だった、外部から内部サーバーを遠隔操作できる外部サイトがあった、内部ネットワークの監視が不十分だったなどとして、再発防止策を講じ、さらに今後、システムの強化や運用の見直し強化などに取り組むとしている。

調査結果を受けて、同所は情報漏えいに関係する外部機関に説明し謝罪した。さらに関係者に多大な迷惑を掛けたことを踏まえ、副理事長と担当理事が1カ月分について給与10%を自主返納するという。