アンの日記

国立環境研究所（国環研）が使用していた「Proself」の脆弱性を突いたサイバー攻撃により、個人情報を含むデータの外部流出の可能性が浮上。

システムで何が起きたか

国環研が使用するオンラインストレージサービス「Proself」に対して、9月15日から28日にかけて不正アクセスが発生しました。この攻撃は、未知の脆弱性（CVE-2023-45727）を利用したもので、国環研は10月5日にその痕跡を発見しました。

原因

この脆弱性は「XML外部実体参照（XXE）」の一種で、Proselfの提供元ノースグリッドも当初は把握していませんでした。この攻撃により、アカウントのリストやパスワードのハッシュ値が盗まれ、それを利用した不正アクセスが行われました。

被害状況

不正アクセスにより、国環研職員の健康診断受診者名簿や外部機関の委員会名簿、研究所Webサイトからのデータダウンロードに使用されたメールアドレスなどの個人情報が流出した可能性があります。ただし、これらの情報の悪用は現時点で確認されていません。

対応

国環研は10月5日にProselfの使用を停止し、詳細な調査を開始しました。同時に、個人情報保護委員会に報告し、関係者への個別通知を進めています。さらに、ノースグリッドは10月4日に脆弱性を確認し、10月17日からセキュリティアップデートを提供しました。国環研は今後、セキュリティ対策の強化に努めると共に、関連機関と連携して状況把握に努めています。