国立研究開発法人「量子科学技術研究開発機構」(千葉市、小安重夫理事長)がリモートアクセス機器に対するゼロデイ攻撃を受けたことを明らかにしました。漏洩の痕跡や具体的な被害は確認されていないとしつつ個人情報漏洩の可能性は否定できないとしています。
脆弱性情報を受けて調査してみたら‥‥
リリースによると、1月9日に外部セキュリティ機関から受けたネットワーク関連機器の脆弱性情報に機構が使用している機器が含まれていたことから安全確保のため同日午後5時30分にシステムを緊急停止したということです。その後、1月14日に機器の状況を調査したところ、昨年12月下旬にゼロデイ攻撃による不正アクセスの痕跡があったということです。機構によると、テレワークやリモートアクセス業務を行う目的で、個人情報(メールアドレス、氏名、所属組織名)が当該機器に登録されていたが、個人情報が漏洩した痕跡や具体的な被害は確認されていないということです。機構は外部委託会社の協力を得て調査を進めているとしていて、再発防止措置を含めた情報セキュリティ対策を強化していくとしています。
量子科学技術研究開発機構は、量子エネルギー、量子ビーム、量子医学・医療、量子技術イノベーションという4つの分野に関して研究開発を行っている機関で、イオン照射研究施設や重粒子加速器など高度な研究機器や施設を有している機関です。また、災害などの有事に際しては国や地方公共団体と協力して対応する役割を担っているほか、原子力事故時には被ばく患者の専門的な治療を担う機関だということです。
今年1月8日にIvantiが提供しているVPNサービス、Ivanti Connect Secureの脆弱性CVE-2025-0282、CVE-2025-0283が公表されており、マンディアントは昨年12月中旬からCVE-2025-0282のゼロデイ攻撃を確認していることをレポートで明らかにしています。また、JPCERT/CCも昨年12月下旬からIvanti Connect Secureの脆弱性を悪用した攻撃を国内で確認していると明らかにしています。機構は1月9日に外部セキュリティ機関から受けたネットワーク関連機器の脆弱性情報に機構が使用している機器が含まれていたことから安全確保のためシステムを緊急停止したとしていることから、1月8日に公表されたIvanti Connect Secureの脆弱性を受けた対応の結果、ゼロデイ攻撃の痕跡が見つかった可能性がありますが、機構は当該機器を具体的に明らかにしていませんので事実関係は不明です。ちなみにIvanti Connect Secureの脆弱性については2月11日にはCVE-2025-22467が公表されており、この脆弱性のCVSSスコアは9.9と極めてリスクが高いためただちにパッチを適用する必要があります。
排除できないAPT攻撃の可能性
日本の組織に対する攻撃については、シスコ社が今年1月頃から行われている新たな活動について最近、レポートを発表しています。この攻撃は、昨年6月に公表されたWindows 上のPHP-CGI 実装におけるリモート コード実行 (RCE) の脆弱性CVE-2024-4577を悪用して初期アクセスを行っているということですから量子科学技術研究開発機構が受けた攻撃とは別の攻撃であることは明らかですが、テクノロジー、通信、エンターテイメント、教育、電子商取引など、さまざまな業種の日本国内の組織を標的に攻撃が行われているということです。
Ivanti製品の脆弱性に関しては少なくとも2023年12月からゼロデイ攻撃が行われており、マンディアントは攻撃者をUNC5221として追跡しています。マンディアントはIvanti製品の脆弱性を悪用した攻撃について、スパイ行為に動機づけられたAPTキャンペーンの可能性を指摘しており、仮に量子科学技術研究開発機構で明らかになったゼロデイ攻撃がIvanti Connect Secureの脆弱性を悪用していた場合、長期にわたりAPT攻撃を受けていた可能性は排除できないことから、現状で直接の被害は認められないとしても綿密な調査を行う必要が求められます
■出典
https://www.qst.go.jp/site/about-qst/20250307.html
https://blog.talosintelligence.com/new-persistent-attacks-japan/