日本年金機構の個人情報流出の問題はウィルス感染にあらず

黒く塗りつぶされた書類

日本年金機構がサイバー攻撃を受け、125万件の年金情報が流出しました。職員がウィルスの仕組まれたメールの添付ファイルを開き、不正アクセスが行われたということです。

日本年金機構は2015年6月1日、サイバー攻撃により約125万件の年金情報が流出したと公表した。

中略

流出の原因は、職員がウイルスの仕込まれた添付ファイル付きのメールを受信した後、添付ファイルを開いて不正アクセスが実行されたこと。不正アクセス先はLANにつながるファイル共有サーバーだったという。

引用元:ニュース – 日本年金機構にサイバー攻撃、ファイル共有サーバーから125万件の年金情報が流出:ITpro

この事件に対し、不審なメールの添付ファイルを不用意に開いてしまった職員を非難する意見が見受けられます。

しかし、今回のような標的型メール攻撃の被害を防ぐことは極めて困難です。

犯人は通常やり取りされているメールを事前に調べます。普段メールを送ってくる人の名前をかたり、普段と同じ文面で普段と同じ名前の添付ファイルにウィルスを仕込むことも可能です。

新たに作成したウィルスであれば、ウィルス対策ソフトで検知できないこともあります。

一部の専門家は「心当たりのないメールの添付ファイルを開かないことを徹底させることが大事だ」などと指摘していますが、一般に標的型メール攻撃を完全に防ぐことは不可能と言ってもいいと思います。

それでは、今回の流出事件を防ぐことはできなかったのでしょうか? そんなことはありません。報道されている内容からも日本年金機構のセキュリティの甘さがわかります。

中央省庁に対する標的型メール攻撃は、すでに何回も行われています。それにも関わらず、日本年金機構はセキュリティの甘い状態を放置していたと言えます。

パスワードの未設定およびパスワードの漏えい?

流出したデータはファイル共有用サーバーにありましたが、一部が内規に反しパスワードが未設定だったということです。

55万件は内規に反してパスワードが未設定だったといい、同機構の水島藤一郎理事長は「極めて重い責任を感じる。全力を尽くして対処する」と陳謝した。

引用元:125万件の個人情報流出=職員端末にサイバー攻撃―年金機構 (時事通信) – Yahoo!ニュース

なぜ、一部、パスワードの設定がされていなかったのか、何らかの理由でそのような設計だったのか、設定もれだったのかわかりませんが、ここが一番の問題です。

また、パスワードを設定してあった部分もあるようですが、そのデータがなぜ流出してしまったのでしょうか? サーバーから読みだした個人データをクライアントパソコンにも保管していたのでしょうか? それとも、パスワードも別のところからすでに漏えいしていたということでしょうか? いずれにしてもセキュリティ上の大きな問題があったことは間違いありません。

ファイル共有用サーバーに個人情報を保管

基幹システムである社会保険オンラインシステムから個人情報を含むデータを抽出し、ファイル共有用サーバーに移して使っていたそうです。

システム統括部は「年金に関する個人情報は普段は基幹システム(社会保険オンラインシステム)で保存しているが、ある業務で使うため、個人情報を基幹システムから抽出し、LANに接続するファイル共有用のサーバーに移した」と話す。

引用元:ニュース – 日本年金機構にサイバー攻撃、ファイル共有サーバーから125万件の年金情報が流出:ITpro

なぜ、インターネットと接続しているネットワーク上のサーバーに、個人情報を保管する必要があったのか、ここが2番目の問題です。

データを暗号化していない

ファイル共有用サーバー上のデータは暗号化していなかったのだと思います。暗号化していれば、そのことも発表され、騒ぎも小さかったはずです。

日本年金機構としては、サーバー内の個人情報を暗号化する必要はないと判断していたのだと思いますが、その判断の妥当性が疑問です。

サーバー内のデータを暗号化できることを知らなかった、または暗号化することに気づかなかったとすれば、セキュリティ担当者のスキルの問題です。

対応が遅い

日本年金機構の情報漏えいについてまとめてみた – piyolog』によると、日本年金機構は5月8日に不正アクセスに気づきましたが、職員に対して注意喚起しただけでした。その後不正アクセスが増えてから、5月19日に警視庁と連絡を取っています。

これが本当だとすれば、あまりにも対応が遅いと言わざるを得ません。なぜ、最初に不正アクセスに気づいて時点で、きちんとした対応を取らなかったのでしょうか?

日本年金機構のセキュリティに対する感度の鈍さがうかがえます。

2ちゃんねるへのリーク

年金機構のウイルス感染、公表前に2chに書き込みか 「感染しました」「月曜日には公表するのかな?」 – ITmedia ニュース』によると、2ちゃんねるに本件に関すると思われる書き込みが行われています。

これが職員または派遣社員などの関係者によるものであるならば、職員や派遣社員に対する教育もなってないことを示しています。

おわりに

本件は、メールに添付されていたウィルス入りファイルを開いた職員が悪いわけではありません。標的型メール攻撃を完全に防ぐことは非常に困難です。

個人情報を暗号化もせずに、パスワード設定もせずに、インターネットに接続したネットワーク上のサーバーに格納している業務が問題です。

本件の全体が報道されているわけではないと思いますが、報道されている内容だけでも、日本年金機構のセキュリティ対策はあまりにもお粗末です。

  • このエントリーをはてなブックマークに追加

フォローはこちらからお願いします。

会社勤めから起業するためのウェブ集客セミナー
会社勤めから起業するための7つのステップ