日本年金機構は2015年5月、年金加入者の個人情報約125万件を漏洩させた。LAN内のパソコンをウイルスに感染させて、目的のデータを持ち出すという典型的な攻撃だった。

 ウイルス感染がきっかけとはいえ、どうして厳重に管理されていると思われる個人情報が漏洩したのか、攻撃の流れを見ながら理由を解説していく。また攻撃が発覚した後に情報が持ち出されているため、その動きも時系列で追っていこう。

公開アドレスに届いたメール

 年金機構への攻撃は、5月8日に公開メールアドレスに届いたメールから始まったとされる(図2-9)。公開メールアドレスとは、よくあるお知らせやリリースなどの問い合わせ先として掲載したメールアドレスである。

図2-9●日本年金機構が受けた攻撃の流れ
図2-9●日本年金機構が受けた攻撃の流れ
日本年金機構の個人情報漏洩は、LANに侵入して目的のデータを取り出すタイプの典型的な攻撃だった。公開メールアドレスに届いた標的型メールをきっかけに、組織内にウイルス感染パソコンを増やしている。
[画像のクリックで拡大表示]

 そして九州ブロックの担当者が、攻撃者から届いたメールの本文内にあったリンクをクリックした。次にリンク先からダウンロードしたファイルを担当者が実行してウイルスに感染してしまった。なお、Webページを開くだけでウイルスに感染させる攻撃も存在する。

 そして5月18日以降、公開されていない年金機構職員のメールアドレス宛てに、ウイルスを添付した標的型メールが大量に届く。非公開のアドレスは、最初にウイルスに感染したパソコンから漏洩したと思われる。届いたメールには添付ファイルがあり、それを開いた職員のパソコンがウイルスに感染した

 5月8日に届いたメールには厚生労働省のWebサイトに掲載されている文書名が、5月18日以降に届いたメールには年金に関係するセミナーや研修の告知が記載されていた

▼Webページを開くだけでウイルスに感染させる攻撃
Webブラウザー上で動くプラグインソフトやJavaスクリプトなどの脆弱性を悪用して感染させる。Webアクセス型攻撃と呼ぶこともある。
▼ウイルスに感染した
年金機構ではウイルス対策ソフトを使っていたが、検出されなかった。標的型攻撃のウイルスは、既存のウイルスに一部改変を加えて、検知されないと確認してから使われたためだろう。改変用のソフトも公開されており、ウイルス対策ソフトだけで検知するのは困難。
▼記載されていた
情報処理推進機構が2016年7月に公開した、ある業界を標的とした攻撃に関するレポートでも、137通の標的型メールのうち45%がセミナーや説明会に関連するものだったという。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。