写真1●出そろった日本年金機構における情報流出問題の調査報告書
写真1●出そろった日本年金機構における情報流出問題の調査報告書
左から日本年金機構「不正アクセスによる情報流出事案に関する調査結果報告」、サイバーセキュリティ戦略本部「日本年金機構における個人情報流出事案に関する原因究明調査結果」、日本年金機構における不正アクセスによる情報流出事案検証委員会「検証報告書」
[画像のクリックで拡大表示]

 標的型攻撃により日本年金機構から約101万人・約125万件の年金情報が流出した問題は、事件判明から2カ月以上が経過し、ようやく全容が見えてきた。2015年8月20日に日本年金機構並びに内閣官房のサイバーセキュリティ戦略本部が、翌21日には機構を管轄する厚生労働大臣が立ち上げた第三者検証委員会が、それぞれの調査報告書をWebサイト上に公表した。(写真1)。

 本編だけでも合計100ページを超える報告書は類が無い。「非常に貴重な資料。機構や厚生労働省の対応に不備はあったが、多くの組織にも当てはまる課題でもある。他山の石として、多くの人がきちんと読んでほしい」。セキュリティー会社であるカスペルスキーの川合林太郎社長は報告書の価値をこう訴える。

31台に感染広がる

写真2●事案の経緯
写真2●事案の経緯
(出典:日本年金機構「不正アクセスによる情報流出事案に関する調査結果報告」)
[画像のクリックで拡大表示]

 今回の問題は、機構が2015年5月8日から5月20日にかけて何者からか4度にわたる標的型メールによる攻撃を受け、約125万件の年金情報が流出したというもの(写真2)。機構の報告書(以下、機構報告書)によれば124通の標的型メールを受信し、5人の職員が開封。マルウエアに感染した当該パソコンを攻撃者が遠隔操作して、最終的には二つの拠点で31台のパソコンにまで感染が拡大したという。

写真3●日本年金機構に届いた不審メールの一覧
写真3●日本年金機構に届いた不審メールの一覧
(出典:サイバーセキュリティ本部「日本年金機構における個人情報流出事案に関する原因究明調査結果」)
[画像のクリックで拡大表示]
写真4●日本年金機構に届いた不審メールの相関図
写真4●日本年金機構に届いた不審メールの相関図
(出典:サイバーセキュリティ本部「日本年金機構における個人情報流出事案に関する原因究明調査結果」)
[画像のクリックで拡大表示]

 どんなメールだったのか。サイバーセキュリティ戦略本部による報告書(以下、内閣官房報告書)が件名などを明らかにしている(写真3)。件名は「職員が業務として連想しやすいもの」(機構報告書)だった。内閣官房報告書は踏み込んで解析し、4度の攻撃で使われた標的型メールの関連性も明らかにしている(写真4)。「送信元」や「宛先」、「不正プログラム(マルウエア)」、マルウエアがパソコンに感染した後で通信したり指示を得たりするために攻撃者が乗っ取った「接続先」であるC&C(コントロール&コマンド)サーバー。こうしたものに共通性があり、「同一の攻撃者による一連のもの」と認定している。

 攻撃者はまず機構が調達用に外部公開するメールアドレスを狙った。ここで1台を感染させ、非公開の職員のメールアドレスを奪ったと見られる。機構は今回の調査で、感染パソコンにおいてメールソフトの職員アドレスについて、「圧縮ファイルが作成されており、その一部が流出している恐れがあることが判明した」とした。従来はこの時点での情報流出は無いとしていた。