ハッカーが宇宙航空研究開発機構(JAXA)へのサイバー攻撃を主張も公開データを窃取と偽装

セキュリティニュース

投稿日時: 更新日時:

ハッカーが宇宙航空研究開発機構(JAXA)へのサイバー攻撃を主張も公開データのデータを窃取と主張

2026年3月27日、ランサムウェアおよびデータ恐喝を行うサイバー犯罪グループ「ALP-001」が、日本の宇宙航空研究開発機構(JAXA)のネットワークに侵入し、6.9テラバイト(TB)に及ぶ大量のデータを窃取したとする犯行声明をダークウェブ上のリークサイトに公開しました

JAXAといえば、最先端の宇宙開発や国家安全保障にも関わる機微な情報を扱う機関です。過去にはVPN機器の脆弱性を突かれ、Microsoft 365環境へ不正アクセスされる事案も発生していたため 、このニュースはSNS上で多くの懸念を集めました。

しかし、攻撃者が「ハッキングの証拠」としてリークサイトに提示した画像やデータ構造を詳細に分析すると、これは高度なサイバー攻撃による機密情報の漏洩ではなく、「インターネット上で誰でも無料で入手できる気象衛星の公開データを大量にダウンロードし、さもハッキングの成果であるかのように偽装しただけのもの」である可能性が極めて高いのです。

なお、現時点では公式リリースが発表されていませんので、セキュリティ対策Labの独自見解となります。

【30秒でわかる本記事の概要】

  • ランサムウェアグループ「ALP-001」がJAXAから6.9TBのデータを窃取したと主張している

  • ハッカーが証拠として公開した画像は、一般公開されている気象衛星「ひまわり9号」の観測データ(True Color画像など)であった

  • ファイル名(NC_H09、FLDKなど)も気象データの標準フォーマットであり、公開データを自動収集して大容量の「偽装データセット」を作った可能性が高い

ハッカーが提示した「証拠画像」の正体は公開データ

ランサムウェアおよびデータ恐喝を行うサイバー犯罪グループ「ALP-001」はダークウェブ上のリークサイトで、JAXAへのサイバー攻撃を主張し6.9TBのデータ窃取を主張していました。

一方サンプルで公開された画像には運用するデータ提供システム(JAXA Himawari Monitorなど)で広く一般に公開されている気象観測データそのものでした

ハッカーが宇宙航空研究開発機構(JAXA)へのサイバー攻撃を主張も公開データのデータを窃取と主張

ファイル名が語る「公開データ」の証拠

サイバー犯罪者はしばしば、専門的で難解なファイル名を並べて「機密性の高さ」を演出します。しかしセキュリティ対策Labで調査したところ、

今回サンプルと提示されていたファイル名の規則性は、皮肉にもそれが公開オープンデータであることを明確に裏付けています。

 

ファイル名の要素 意味・示すもの 機密性
NC_H09 / HS_H09 NetCDF形式またはHSD形式の「ひまわり9号(H09)」データであることを示す標準識別子 公開データ
FLDK 地球の半球全体を捉えた「フルディスク(Full Disk)」画像であることを示す一般的な識別子 公開データ
TRC True Color(可視光3バンド合成)画像を示すコード。気象予報・教育目的で一般公開 公開データ
JP01 / JP02 / JP03 日本周辺(Japan Area)を切り出したデータであることを示すオープンな地理コード 公開データ
20260301_0030 観測日時(2026年3月1日 00:30 UTC)を示すタイムスタンプ。ひまわり9号は10分間隔で全データを公開配信 公開データ

これらのファイル命名規則はJAXAの公式ドキュメント(P-Treeシステム ユーザーズガイド)に明記されており、専門知識がなくても照合可能な情報です。

「スクレイプ・アンド・クレーム」という手口

ALP-001が今回用いた手口は、サイバーセキュリティ研究者が「スクレイプ・アンド・クレーム(Scrape-and-Claim)」と呼ぶ詐欺的手法です。

クレイプ・アンド・クレームとは

  1. インターネット上で誰でも入手できる公開データを大量にダウンロード(スクレイピング)する
  2. そのデータをまるで機密ネットワークから盗んだかのようにリークサイトに公開する
  3. 「大容量データ=深刻なハッキング」という一般大衆の思い込みを悪用して身代金を要求する
  4. 組織に対して実際の侵害がなくても風評被害(レピュテーション・ダメージ)を与えることができる

このような虚偽の犯行声明は、実際には侵入を防ぐためのリソースを浪費させ、セキュリティ担当者を疲弊させる「ノイズ」として機能します。

関連:JAXAへのサイバー攻撃をまとめて解説

サイバー攻撃報道に求められるリテラシー

ALP-001によるJAXAへの「6.9TBデータ侵害」声明を技術的に検証すると、以下の点から公開気象衛星データの悪用(スクレイプ・アンド・クレーム)である可能性が極めて高いと結論づけられます。

  • 同グループの過去の声明(1.127TB・251GB)と比べ、6.9TBは不自然に巨大
  • 証拠として提示された画像はひまわり9号のTRC公開データと完全に一致
  • ファイル名の命名規則がJAXA公開ドキュメントの標準フォーマットそのもの
  • 2025年10月の観測エリア拡張により、公開データの一括DLだけで6.9TBに到達できる
  • 軌道パラメータ・設計図・個人情報など機密性のあるデータは一切確認されていない

サイバーセキュリティの世界において、大容量のデータ流出声明は社会的パニックや組織の深刻な風評被害を引き起こします。今回のケースが示すように、攻撃者の主張を鵜呑みにするのではなく、「流出したとされるデータの性質(機密なのか公開情報なのか)を冷静に見極める」リテラシーが、今やセキュリティ担当者だけでなく、メディアや社会全体に求められています。

インシデント対応時の確認チェックポイント

  • 流出とされるファイルは公開データベースと照合できるか
  • ファイル名・フォーマットが既知の公開データの命名規則と一致しないか
  • 自社のログ・アクセス記録に異常は実際に確認されているか
  • データ量が同グループの過去声明と比べて異常に大きくないか
  • 提示されたデータに真の機密情報(非公開の個人情報・技術仕様等)が含まれているか