富士通ツール、未知の欠陥狙われたか 省庁情報流出問題
編集委員・須藤龍也
富士通が提供する情報共有ツール「ProjectWEB(プロジェクトウェブ)」が不正アクセスを受け、取引先の省庁や政府機関の情報が流出した問題で、富士通は11日、朝日新聞の取材に対し、原因について初めて明らかにした。ツールに未知の欠陥(脆弱〈ぜいじゃく〉性)が存在し、悪用された可能性があるという。
プロジェクトウェブは、同社がシステム開発を受託した官公庁や企業とのやりとりに使う社内ツール。今年5月、63人分の個人情報が記されていた外務省の資料への不正アクセスが発覚したことをきっかけに、内閣サイバーセキュリティセンター(NISC)や国土交通省、総務省など、このツールに情報が保存されていた組織の被害が次々と明らかになった。富士通の調査は現在も続いており、被害の規模はさらに広がる可能性がある。
同社の説明によると、不正アクセスの際にはツールの正規利用者のIDとパスワードが使われ、正常な手続きを経てログインしていた。何者かが正規の利用者になりすました手口だったことが判明したという。
この利用者のIDとパスワードはあらかじめ盗み取られたと考えられるため、富士通は利用者のパソコンがウイルスに感染して乗っ取られるなど、様々な原因を調査した。その結果、ツール本体に潜んでいた未知の脆弱性を悪用したサイバー攻撃の可能性が高いことが分かったという。
被害を受けた省庁の担当者に…
