内閣サイバーセキュリティセンター(NISC: National center of Incident readiness and Strategy for Cybersecurity)は8月4日、「内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について - NISC」において、NISCの電子メール関連システムに不正な通信があり、個人情報を含むメールデータの一部が外部に漏えいした可能性があると発表した。

  • 内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について - NISC

    内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について - NISC

NISCによると、2023年6月13日に電子メール関連システムの不正な通信を検出し、翌14日から15日にかけて当該システムの運用を停止、必要な対策を講じた上で当該システムを再稼働したとしている。その後、2023年6月21日に、保守運用事業者の調査によりこの不正通信が当該機器の脆弱性に起因するものである証拠を発見したとのこと。

外部専門機関などによる調査において、令和4年10月上旬から令和5年6月中旬までの間にNISCとインターネット経由で送受信した個人情報を含むメールデータの一部が漏えいした可能性があるとし、個人情報が漏えいした可能性がある人に対して個別に通知したとしている。

また、現時点では個人情報の悪用の被害は確認されていないが、今後NISCを装った不審なメールが送付されるなどの可能性があると注意を呼びかけている。

同件に関し、JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は、内閣サイバーセキュリティセンターと当該期間に行ったメールのやり取りにおいて、機微な情報の提供は行っていないと報じている(参考: 「i電子メール関連システムからのメールデータ漏えい被害が公表されている件について - JPCERTコーディネーションセンター」)。JPCERT/CCはインシデント対応支援先などにただちに二次被害などの影響が及ぶ可能性はないとしているが、同時にNISCから技術的な報告を受けていないため、そのほかの二次被害等の影響を判断できていないともしている。

同件において、脆弱性の詳細や脆弱性のあった当該機器の機種などは公開されていない。このため、この脆弱性の影響範囲がわからず、情報公開を求める声があがっているとの指摘がある。JPCERT/CCは「サイバー攻撃被害に係る情報の共有・公表ガイダンス」で示される対応がなされるだろうとの考えを示し、速やかな情報公開が常に正しいわけではないことを暗に示すとともに、公共の利益に資すると判断されれば適切なタイミングで情報公開されるだろうとの期待を示しているものとみられる。