2024/07/05

JAXAが不正アクセスと情報漏洩に関して続報を発表

2024年7月5日　宇宙航空研究開発機構（JAXA）で発生した2023年、2024年の不正アクセスと情報漏えい疑惑に関して続報を発表しました。

1 JAXAの対応状況
2 不正アクセスの原因
3 漏えいした可能性のある情報
4 どこの国がサイバー攻撃を行ったかは未記載
5 過去発生したJAXAへのサイバー攻撃や不正アクセスの内容（年代別）
- 5.1 2013年のJAXAへのサイバー攻撃や不正アクセスの内容
  - 5.1.1 2016年のJAXAへのサイバー攻撃や不正アクセスの内容
  - 5.1.2 2023年のJAXAへのサイバー攻撃や不正アクセスの内容
6 中国の国家戦略と航空宇宙産業
- 6.1 「中国製造2025」の概要
- 6.2 中国製造2025の重点プロジェクト

JAXAの対応状況

JAXAは、外部機関からの通報を踏まえて、攻撃元との通信遮断及びサーバ等のJAXAのネットワークからの切断など初期対応を速やかに実施しました。その上で、セキュリティベンダーによる侵害痕跡の調査、攻撃対象サーバ及び端末の詳細調査（フォレンジック調査）等を実施し、マルウェアを発見・除去したほか、内部通信の強化など、想定されるリスクに対する緊急対策を実施。

また、調査の過程で、Microsoft365に対する不正アクセスの可能性が確認されたことから、Microsoft社の専門チームによる調査を実施し、更なる侵害が発生していないことを確認しているとのこと

不正アクセスの原因

初期調査、セキュリティベンダー及びMicrosoft社による調査並びにJAXAによる分析を踏まえ、本インシデントに関する主な侵害範囲を以下の通り。

なお、侵害の過程では、未知のマルウェアが複数使用されていたことが確認されており、侵害の検知を困難にしておりました。

第三者がVPN装置の脆弱性を起点にJAXAの一部のサーバ及び端末に侵入。先だって公表された脆弱性が悪用された可能性が高い。
侵入したサーバからさらに侵害を広げ、アカウント情報等を窃取。
窃取したアカウント情報等を用いて、Microsoft365に対して正規ユーザを装った不正アクセスを実施。

漏えいした可能性のある情報

本インシデントで侵害を受けた情報システムやネットワークにおいては、ロケットや衛星の運用等の機微な情報は扱われておらず機密情報は漏洩していない。

ただし

・Microsoft365上でJAXAが管理していた情報の一部（外部機関と業務を共同で実施するにあたっての情報及び個人情報）が漏洩したことを確認

・侵害を受けたJAXAの端末・サーバに保存されていた一部の情報（JAXA職員等の個人情報含む）が漏洩した可能性あり

どこの国がサイバー攻撃を行ったかは未記載

どこの国がサイバー攻撃を行ったか、記載されていませんが過去の経緯から中国である可能性があります。

過去発生したJAXAへのサイバー攻撃や不正アクセスの内容（年代別）

JAXAは過去にもサイバー攻撃や不正アクセスの被害を受けています。

2013年のJAXAへのサイバー攻撃や不正アクセスの内容

・4月にインターネットに接続したJAXAのサーバーへ外部から不正アクセスがあったことが判明

以下の情報が漏洩

国際宇宙ステーション日本実験棟「きぼう」の運用準備に使われる参考情報
「きぼう」運用関係者の複数のメーリングリスト

2016年のJAXAへのサイバー攻撃や不正アクセスの内容

中国がは2016年9月～17年4月に5回にわたり、JAXAへのサイバー攻撃などに使用された日本国内のレンタルサーバーからサイバー攻撃を行い中国共産党員でシステムエンジニアの30代の男を私電磁的記録不正作出・同供用の疑いで書類送検

中国人民解放軍が支援するハッカー集団「Tick（ティック）」が関与した可能性が高いとしています。

2023年のJAXAへのサイバー攻撃や不正アクセスの内容

6月: 外部機関から指摘を受け、JAXAが通常業務で使用していたネットワークに脆弱性があり、不正アクセスされていた可能性が発覚。
11月: 警察からの情報提供で、JAXAが今年夏頃からサイバー攻撃を受けていたことが明らかに。一般業務用ネットワークのActive Directoryサーバーが不正アクセスされ、職員約5,000人の氏名やメールアドレス、パスワードなどが流出した可能性がある。ロケットや衛星の運用情報などの機密情報は漏洩していない模様