今般、内閣サイバーセキュリティセンター（NISC）の電子メール関連システムに対し、不正通信があり、個人情報を含むメールデータの一部が外部に漏えいした可能性があることが判明しました。
これは、メーカーにおいて確認できていなかった電子メール関連システムに係る機器の脆弱性を原因とするものであると考えられ、同様の事案は国外においても確認されています。

内閣サイバーセキュリティセンターのメールのシステムが不正アクセスを受けた問題で、このシステムは中国を支援するハッカー集団にサイバー攻撃を受けたとされるアメリカの企業のものであることが関係者への取材でわかりました。

他方で、どのようなメールの情報が漏えいしたのか、技術的な報告を受領していないため、その他の二次被害等の影響を判断できていない状況です。
また、被害公表に「外部専門機関等による調査」とありますが、JPCERT/CCは本件調査に関与していません。

なお、悪用された脆弱性等について言及がなされていない点について指摘する声がありますが、JPCERT/CCとしては、どのような分野の被害組織であれ、被害公表だけでなく、情報共有や専門機関との連携含め、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」で示されている対応がなされることで、被害組織のインシデント対応に適切な評価が得られるようになるだけでなく、他の被害組織を含め、あらゆる関係者にとって必要な情報の非対称性が解消され、国全体として攻撃活動への対処がなされるものと考えています。

サイバー攻撃に係るさまざまな情報の特性から、非公表とした情報が完全に秘匿され続ける可能性は低く、侵害原因について「セキュリティの問題上答えられない」という回答は現実的ではありません。

Barracuda Networksが提供する「Email Security Gatewayアプライアンス（ESG）」に脆弱性「CVE-2023-2868」が明らかとなった問題で、影響を受けたアプライアンスはすぐに交換が必要であるとして同社は利用者に注意を呼びかけた。

「CVE-2023-2868」は、リモートコマンドインジェクションの脆弱性。現地時間5月20日にリリースした「BNSF-36456」をはじめ、顧客向けに複数のパッチを展開。アドバイザリなどを通じて注意を呼びかけてきた。同脆弱性に関しては、少なくとも2022年10月には悪用されたことが判明している。

　新しい規則により、上場企業は、重大であると判断したセキュリティインシデントを「Form 8-K Item 1.05」を通じて開示し、インシデントの性質や時期、範囲および登録企業に対する重要な影響または合理的に起こり得る影響の側面を説明することが義務付けられる。

　上場企業において重大なサイバーセキュリティインシデントが発生した場合、4営業日以内に開示する必要がある。ただし、米国司法長官が、即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断し、そのような判断を書面でSECに通知した場合は、開示が延期されることもある。

中国の軍事ハッカーが2020年に日本の防衛機密ネットワークに侵入していたと、アメリカの日刊紙・The Washington Postが匿名の元アメリカ政府高官による証言をもとに報じました。このサイバー攻撃はアメリカの国家安全保障局(NSA)によって検知され、「日本の近代史において最も有害なハッキングのひとつ」と日本の政府関係者に伝えられたそうです。

Barracudaより脆弱性を修正するパッチもリリースされているが、脆弱性を悪用されたあとではパッチを適用しても効果はなく、引き続き中国に関連するサイバー攻撃グループによってネットワークを侵入され続けるおそれがあると注意を喚起した。

　Microsoftのクラウドサービスを利用していた米国務省や商務省の電子メールアカウントが、不正アクセスの被害に遭っていたことが分かった。ハッカー集団はクラウドサービスにアクセスするための暗号鍵を入手し、Microsoftのシステムの脆弱性を悪用していたとされ、Microsoftに対して「セキュリティ慣行がずさん」「無責任」などと非難する声が上がっている。

　米政府機関など約25の組織の電子メールに対する不正アクセスについて、Microsoftが明らかにしたのは7月11日だった。電子メールサービス「Exchange Online」のデータに対する不審なアクセスについて6月16日に顧客から連絡があり、調べた結果、中国のスパイ活動を目的とする組織「Storm-0558」が5月15日から不正アクセスを続けていたことが分かったと発表した。