NASA、新たに報告されたデータ侵害を受けてコンピュータセキュリティを調査
アラン・ボイル著
NASAは、コンピューター侵入により同宇宙機関の現職員および元職員の社会保障番号やその他の個人情報が漏洩したことを受けて、ネットワークセキュリティのプロセスと手順を見直していると発表した。
情報漏洩は10月に発覚しましたが、その全容と影響はまだ明らかにされていません。NASAは、影響を受けた可能性のあるすべての人に対し、個人情報保護サービスを提供すると発表しました。
元NASA職員のキース・カウイング氏が設立した独立系ウェブサイト「NASA Watch」が、火曜日にNASAの内部メモを引用した投稿でこの事件を初めて明らかにした。メモには、2006年7月から2018年10月の間にNASAに採用、転勤、または退職した職員が影響を受ける可能性があることが示唆されている。
参考までに、NASAのコンピューターは長年にわたり何度も侵入者の標的となってきました。最近の例としては、2013年にブラジルの活動家によるウェブサイト改ざん攻撃や、2011年に報告された大規模な一連の侵入事件などが挙げられます。
「過去2回のデータ漏洩では、25年前にNASAを去ったにもかかわらず、私は元NASA公務員であるため、直接影響を受けました」とカウイング氏は本日のフォローアップ投稿で述べた。
カウイング氏は別の投稿で、NASAの情報技術とサイバーセキュリティに関する連邦規制の遵守実績は「悲惨なほどひどい」と述べている。彼は、下院監視・政府改革委員会が作成したスコアカードで、NASAのサイバーセキュリティ目標達成度が不合格と評価されたことを指摘した。(公平を期すために記しておくと、NASAの情報技術に関する総合評価は平均で「C」だった。)
NASAは声明の中で、今回のセキュリティ侵害の調査は「NASAの最優先事項」であると述べた。メールで提供された声明全文は以下のとおり。
2018年10月23日、NASAのサイバーセキュリティ担当者はNASAサーバーへの潜在的な侵入について調査を開始しました。サーバーの1つには、NASAの現職員および元職員の個人識別情報(PII)が含まれており、これらのデータが流出した可能性があります。NASAは、影響を受けた可能性のあるすべての個人に対し、個人情報保護サービスを提供します。
NASAは、今回の侵入によってNASAのミッションが危険にさらされたとは考えていません。侵入が発覚後、NASAは影響を受けたサーバーのセキュリティ確保に向け、直ちに行動を起こし、その後もフォレンジック分析に取り組んでいます。このプロセスには時間がかかります。現在進行中の調査は、NASAの最優先事項です。
NASAはサイバーセキュリティを非常に重視しており、機関の情報とITシステムのセキュリティを確保するために必要なリソースを投入することに尽力しています。NASAは すべてのサーバーのセキュリティ確保に向けた取り組みを継続するとともに、最新のセキュリティ対策が機関全体で確実に実施されるよう、プロセスと手順の見直しを進めています。
