国立研究開発法人量子科学技術研究開発機構(QST)は、2025年1月9日に外部のセキュリティ機関から取得した脆弱性情報を確認した際、QSTのネットワークで使用しているリモートアクセス機器が含まれていることが判明した。
この脆弱性が深刻であると判断されたため、安全確保のために同日当該機器を緊急停止した。
その後、1月14日に実施した調査により、2024年12月下旬にゼロデイ攻撃による不正アクセスの痕跡があったことが確認されている。
不正アクセスを受けた機器には、テレワークやリモートアクセス業務を行う目的で、メールアドレス、氏名、所属組織名といった個人情報が登録されていた。
現時点では、これらの個人情報が実際に流出した証拠や、悪用された形跡は確認されていないとされている。
今回の不正アクセスは「ゼロデイ攻撃」によるもので、QSTのリモートアクセス機器に存在していた脆弱性が悪用された可能性が懸念されているという。
QSTは現在、外部の専門機関と協力し、侵害の詳細や情報流出の有無、流出があった場合の影響範囲などを調査しているとのこと。
今後、調査結果から再発防止策を含めた情報セキュリティ対策の強化に取り組むとしている。
【参考記事】
https://www.qst.go.jp/
