日本年金機構は、標的型サイバー攻撃を受け101万人分の個人情報が漏えいしたことを6月に公表した。公的機関からの大量情報漏えいが確認された初のケースとなり、マイナンバー法改正案の国会審議や政府のサイバーセキュリティ戦略の策定にも影響が及んだ。セキュリティ分野の公職を数多く務める東京電機大学教授の佐々木良一氏に、事件の教訓や今後の公的機関の課題を聞いた。
日本年金機構は誰に何を狙われたのでしょうか。
佐々木 サイバー攻撃は3種類に分けられます。金銭の入手を目的としたサイバー犯罪。相手国の経済的損失や評判の低下を狙うサイバーテロ。3つ目はサイバー戦争で、相手の軍事能力を低下させたり関連情報を入手したりするのが目的です。
日本年金機構への攻撃は、事前に重要組織から情報を集めることを目的とした平時のサイバー戦だったのではないでしょうか。少し広めにターゲットを設定して重要情報を狙って標的型攻撃を仕掛けたところ、たまたま大量の個人情報が手に入ったわけです。入手した個人情報がすぐに役立つことはないでしょうが、結果的に相手国に混乱をもたらし政府の評判を落とすサイバーテロとして有効でした。
事件から学び取るべきことは。
佐々木 同様の攻撃はこれまでもあったし、今後も起こるということです。
今回は年金機構に侵入したウイルスが外部のC&Cサーバー注1)とやり取りする際の通信が、厚生労働省の統合ネットワークを通ったため、内閣サイバーセキュリティセンター(NISC)に検知されました。監視対象は中央省庁だけであり、年金機構のような特殊法人や独立行政法人は対象外でしたが、たまたま見つかったわけです。事件を受け、侵入テストや監査を含め、NISCによる監視の対象を独立行政法人などにも広げることになりました。
もうひとつの問題は、NISCが指摘するまで侵入に気づかなかったこと。つまり、市町村のようにほかと完全に独立した組織では、自ら気づくことができない恐れがあります。
