JAXAへのサイバー攻撃をまとめて解説

JAXAへのサイバー攻撃のまとめ

2024年7月、JAXAは不正アクセスによる情報漏洩への対応状況についてのリリースを公表しました。今回の記事ではJAXA(宇宙航空研究開発機構)に対するサイバー攻撃やランサムウェア攻撃などの情報漏洩についてまとめて 解説していきます。

JAXA(宇宙航空研究開発機構)について

JAXAは2003年に設立され、日本の宇宙計画において中心的な役割を果たす国立研究開発法人です。

JAXAとは、宇宙航空研究開発機構の略称で、政府全体の宇宙開発利用を技術で支える中核的な実施機関です。2003年に、宇宙科学研究所(ISAS)、航空宇宙技術研究所(NAL)、宇宙開発事業団(NASDA)の3機関が統合して誕生しました。これにより、基礎研究から開発・利用に至るまで、1つの組織で一貫して行える体制が整えられました。

主な業務内容は、以下のとおりです。

  • 人工衛星・探査機での貢献
  • 宇宙環境の利用
  • 地上と宇宙を結ぶ輸送システムの研究開発
  • 宇宙科学・惑星探査の研究
  • 航空技術の研究
  • 基盤技術の研究
  • 産業振興
  • 国際協力

JAXAはロケット打ち上げや有人宇宙探査、小惑星探査などに幅広く携わっており、近年は防衛省と連携して衛星や宇宙ゴミの監視など安全保障分野でも協力しています。

JAXAは2024年7月1日、日本の高性能レーダー衛星「だいち4号」を搭載した次世代基幹ロケット「H3-3」の打ち上げに成功しました。ロケットや衛星に関する情報が国家安全保障と深く関わっていることは明らかです。

JAXAのデータ漏えいによる影響

2024年4月には日米首脳会談で両国が宇宙分野で緊密に連携することで合意しました。日本が諸外国と協力する宇宙開発プロジェクトは増えています。JAXAのデータ漏洩による影響が日本だけにとどまらないのは言うまでもありません。さらに、後述しますが過去には中国共産党員によるJAXAなどへのサイバー攻撃への関与が認められており、中国がこのような情報を入手すれば、同盟国や友好国の安全を脅かす恐れもあります。JAXAへのサイバー攻撃への事態は極めて深刻であると認識する必要があります。

仮に、JAXAが安全対策に対する信頼を完全に回復できない場合、海外のパートナーとの将来の共同プロジェクトに支障をきたす可能性があります。宇宙分野は国家間の連携が欠かせません。NASAなど各国の宇宙関連プロジェクトに関わることが出来ない事態が生じてしますと、日本の国益への悪影響は計り知れません。

中国共産党員のJAXAなどへのサイバー攻撃への関与(2016年)

JAXAなど国内約200の企業や研究機関へのサイバー攻撃に関与した疑いが強まったとして、警視庁公安部は2021年4月20日に中国共産党員でシステムエンジニアの30代の男を私電磁的記録不正作出・同供与の疑いで書類送検しました。

送検容疑は2016年9月から2017年4月に5回にわたり、JAXAへのサイバー攻撃などに使用された日本国内のレンタルサーバーを偽名で契約するなどした疑いです。捜査関係者によると、男は中国国営の通信会社のシステムエンジニアで中国共産党員です。防衛や航空関連企業を含む約200の企業や研究機関を対象に、日本製ソフトウエアのシステム上の弱点である「ゼロデイ」が狙われました。

男が契約したサーバーのIDなどは「Tick」と呼ばれる中国軍の指示を受けたハッカー集団に送られており、警察当局は背後に中国軍のサイバー攻撃専門組織「61419部隊」の関与があるとみています。日本に滞在していた別の中国人男性が同部隊に所属する人物から指示を受け、レンタルサーバーを契約するなどしていたことも判明しています。

当時のサイバー攻撃では、資産管理ソフト「SKYSEA Client View」を利用していたJAXAを含む企業らが攻撃されました。

警視庁は、サイバー攻撃の発信源は中国軍の指揮下にあるハッカー集団であると結論付け、中国共産党員を私的電磁的記録の不正作成・提供の疑いで東京地検に書類送検したものの、同年10月に不起訴となりました。

宇宙計画に関する機密情報漏洩した可能性(2023年11月)

