2015年6月に日本年金機構の個人情報流出問題▼が露呈しました。きっかけは、標的型攻撃メールによる職員のパソコンのマルウエア感染でした。
▼個人情報流出問題 日本年金機構が標的型攻撃を受け、少なくとも125万件の個人情報が漏洩した事件。年金機構が2015年6月1日に公表し、事件が明るみに出た。
当事者を責める声が上がる
この問題について年金機構を管轄する厚生労働省の大臣が、「添付ファイルを開けてしまうなど、職員がセキュリティ対策の基本を実践できていない」などと発言したこともあり、当初の批判は当事者である職員に集中しました。
しかし今回は、添付ファイルを開いた当事者だけが責められるような事件ではないと思います。何が良くなかったのか、まずは事件の概要から見ていきましょう。
年金機構は2015年5月8日、内閣サイバーセキュリティセンター(NISC)から指摘を受け、職員のパソコンがマルウエアに感染したと知りました(図1)。そして該当のパソコンを組織内のネットワークから切り離して、内外との通信をできなくしました。さらに、ウイルス対策ベンダーに該当のマルウエアの調査を依頼しました。
図1●日本年金機構が受けたサイバー攻撃の経緯
最初の標的型攻撃メールは公開メールアドレス宛てに届いているが、5月18日の標的型攻撃メールは、非公開メールアドレス宛てに届いている。
[画像のクリックで拡大表示]
翌日、ウイルス対策ベンダーからウイルス対策ソフトで検知できない新種▼だったこと、さらに1週間後、マルウエアが外部に情報を持ち出すタイプではないとの報告を受けた結果、感染による被害を調査しませんでした。しかし5月18日、新たな標的型攻撃メールが別の職員に届き、別のマルウエアに感染して、結果的に少なくとも125万件の個人情報漏洩につながったのです。
▼検知できない新種 既知のマルウエアを改変した亜種であったため、ウイルス対策ソフトで検知できなかったとされる。
私は、年金機構の初動ミスが甚大な被害を生んだ原因の1つだと考えています。マルウエアに感染した職員だけに責任があったとは思いません。
段階を踏んで攻撃を仕掛ける
年金機構が受けた攻撃の流れを詳細に見てみます。一部は筆者の推測ですが、記事執筆時点の公表情報を基に攻撃の流れをまとめています▼(図2)。
図2●筆者が想定する、日本年金機構が受けた標的型攻撃の流れ
日本年金機構を狙った標的型攻撃では、URL型の標的型攻撃メールと、ファイル添付型の標的型攻撃メールの両方が使われた。詳細な情報は公開されていないが、攻撃者は最初のURL型の標的型攻撃メールで、非公開メールアドレスを入手したと思われる。
[画像のクリックで拡大表示]
▼流れをまとめています 今回の調査は、筆者の友人であるセキュリティ専門家のpiyokangoさんの協力を受けた。piyokangoさんのブログ「piyolog」(http://d.hatena.ne.jp/Kango/)は、セキュリティに関わる様々な事例を詳しくまとめている。セキュリティ対策を考えるときの参考になる。
