Tweet

「既知のウイルスではなかった」

JAXAでウイルス感染、ログイン情報など漏えいの恐れ

2012/01/13

　宇宙航空研究開発機構（JAXA）は1月13日、国際宇宙ステーション（ISS）の物資補給機「こうのとり」（HTV）の関連業務に従事する職員のPC1台が、2011年7月から8月にかけてウイルスに感染していたことを明らかにした。端末に保存されていたメールアドレス、約1000件のほか、JAXAの業務システムやアメリカ航空宇宙局（NASA）のISS関連文書システムにアクセスするためのID／パスワード情報などが盗み取られた恐れがあるという。

　PCがウイルスに感染したのは、2011年7月6日と見られる。職員の知人名で、「忘年会」というタイトルで送られてきた電子メールに添付されていたPDFファイルを開いたところ、トロイの木馬型ウイルスに感染した。同時期、複数の職員が同様のメールを受け取っていたが、開いたのは1名のみだった。

　なお、この知人は実際にはメールを送信していない。差出人名を詐称し、別のメールアドレスを使ったなりすましメールと見られる。

JAXA 執行役 情報システム部 統括 大矢浩氏

　JAXA 執行役 情報システム部統括の大矢浩氏によると、端末にはセキュリティパッチを速やかに適用する運用を行っていた。また「最初にウイルス付きメールを受信した段階では、ウイルス対策ソフトには引っかからなかった。トロイの木馬もキーロガーも、既知のウイルスではなかった」という。この時期、官公庁や特定の企業を狙った標的型攻撃が発生し、実際に被害が生じていたが、「JAXAもその対象の1つになっていたのかもしれないと思う」（大矢氏）。

　端末はその後、トロイの木馬を介してキーロガーにも感染。PC内部のディレクトリ情報やJAXAの業務システムなどにアクセスするためのID／パスワード情報、メール操作時のスクリーンショットなどを収集し、IPアドレスによればコロンビアにある外部サーバに送信していた痕跡があったという。

　8月11日になって、ウイルス対策ソフトが、不正な外部サイトへのアクセスを試みようとしていると警告を出したことで異常に気付き、調査に乗り出すこととなった。外部専門業者の協力を得て被害状況および影響の調査を進め、2012年1月6日になって、何らかの情報を外部に送信していたことを確認。1月12日にNASAに感染の事実を連絡した。JAXAでは引き続き、漏えいした情報内容の特定と原因究明に取り組むという。

　今回の感染で、メールアドレスのほか、職員が従事するHTVの仕様、設計や補給物資の積み下ろしといった運用手順に関する情報などが漏えいした可能性がある。また、JAXAの業務システムのみならず、NASAのISS文書システムや米国航空宇宙学会の論文検索システムにアクセスするためのID／パスワード情報も外部に送信された恐れがある。これを踏まえJAXAでは、端末からアクセス可能なシステムのパスワード変更を実施した。

　JAXAによると、現時点ではウイルス感染によって第三者に影響を与える事象は確認されていない。ただし前述のとおり、侵入の足がかりとなる情報が漏えいした可能性はある。

　大矢氏によるとJAXAには、年間を通じて相当数のウイルスメールが送り付けられており、定期的なセキュリティ講習のほか、そのつど注意喚起を行ってきた。今回の感染を踏まえて、「運営する側にもさらなる工夫が必要」と述べている。