2023年11月、JAXAは2023年夏ごろにサイバー攻撃を受け、日本の宇宙計画に関する機密情報が漏洩した可能性があることを報じられました。JAXAのネットワークを管理する中央サーバー「Active Directory(AD)」が不正アクセスを受けたことを関係者が明らかにしました。

組織のメイン ネットワークに接続されたディレクトリは、従業員の ID やパスワード、閲覧権限などの情報を管理します。警察当局は2023年秋頃に不正アクセスを察知し、JAXAに通報しました。

不正アクセスは2023年の夏ごろに発生したとみられますが、関係者によると、JAXAは警察から連絡を受けるまで攻撃に気づかなかったと報道されています。JAXAが所管する文部科学省にサイバー攻撃を報告し、本格的な調査が開始されました。

大規模な情報漏洩は確認されていないものの、JAXA関係者は「ADサーバーがハッキングされた以上、ほとんどの情報が見えていた可能性が高い。非常に深刻な事態だ」と話しています。

また、JAXAは、2023年に自社のシステムに対するサイバー攻撃を調査するためマイクロソフトと協力中に、ゼロデイ脆弱性を利用した攻撃を受けていることを発見しました。

Microsoft 365 への不正アクセス(2023年)

調査において、ロケットや衛星、国家安全保障に関する機密データが侵害されていないことを確認するためにネットワークは当面オフラインにされました。この事件の発端はMicrosoft 365 (M365)への不正アクセスだったことが判明しています。JAXAはMicrosoftに調査への協力を依頼し、さらなる侵害は見つからなかったと明らかにしました。

JAXAの声明では、マイクロソフト以外の主体によって発見され、削除されたマルウェアの存在も明らかにしています。さらに、同機関が採用したネットワーク監視の強化やリモートアクセスのセキュリティ強化などの対策に関するセクションの最後の文には、ゼロデイ攻撃についての言及もあります。

声明では「監視を強化する中で、今年1月以降、JAXAのネットワークへの複数の不正アクセス(ゼロデイ攻撃を含む)を検知し対応してきましたが、情報漏えいはありませんでした」と声明には記されています。

2023年の侵害により、攻撃者はJAXAのMS365サービスにホストされている個人情報を含む一部の情報を入手しました。

幸いなことに、侵害されたシステムには打ち上げロケットや衛星運用に関する機密情報は含まれていないとみられています。JAXAはまた、この攻撃が国内外のパートナーとの協力に影響を及ぼす可能性を否定しました。

攻撃者は複数の未知のマルウェアを使用していたため、不正アクセスを検出するのは困難だったとJAXAは説明しています。JAXAの内部サーバーとコンピューターへの最初の侵入は、VPNの脆弱性を悪用して行われた可能性が高く、その後、攻撃者は不正アクセスを拡大し、宇宙機関のユーザーアカウント情報を侵害しました。そのアカウント情報は、今度はMS365サービスへのアクセスに使用されました。

また、2023年6月の不正アクセス事案では、米マイクロソフトのクラウドサービス「マイクロソフト365」から1万を超えるファイルが流出した可能性があります。特にJAXA幹部の情報を狙われたとみられ、秘密保持契約(NDA)を結んだ企業や組織のファイルも多数含まれていたとされています。

機密指定情報への不正アクセス(2024年6月)

2024年6月、JAXAは不正アクセスの被害に遭い、重要なデータの一部が外部に流出した可能性があると報告しました。機密指定を含む大量の情報が外部に流出した恐れがあり、侵入被害は2024年6月以降、計4回にわたっていたことがわかりました。JAXAは対策を取っていたものの、繰り返し侵入を受けていました。

情報流出の恐れは昨年6月に発生しており、調布航空宇宙センターの研究用ネットワークに侵入されました。ハッカーはJAXAの業務ネットワークにたどり着き、職員らの個人データ約5千人分を盗んだ痕跡が見つかっています。JAXAは昨年10月に警察からの指摘で被害を把握し、新たな機器の導入など対策を取っていましたが、2024年1月、4月、5月にそれぞれ不正アクセスが確認されました。1月は業務ネットワーク、4月は地球観測基盤システム、5月はスーパーコンピューターネットワークと、それぞれ別のネットワークへの不正アクセスでした。JAXAは今年受けた不正アクセスについて「情報漏洩はないことを確認している」としていると公表しています。

