写真 日本年金機構の本部(東京・杉並)と、 6月1日に厚生労働省で情報漏洩について 記者会見する同機構の水島藤一郎理事長(右)。右の写真は時事通信社提供
写真 日本年金機構の本部(東京・杉並)と、 6月1日に厚生労働省で情報漏洩について 記者会見する同機構の水島藤一郎理事長(右)。右の写真は時事通信社提供
[画像のクリックで拡大表示]

 日本年金機構は2015年6月1日、125万件の年金情報が流出したことを公表し、水島藤一郎理事長が謝罪した(写真)。企業や団体から機密情報を盗む「標的型攻撃」に遭った。社会保険庁時代から引き続き使っている情報共有の仕組みが被害拡大につながった。

 漏洩した情報は3種類ある。約116万7000件と最も多いのが基礎年金番号と氏名、生年月日の3項目から成る個人情報。次に多いのがこれに住所を加えたもので、約5万2000件流出した。最も流出が少なかったのが基礎年金番号と氏名から成るもので約3万1000件が漏れた。機構は流出した基礎年金番号を変更するという。

 機構のシステム統括部の川田高寛システム管理グループ長は「5月8日に最初の不審メールがフリーメールのアドレスから届き、18日までに何通も届いた」と話す。機構の公開アドレスのほか、「職員のメールアドレスにも直接送られてきた」。受信者には、入社年次や部署などに共通性はなかった。

 不審メールはウイルスが含まれた添付ファイルが付いていた。各種報道によると福岡県と東京都の職員2人が直接感染し、10台以上に感染を広げたようだ。機構は8日以降、攻撃されていることは認識していたが、情報流出は28日に警視庁からの連絡で初めて分かった。流出が発覚するまで約1カ月かかった。

 攻撃には遠隔操作ウイルスの「EMDIVI(エムディヴィ)」が使われた可能性が指摘されている。Windowsの標準コマンドで感染を広げたり情報を盗んだりする。攻撃者など外部とのやり取りには標準的な通信プロトコルと通信ポートの組み合わせを使うこともあり、「非常に見つけにくい」と情報セキュリティ大手のトレンドマイクロは話す(関連記事:標的型攻撃の“司令塔”、国内で7倍に 攻撃の検知はさらに難しく)。