量子科学技術研究開発機構、ゼロデイ攻撃による不正アクセスで個人情報漏洩の可能性

国立研究開発法人 量子科学技術研究開発機構（QST）は、同機関が使用するリモートアクセス機器に対しサイバー攻撃(ゼロデイ攻撃)による不正アクセスが発生したことを公表しました。現時点で個人情報の漏えいが確認されたわけではありませんが、漏えいの可能性を否定できない状況です。

不正アクセスの経緯

1月9日（木）：脆弱性情報の確認と緊急停止

外部のセキュリティ機関から提供されたネットワーク関連機器の脆弱性情報をQSTの情報基盤管理部が確認。

その結果、QSTが利用しているリモートアクセス機器が対象となっていることが判明しました。脆弱性の深刻度と緊急度を考慮し、当該機器は同日17時30分頃に緊急停止されました。

1月14日（火）：不正アクセスの痕跡を確認

その後の調査により、2024年12月下旬の時点でゼロデイ攻撃による不正アクセスの痕跡が確認されました。この攻撃により、当該機器が侵害された可能性があることが明らかになりました。

被害状況

調査の結果、当該機器にはテレワークやリモートアクセス業務のために登録された個人情報（メールアドレス、氏名、所属組織名）が保存されていたことが判明しました。ただし、現時点で具体的な情報漏えいやその悪用の痕跡は確認されていません。

ゼロデイ攻撃とは

ゼロデイ攻撃とは、サーバーやネットワーク機器の脆弱性が公表され、メーカー等が対策を提供する前に行われるサイバー攻撃を指します。攻撃者はこの未修正の脆弱性を突いてシステムへ不正アクセスし、情報を窃取したりマルウェアを侵入させたりする危険性があります。