富士通の情報共有ソフト不正アクセス 国交省などでも情報漏洩

官公庁や企業で幅広く使われている富士通の情報共有ソフトに不正アクセスがあった問題で、このソフトを利用している国土交通省や内閣官房でも情報漏洩があったことがわかりました。国土交通省では職員など少なくとも7万6000件のメールアドレス、内閣官房ではサイバーセキュリティセンターのシステム機器に関するデータの流出が確認され、富士通はソフトの運用を停止し影響を調査しています。

富士通が開発した「ProjectWEB」と呼ばれる、プロジェクト情報を共有するソフトは官公庁や企業などで幅広く使われていますが、不正アクセスを受け、このソフトを利用している成田空港で航空機の運航管理に関する情報などが盗まれたことが今月20日、成田空港会社の発表で明らかになりました。

この問題で国土交通省は26日
▽省の職員や業務でやり取りのある関係者少なくとも7万6000件のメールアドレスや
▽省内のメールシステムやインターネットの設定に関する情報などが流出したことを確認したと明らかにしました。

また、内閣官房の内閣サイバーセキュリティセンターでも、このソフトへの不正アクセスで、センター内の情報システムがどういった機器で構成されているかを示すデータなどが流出したことが確認されたということです。

内閣サイバーセキュリティセンターは「流出した情報をもとに攻撃されないよう対策を講じたが引き続き警戒を強化したい」と話しています。

富士通はこのソフトの運用を一時停止したうえで影響の範囲の調査にあたっていて、中央省庁も含め複数の組織で不正アクセスと情報の流出が確認されたことについて「本事案を重く受け止め関係当局への相談を進めるとともに、被害に遭われたお客様の支援に全力で努めてまいります」とコメントしています。

外務省も外部流出を発表

外務省は富士通に提供した資料などが外部に流出していたと発表しました。

外務省によりますと、流出したのは外務省が推進するデジタル関連の政策実現に向けた検討資料で、一部に個人を特定できる情報が含まれていたことから、該当者に事実関係を連絡したということです。

ただ、外務省のシステムや業務への影響は確認されておらず、外務省は富士通に対し原因の究明と再発防止の徹底を申し入れたということです。

問題のデータ共有ソフト 外部からのアクセス可能

今回、不正アクセスを受けた富士通のソフト「ProjectWEB」は、行政機関や企業、それに研究所などで、富士通が委託を受けて業務システムを構築したり、運用したりする際に、関係するシステムエンジニアや、協力会社のプログラマーなどがデータを共有するために使われるものです。

進捗(しんちょく)の確認のために、委託元の組織の担当者が利用することもあるということです。

データは、富士通のデータセンターに保管され、インターネットを使って、外部からアクセスが可能で、組織の枠にとらわれず、関係者がデータを共有できるのが特徴で、保管するデータは、組織によってさまざまですが、システムの運用に欠かせないデータが保管されることがあるということです。

富士通によりますと、平成21年の時点では、行政機関や企業など3000か所でソフトが使われていましたが、現在の顧客の数は非公表だとしています。

専門家「迅速な情報共有と対処を」

情報システムやセキュリティーに詳しい、国立情報学研究所の高倉弘喜教授は、今回、中央省庁や空港で不正アクセスが相次いだことについて、「多くの組織にシステムを任されている業者が攻撃されたことで、さまざまな組織に被害を及ぼしたことが恐ろしく、中央省庁のシステムの運用に関わる重要な情報を保管する場所がねらわれたことは深刻に受け止めるべきだ」と指摘しています。

流出した情報の中には、組織の中の重要なシステムを構成する機器などのデータも含まれていて、「こうした情報は、攻撃者にとって、どこをねらってどう攻撃するかを検討する材料となりえ、次のサイバー攻撃につながることを危惧している」と話しています。

今回、ソフトを開発・運用していた富士通については「重要なデータを丸ごと取られないように、こまかくアクセス管理したり、必要以上のデータの持ち出しを検知するなどの対策を取るべきだ」としたうえで、「今回、まず、成田空港で不正アクセスがあったことが明らかになってから、その後、情報の共有が遅かったのではないか。被害の範囲や原因が分からない段階でも新たな攻撃を招かないよう、情報を素早く公表して対象となる組織が対応を取れるようにすべきで、今後も、流出した情報の内容や原因について、しっかりと情報公開すべきだ」と話しています。

一方、富士通にシステムを委託している中央省庁などの組織については「安全管理を業者任せにせず、自分の組織でどのような情報を共有しているかや何が漏れたらいちばんまずいかをあらかじめ把握し、攻撃を受けた際に、被害を最小限におさえ、仕事を継続する対処法を日頃から練っておく必要がある」としています。

そのうえで「日本では、ITのシステムがトラブルに見舞われた際に、委託元の組織が委託先を非難して責任を押しつけるようなケースもしばしば見受けられるが、巧妙化する攻撃に対処するには日頃からコミュニケーションを密にして情報共有をスムーズにはかっておくことが重要だ」と話していました。