侵入の手口

2024年の4回の侵入の手口は共通です。インターネットからJAXA内部のネットワークに接続する「VPN(仮想専用線)機器」をハッキングされた痕跡があり、いずれも異なるメーカーの機器で、それぞれの欠陥が悪用されました。うち2回はメーカーが欠陥を公表する前に侵入された痕跡があり、高度な技術力を持ったハッカー集団の関与が伺えます。

流出した情報

JAXAのプレスリリースによると今回のサイバー攻撃により流出した情報は下記の様に公表しています。

本インシデントにより、侵害を受けたJAXAの端末・サーバに保存されていた一部の情報(JAXA職員等の個人情報含む)が漏洩した可能性があります。また、MS365上でJAXAが管理していた情報の一部(外部機関と業務を共同で実施するにあたっての情報及び個人情報)が漏洩したことを確認しています。本インシデントで侵害を受けた情報システムやネットワークにおいては、ロケットや衛星の運用等の機微な情報は扱われておりません。

今後の対策

今回のサイバー攻撃を受けて、今後の対策については以下の様に公表しています。

本インシデントを受けて、脆弱性対応を迅速に行うための体制整備や内部通信ログの監視強化等の短期的対策を実施しました。加えて、更にセキュリティを強化するための恒久対策を検討し、エンドポイントを含めたネットワーク全体の更なる監視強化、外部からの接続方法の改善、運用管理の効率化・可視化、なりすまし対策の強化等の対策を策定しました。現在、これらの対策の計画の具体化をはかっているところです。なお、上記の対策を進め監視を強化している中で、本年1月以降、複数回の不正アクセスを確認しました(その中には、ゼロデイ攻撃によるものも含まれます)が、情報漏洩等の被害が発生していないことを確認しました。

JAXA 理事長など役員のアカウントへの攻撃(2024年10月)

JAXAは一連の高度なサイバー攻撃により、2024年10月、山川宏理事長やその他理事4名を含む役員のアカウントが乗っ取られたことが判明しました。なお、今回の役員へのデータ侵害は、2023年6月以降サイバー攻撃に見舞われている同機構に対する、より広範なサイバー攻撃の一部とされています。

最も被害が大きかった攻撃は2024年6月に発生し、JAXAの従業員および関連会社の従業員約5,000人の個人情報が盗まれました。JAXAの内部調査で明らかになりましたが、約200のアカウントが侵害され、9人の取締役の半数以上が標的となりました。これらの侵害されたアカウントにより、サイバー攻撃者は宇宙探査、国家安全保障、対外交渉に関連する重要な戦略情報にアクセスできるようになりました。

盗まれた認証情報の中には、重要な政策立案や予算問題に携わる役員の認証情報も含まれていました。攻撃者はこれらの役員のアカウントを悪用し、JAXAの業務の極めて機密性の高い領域に侵入しました。6月の侵入事件に関するさらなる調査で、ハッカーらがJAXAが利用していたマイクロソフトのクラウドサービスを悪用していたことが判明しました。約1万件のファイルが無許可でアクセスされ、そのうち1,000件以上の文書は外部パートナーから提供されたものでした。問題のファイルは、NASA、欧州宇宙機関(ESA)、トヨタ自動車、三菱重工業、防衛庁など40以上の企業や組織からのものでした。

この侵害の影響は広範囲に及びます。特にJAXAとこれらの組織とのパートナーシップに多大な影響を及ぼします。この攻撃の最も懸念される側面の1つとして、NASAとJAXAの共同プロジェクトであるアルテミス月探査プログラムに潜在的に影響を与える可能性があります。

漏洩したファイルには、NASAや三菱重工業に関連するファイルを含む、宇宙探査や防衛技術に関する重要な情報が含まれているとみられています。この侵害により、JAXAの戦略企画管理部門や有人宇宙飛行技術部門のプロジェクトが深刻な影響を受けました。

当局は依然としてデータ損失の全容とサイバー攻撃の潜在的な長期的影響を評価しています。

まとめ

記事の前半部分でも記載しておりますが、宇宙分野は国防にも関わる国家機密の重要な情報を保有しています。国家に関わる情報の漏洩は国の存亡にも関わります。今後のJAXAの動向について注目しましょう。

TOPへ