画像:国立環境研究所より引用
国立環境研究所は2024年9月17日、研究所が外部事業者と契約していた開発用クラウドサーバーが不正アクセスを受けたと発表しました。
説明によると、攻撃者は2024年8月21日~2024年8月23日の期間、被害サーバーで稼働していたメールサービスに不正ログインし、外部に宛てスパムメールを送信していました。研究所が確認したところ、メールはオランダ語で記述されたカードサービスを装うもので、その数は25,000通に及ぶことが判明しました。
国立環境研究所は不正アクセスの原因について、メールアカウントのパスワード強度が不十分であったことを指摘しています。対象アカウントは推測されやすいものが設定されており、攻撃者が不正利用された可能性があるとのこと。国立環境研究所は不正アクセス判明後、技術的・システム的な情報セキュリティの強化や職員のセキュリティ教育を徹底し再発防止に努めるとしています。
なお、国立環境研究所は約3年前の2021年6月11日、NIESが契約するクラウド型メールサービスにおける職員アカウントの不正ログイン被害を発表。約1年前の2023年6月2日には、電子メールを誤送信による406件のメールアドレス流出を発表しています。
参照国立環境研究所サーバにおける迷惑メール送信について(報告)