2015年6月に日本年金機構の個人情報流出問題▼が露呈しました。きっかけは、標的型攻撃メールによる職員のパソコンのマルウエア感染でした。
当事者を責める声が上がる
この問題について年金機構を管轄する厚生労働省の大臣が、「添付ファイルを開けてしまうなど、職員がセキュリティ対策の基本を実践できていない」などと発言したこともあり、当初の批判は当事者である職員に集中しました。
しかし今回は、添付ファイルを開いた当事者だけが責められるような事件ではないと思います。何が良くなかったのか、まずは事件の概要から見ていきましょう。
年金機構は2015年5月8日、内閣サイバーセキュリティセンター(NISC)から指摘を受け、職員のパソコンがマルウエアに感染したと知りました(図1)。そして該当のパソコンを組織内のネットワークから切り離して、内外との通信をできなくしました。さらに、ウイルス対策ベンダーに該当のマルウエアの調査を依頼しました。
翌日、ウイルス対策ベンダーからウイルス対策ソフトで検知できない新種▼だったこと、さらに1週間後、マルウエアが外部に情報を持ち出すタイプではないとの報告を受けた結果、感染による被害を調査しませんでした。しかし5月18日、新たな標的型攻撃メールが別の職員に届き、別のマルウエアに感染して、結果的に少なくとも125万件の個人情報漏洩につながったのです。
私は、年金機構の初動ミスが甚大な被害を生んだ原因の1つだと考えています。マルウエアに感染した職員だけに責任があったとは思いません。
段階を踏んで攻撃を仕掛ける
年金機構が受けた攻撃の流れを詳細に見てみます。一部は筆者の推測ですが、記事執筆時点の公表情報を基に攻撃の流れをまとめています▼(図2)。