コラム

 公開日: 2015-06-09  最終更新日: 2015-07-06

日本年金機構の情報流出事件について

ご存じの通り、先週の6月1日に日本年金機構は、機構職員のPC端末が外部からのメールによってウィルス感染し、約125万件の個人情報を含む年金情報が外部に流出したと発表しました。それから1週間以上経過しましたが、未だにその全容は明らかになっていません。
報道等ではいわゆる「サイバー攻撃」や「標的型メール」といった表現が散見されますが、それほど高度な手法を用いたものではなく、極めてオーソドックスなウィルスメールの送付による不正アクセスや情報流出の手口に過ぎないように見えます。日本年金機構の情報管理の甘さや体質を批判する声も多いのですが、こうした攻撃は皆さんの企業に対しても行われる可能性があります。今回は今回の事件における問題点について幾つか確認します。

日本年金機構の情報流出事件における問題点

様々な見解がありますが、今回の事件に関して大きな問題点であると考えられるのは、以下の通りです。
1.組織内での重要情報の取扱い
2.不審なメールの添付ファイル展開
3.5月8日の対応

問題点1:組織内での重要情報の取扱い

今回の事件では、日本年金機構における個人情報等の重要データに関する取扱い上の問題が指摘されています。日本年金機構では個人情報等の重要情報に対して、以下の様なルールがあったとされています。

・個人情報等が記録されたデータファイルをファイルサーバーに格納することは原則禁止
・ファイルサーバーに格納する際は、アクセス制限やパスワード設定を行う
・ファイルサーバーに格納したファイル一覧を総務部に提出
・基幹システムからの個人情報データ抽出は、権限者による申請が必要
・基幹システムから抽出したデータは暗号化された上でCD-ROMに格納して渡す

今回の事件では流出した個人データはファイルサーバーに格納されていました。一時的に個人情報を含む作業用データをファイルサーバーに格納することは業務上の必要性があったかもしれません。問題視すべきなのは、

・一度に作業するとは考えにくい大量のデータを
・継続的にサーバー上に格納していた

ことです。つまり、上記のルールは形骸化しており、ルール自体も格納期間など、「原則禁止」を遵守する内容が欠けていたと考えられます。結果として、実務上の効率性が優先され、セキュリティレベルが低くなっていたと考えられます。
これは見方を変えると、日本年金機構の基幹システムである社会保険オンラインシステムが過度にセキュリティレベルを上げ過ぎており、日常業務に全く適応していないことが原因ではないかと推測されます。そのため、日常使用することの多い個人情報を含むデータを、使い易いがセキュリティレベルの低いファイルサーバーに格納していたのではないか、と考えられます。
よって、報道等の内規が遵守されていないという程度の話ではなく、日本年金機構の業務と基幹システムとがミスマッチを起こしており、結果としてセキュリティレベルを下げて業務を行わざるを得ないという構造的な問題であると考えられます。

問題点2:不審なメールの添付ファイル展開

今回の事件で批判が集中する事象の一つが、不審なメールの添付ファイルをなぜ展開したのか、ということであり、日本年金機構内部に限らず、あらゆるネットユーザーが注意しなければならないことです。今回の事件における不審メールは、

・送信元はフリーメールアドレス
・送信先は公開メールアドレス(調達受付用)→5/18には個人メールアドレスにも送信された模様
・件名は日本年金機構の業務に関連するが、上記公開メールアドレスの目的とは関連しない
(「厚生年金基金制度の見直しについて」「オープンセミナーのご案内」、等)

といったように、あまりにも初歩的な内容となっております。
そもそも、業務関係の電子メールがフリーメールアドレスから送付されてきたり、調達と関係のない件名であったりすれば、通常は組織のセキュリティ担当に連絡すべきであり、最悪でも無視するという対応を行うべきです。しかも添付ファイルまで展開してしまったことには返す言葉がありません。
通常であれば、結論としてセキュリティ教育の徹底といった内容になりますが、今回の状況はそれ以前のレベルであり、そもそも国民の重要な情報を取扱っているという自覚が不十分であると言わざるを得ないと考えます。

