アンの日記

日本学術振興会が、ソフトウェア「Proself」の脆弱性を悪用された不正アクセスで、国内外の関係者1272名の個人情報が流出したと発表。

システムで何が起きたか

日本学術振興会は、ファイル転送ソフトウェア「Proself」が不正アクセスを受けたことを明らかにした。この攻撃は、未知のXXE脆弱性「CVE-2023-45727」を利用したもので、8月29日から9月20日にかけて発生した。

原因

この不正アクセスの原因は、Proselfに存在した「XML外部実体参照（XXE）」の脆弱性。開発元ノースグリッドもこの脆弱性を把握しておらず、10月になって初めて発覚した。

被害状況

流出した情報には、海外との研究者交流事業関係者391名、学術振興に関する行事や会議の参加者569名、同法人役職員312名の氏名、所属、役職、略歴、メールアドレスなどが含まれる。個人情報以外の機密情報の漏えいについてはコメントが避けられている。

対応

日本学術振興会はProselfのアップデートを実施し、問題の脆弱性を解消。対象者にはメールで事態を報告し、二次被害の確認はないとしている。個人情報保護委員会と警察には報告と相談を行った。今後、情報セキュリティ運用ルールの見直しと定期的な研修、内部点検を通じてセキュリティ強化を図る予定。