標的型攻撃により日本年金機構から約101万人・約125万件の年金情報が流出した問題は、事件判明から2カ月以上が経過し、ようやく全容が見えてきた。2015年8月20日に日本年金機構並びに内閣官房のサイバーセキュリティ戦略本部が、翌21日には機構を管轄する厚生労働大臣が立ち上げた第三者検証委員会が、それぞれの調査報告書をWebサイト上に公表した。(写真1)。
本編だけでも合計100ページを超える報告書は類が無い。「非常に貴重な資料。機構や厚生労働省の対応に不備はあったが、多くの組織にも当てはまる課題でもある。他山の石として、多くの人がきちんと読んでほしい」。セキュリティー会社であるカスペルスキーの川合林太郎社長は報告書の価値をこう訴える。
31台に感染広がる
今回の問題は、機構が2015年5月8日から5月20日にかけて何者からか4度にわたる標的型メールによる攻撃を受け、約125万件の年金情報が流出したというもの(写真2)。機構の報告書(以下、機構報告書)によれば124通の標的型メールを受信し、5人の職員が開封。マルウエアに感染した当該パソコンを攻撃者が遠隔操作して、最終的には二つの拠点で31台のパソコンにまで感染が拡大したという。
どんなメールだったのか。サイバーセキュリティ戦略本部による報告書(以下、内閣官房報告書)が件名などを明らかにしている(写真3)。件名は「職員が業務として連想しやすいもの」(機構報告書)だった。内閣官房報告書は踏み込んで解析し、4度の攻撃で使われた標的型メールの関連性も明らかにしている(写真4)。「送信元」や「宛先」、「不正プログラム(マルウエア)」、マルウエアがパソコンに感染した後で通信したり指示を得たりするために攻撃者が乗っ取った「接続先」であるC&C(コントロール&コマンド)サーバー。こうしたものに共通性があり、「同一の攻撃者による一連のもの」と認定している。
攻撃者はまず機構が調達用に外部公開するメールアドレスを狙った。ここで1台を感染させ、非公開の職員のメールアドレスを奪ったと見られる。機構は今回の調査で、感染パソコンにおいてメールソフトの職員アドレスについて、「圧縮ファイルが作成されており、その一部が流出している恐れがあることが判明した」とした。従来はこの時点での情報流出は無いとしていた。