問題点3:5月8日の対応

5月8日に最初のウィルス感染が発生しました際に、担当者は引き続きウィルス感染した端末で業務を行っていたようです。そして数時間後、内閣サイバーセキュリティセンターから不審な通信が行われているとの連絡を受け、不審メールをクリックしてウィルス感染した端末をネットワークから切り離しました。しかしその後に行われたのは不審メールに注意する旨の注意喚起のみでした(しかも、送付された不審メールのメールアドレスや件名等について例示されていなかったようです)。本来であれば、

・組織内ネットワークのインターネット接続を停止
・組織内ネットワークに接続するPC端末、サーバーすべてのウィルスチェック
・外部に流出した可能性のある情報の調査
・警察や内閣セキュリティセンターに対する報告

といった一連の手順を行わなければいけなかったはずです。
少なくともバックドアがつくられ、短時間であれ不審な外部との通信が行われていたので、この時点でPC端末のアドレス帳情報等が外部に流出したと考えるべきです。その後、5月18日の第2回目のウィルス感染までは目立った動きが無い様なので、5月8日の時点で適切な対処を行えば、被害は非常に限定された範囲に留まっていた可能性があります。
一方で、こうした対処は業務の停止や遅滞を意味するため、現場としてはできるだけ避けたいという考えもありますが、5月8日は金曜日なので、週末を使ってネットワークをチェックすることもできたはずです。
また、発見されたウィルスが外部に情報を漏えいするタイプではないことから静観していた、という報道もあるようですが、そもそも未知のウィルスであるため、念を入れるべきだと考えます。

その他の注意点:踏み台に利用されないように

このような外部からの不正アクセスによる情報流出事件について、企業や組織のマネジメント層やセキュリティ担当者とお話をすると、中には「うちは流出して困るような重要な情報はないから」という意見をされる方がいます。だからといって、他人事で済ましてはいけません。なぜならば、外部の攻撃者にサーバー等を乗っ取られて、目標とする企業や組織の攻撃に利用されるリスクがあるからです。
今回の事件でも、ウィルスの貼付されたメールの送信や、データの流出といった攻撃の起点は、攻撃者のPCから直接行われたわけではなく、攻撃元を特定されないため、幾つかの外部の企業や組織のサーバーを乗っ取って行われたことがわかっています。つまり、セキュリティ対策をおろそかにすると、こうした大きな事件で利用される可能性があるということです。
もし自分の企業や組織の機器が乗っ取られて攻撃に利用された場合、情報の流出等の被害が無くても、事件が発覚した場合は乗っ取られた機器が捜査機関に押収されてしまいます。その際には情報保全のため、バックアップの時間も与えられず、いつ返還されるかもわかりません。機器の役割によっては、日常の業務に支障を起こすこと可能性もあります。また、報道等で自組織の名前が明らかにされた場合は、セキュリティ管理が不十分だと社会的な非難を受けるかもしれません。
自分の企業や組織にとっては重要性が低い機器でも、攻撃者にとっては利用価値が高いことに留意する必要があります。


上記内容に関連して、ご相談や質問などがございましたら、お気軽にご連絡ください。
お問い合わせフォームは、こちらです。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

6

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

大きな被害が発生した熊本地震の被災地では、まだ余震の続く中で復興作業が行われています。このような大地震発生等の事象に備えて、多くの企業では防災対策や業務継...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
パスワードの再確認~女性芸能人のデータ盗み見事件に関連して
イメージ

先日、複数の女性芸能人のメールサービスやデータ保存サービスなどに不正に接続し、保存されたメールや写真データ...

[ セキュリティ ]

マイナンバー制度と年末調整等

今年も残すところ2ヶ月という時期となりました。給与計算関連の業務担当者にとっては、年末調整、及び法定調書等...

[ マイナンバー制度 ]

水害に対応するための簡易的なBCP策定のすすめ

ここ数年、日本各地で台風や集中豪雨による水害の発生や被害が増えています。もし、皆さんの会社や施設が水害に遭...

[ BCP・防災 ]

2016年上半期のネットバンキング不正送金被害状況
イメージ

先日、警察庁から今年上半期(2016年1月~6月)に発生したインターネットバンキング利用者の預貯金を狙った不正送...

[ セキュリティ ]

メールマガジンなどの不要なメールを安易に「配信停止」していませんか?

毎日の様に送信されてくる、勧誘や告知、広告などを目的としたメールマガジンや迷惑メールにうんざりしている方も...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