日本年金機構が125万件に上る年金情報を流出させた事件。未知の新種ウイルスを使った「標的型攻撃」が直接の原因だが、同機構のセキュリティー体制の甘さが被害を拡大させた側面もある。

 日本年金機構は2015年6月1日、機構内のコンピュータがサイバー攻撃を受け、約101万人分、125万件の個人情報が流出したと発表しました。このうち約97万人は氏名、生年月日と基礎年金番号の3情報がセットで流出しました。3情報に住所を加えた4情報が流出した人も約1万5000人に上ります。

 機構は該当者にお詫びの手紙を送付したほか、該当者の年金手帳を9月以降に交換する予定です。しかし、流出発覚後の最初の年金支給日となった6月15日前後には、年金狙いの詐欺とみられる不審な電話が300件以上確認されました。該当者の住所変更の届け出が無関係の第三者によって出された可能性も指摘されており、波紋が広がっています。

背景:ウイルス以外にも原因

 流出の直接の原因は、機構に的を絞ってウイルス付きメールを送りつける標的型攻撃でした。メールは年金業務に関連のありそうな表題と内容に仕立てられており、職員は添付ファイルがウイルス付きと気づかずに開封。ウイルスは対策ソフトが未対応の新種だったこともあり、パソコンの遠隔操作や内部情報の自動送信などを許してしまったのです。

 ただ、ウイルスに気づかずにメールを開いた職員のミスだけが原因とはいえません。情報の大量流出を招いた原因は他にも複数あります。

 1つめは、普段からのセキュリティーへの認識不足です。流出した年金情報は強固な基幹システムではなく、比較的セキュリティーが弱く、個人情報の保管が禁じられていた作業用のファイルサーバーに置かれていました。しかも半数近くの情報は、内規に反してパスワードをかけないまま保存されていたのです。

 2つめは事後の対応の遅れです。機構は1カ月ほど前の5月8日に最初の1台の感染を確認し、同28日に年金情報の流出に気づくまで、全端末をネットワークから切り離しての点検は実施しませんでした。感染を確認したパソコンはネットワークから切り離していましたが、こうした「モグラたたき」的な対応の間に、複数のメールアドレスに100通を超えるウイルス付きメールが届き、感染が拡大していました。未知の新種ウイルスが使われたことを重く見て、早期に全面点検していれば、最小限の被害で済んだ可能性もあります。