JAXAを襲ったサイバー攻撃から学ぶ情報漏洩対策の最終手段

警察からの連絡まで気が付かなかったサイバー攻撃

国立研究開発法人宇宙航空研究開発機構（以下、JAXA）は今年の夏頃からサイバー攻撃を受けていたことが分かりました。
不正アクセスは一般業務用ネットワークのActive Directoryサーバで確認されました。^(*1)そしてサイバー攻撃は2023年夏頃から行われていたことが分かっていますが、秋頃に警察からの連絡があるまで、JAXA側は不正アクセスに気が付かなったようです。^(*2)少なくとも数か月間、攻撃者はJAXAのネットワークに侵入し、ネットワーク構成、システム内の脆弱性、ログオン情報の窃取、機密ファイルなどの機微情報の所在確認など進めていたのではないかと思われます。
情報漏洩の可能性については、侵入を許したネットワークが一般業務用に限定されていたためか「一般業務に関する情報は漏洩の可能性があるが、宇宙航空事業に関する機微情報については漏洩の懸念はない」としています。^(*3)

宇宙航空事業が多くの国で注目されている中、JAXAはこれまでにも複数回のサイバー攻撃に遭っています。
2016～17年に受けたサイバー攻撃は、中国のハッカー集団によるものと2021年に警視庁が判断し、中国人男性が書類送検されました。それ以前にも2012～13年には複数回のサイバー攻撃を受けています。

これまで何度もサイバー攻撃に遭っているJAXAですが、再びサイバー攻撃に遭い、外部からの指摘があるまで侵入に気が付きませんでした。この点は、サイバー攻撃が如何に巧妙だったか、サイバー攻撃の検知がどれだけ難しいのかを窺い知ることができます。

研究機関や製造業を狙うサイバー攻撃から重要情報を守るには

JAXAを始めとした研究機関や製造業が保有する技術情報は、サイバー攻撃の標的になりやすく、組織はサイバー攻撃を防ぐための様々なセキュリティ対策を講じています。
しかしサイバー攻撃の技術は日進月歩で進化を続けており、サイバー攻撃を完璧に防ぐことはとても不可能です。サイバー攻撃を防ぐ手段としてSIEMやXDRなどの活用は有効ですが、それでも防ぎ切れないサイバー攻撃は存在します。
サイバー攻撃を防ぎ切れない以上、サイバー攻撃によって侵入されることを前提とした情報漏洩対策が必要となります。

JAXAが狙われた今回のようなサイバー攻撃は、一般的に情報収集・初期侵害・拠点確立などの複数のフェーズに分かれており、最終目的の情報窃取までに1年以上の時間をかけることがほとんどです。今回の事件は、攻撃が開始した夏頃から警察庁から連絡を受けた秋頃の段階でどこまで攻撃が進んでいたのか分かりませんが、発見が遅れた場合は更に機密性の高いネットワークへ侵入され、機密性の高い宇宙航空情報が漏洩していた可能性も十分に考えられます。機微情報は漏洩の懸念が無いとされていますが、本当に漏洩されていないのであれば、被害を最小限に食い止めることに成功したと考えられます。
一方で、実際に攻撃者の侵入を許してしまったことは事実で、侵入されたことを前提とした情報漏洩対策が必要であることは明らかです。

サイバー攻撃の侵入を前提とした情報漏洩対策とは

侵入を前提とした情報漏洩対策とは「暗号化」です。重要情報を予め暗号化することで、サイバー攻撃によって不正に情報が流出してしまったとしても、攻撃者は暗号化を解読することができず情報は守られます。

特にIRM（Information Rights Management）システムを使って暗号化されたファイルを利用するには、正規のユーザであることの認証を受ける必要があります。認証を受けない犯行者がファイルを取得したとしても、ファイルを利用することはできません。
このようにファイルなどの情報そのものを暗号化することで、サイバー攻撃によって侵入を許したとしても重要情報を漏洩から守ることができます。