内閣サイバーセキュリティセンター(NISC)における不正アクセスとは？NISCの概要から不正アクセスの経緯までを解説！

2023年8月4日、政府の内閣サイバーセキュリティセンター(NISC)の電子メールシステムがサイバー攻撃を受けたことで、約5千人分の個人情報を含むメールのデータが外部に流出した可能性があることが発表されました。

 

政府が推し進めてきたサイバーセキュリティ組織が不正アクセスの被害にあったことで大きな話題となりましたが、この記事では、「内閣サイバーセキュリティセンター(NISC)」の概要と歴史、事件の詳細について解説します。

 

内閣サイバーセキュリティセンター(NISC)の概要

内閣サイバーセキュリティセンター(NISC)とは、日本政府の内閣官房に設置された、国の機関における情報セキュリティを所管する組織です。

 

国のサイバー攻撃対策の「司令塔」であることを前提に、国の情報システムへのサイバー攻撃の監視や対処、国としての情報セキュリティ対策方針の策定や行政機関への助言・援助、脆弱性など潜在的な驚異の調査や研究、諸外国にある関係機関との連絡・調整などの活動を行っています。

 

 内閣サイバーセキュリティセンター(NISC)の歴史

日本が初めてサイバーセキュリティ対策に国をあげて力を入れるようになったのが2000年でした。

 

1990年代にインターネットの商用利用が広がっていくようになると、1994年には米大手金融機関シティバンクがロシア人によってハッキングされる事件が発生したことで、「サイバー攻撃」の怖さが認知されるようになったのです。

 

2000年にアメリカ政府が受けたハッキングの脅威を受けて、内閣官房に情報セキュリティ対策推進室が設置され、2005年には、内閣総理大臣の決定により、「内閣官房情報セキュリティセンター」に組織を改編しました。

 

そして、2014年に制定された「サイバーセキュリティ基本法」制定に伴って、内閣官房情報セキュリティセンターは、内閣サイバーセキュリティセンター(NISC)に変わったのです。

 

 内閣サイバーセキュリティセンター(NISC)の役割

前述した「内閣サイバーセキュリティセンター(NISC)の概要」の中でも軽く触れてきましたが、内閣サイバーセキュリティセンター(NISC)は、どのような役割を担っているのでしょうか？

 

以下で、具体的に解説します。

 

  省庁を横断する司令塔

NISCでは敵対国とサイバー戦を行ったり、調査のために敵国をハッキングしたりしません。

 

具体的には、政府機関がサイバー攻撃を受けて機能が麻痺するのを食い止めるため、NISCは省庁などを日常的にチェックしています。各省庁では、サイバー攻撃対策やシステム構築を行っており、NISCは省庁に対してヒアリングを行ったり、事前にお伝えした上でシステムテストなども行ったりします。

 

日本がサイバー攻撃を受けた場合、さまざまな機関が関与します。

具体的には銀行・クレジットカードなど狙うサイバー犯罪が起きれば警察当局が操作に乗り出して、ケースによっては金融庁なども動くでしょう。

 

政府機関や当局に、サイバー対策をきちんと行うように指示を出す役割をNISCでは担っています。

 

  民間との連携

NISCが関わっているサイバーセキュリティ対策の対象には前述した政府機関のみならず、サイバーセキュリティ基本法の枠組みの中で、民間企業も含まれます。具体的には、「インフラ事業者」「サイバー空間管理事業者」などが該当するのです。

 

このような民間企業がセキュリティ対策をしっかりと行っているか監査し、事故が発生した場合は勧告をします。具体的には通信会社、金融機関、交通機関、電気ガス、医療機関が重点的なチェック対象です。

 

このような事業者にセキュリティ対策を促すことがNISCの2つ目の役割となります。

 

  国際連携

サイバー空間に国境は存在しないため、日本の力だけでは脅威に抵抗することが難しいのが現状です。

新たな脅威・攻撃発生などの情報を多くの国々と迅速に共有を行うことで、被害を最小限に抑えることができます。

 

日本がサイバー分野で関係を構築しているのは欧米の先進国だけではありません。

ASEAN(東南アジア諸国連合)などの途上国とも連携を行っています。

 

内閣サイバーセキュリティセンター(NISC)を標的にした不正アクセスとは？

前述のとおり日本におけるサイバーセキュリティの「司令塔」であるはずの「内閣サイバーセキュリティセンター(NISC)」が、なぜ不正アクセスを受けてしまったのでしょうか？

 

以下で、具体的に解説します。

 

 不正アクセスの原因となった「Barracuda Email Security Gateway(ESG)」とは？

「Barracuda Email Security Gateway(ESG)」とは、電子メールが配送される段階で、スパムやウイルスなどのマルウェア(不正なプログラム)などによるサイバー攻撃から、メールのインフラを保護してくれるサービスとして広く認知されています。

 

組織を狙うサイバー攻撃の被害を、事前に防止することができるという強みから、日本の多くの有名企業が導入をしているシステムでした。

 

また「Barracuda ESG」は、世界的な観点から見ても電子メールのセキュリティツールとして高い認知度を誇っており、導入すると、同社の中央システムに接続するアプライアンス(機器)を設置する必要があるが、不正メールの検知率は85％に上る高い精度を実現しています。

 

 不正アクセスの具体的背景

高い信頼を得ていた「Barracuda ESG」ですが、2022年10月10日の段階で脆弱性が確認されていました。

Barracuda社が、2023年5月23日にアメリカのセキュリティ会社に調査を依頼したところ、中国政府系のサイバー攻撃集団「UNC4841」が絡んでいることが分かったのです。

 

 中国政府系サイバー攻撃集団が関与

具体的な手口として、「UNC4841」は、脆弱性を抱えているBarracuda ESGの機器を利用しているターゲットの組織に対して、初期アクセス権(侵入するためのアクセス情報)を取得するように設計された不正ファイルを添付して、電子メールを送信。

 

これにより不正アクセスをできるようにしてから、内部情報を盗んだり、そこを踏み台にして「Barracuda ESG」を利用している他の組織にも不正メールなどを送ったりしていました。

 

UNC4841の攻撃を受けた組織の約3分の1が各国の政府機関であり、NISCもその被害者であることが判明したのです。

 

NISCが被害にあったことは、セキュリティ関係者内で大きな話題となりました。

省庁や企業も、「自分達は大丈夫なのだろうか」と心配するなど、サイバー攻撃は多くの方の心理状態に与える影響も大きなものとなっています。

 

日米安全保障条約の第5条を適用して、「サイバー攻撃」にも共同で対応する流れへ

2019年4月19日、ワシントンで開催された「日米の外務・防衛の閣僚協議」の中で、「宇宙」「サイバー空間」でもアメリカとの連携を強化し、日本が深刻なサイバー攻撃を受けた場合には、「武力攻撃」と見なしてアメリカと共同で対処する方針を確認しました。

 

アメリカの対日防衛義務を定めた日米安全保障条約の第5条を適用した上で、日本はアメリカを初め多くの国々と協力をしながら国家を揺るがすサイバー攻撃の脅威に対処していくことを表明した形です。

 

サイバー攻撃に対して、盤石の地盤を築く動きを見せる日本政府の動きを含めて、今後の動きが注目されています。