長野県の田中康夫知事は12月16日,県が実施した住民基本台帳ネットワーク(住基ネット)侵入テストの結果を公表した。(1)既存の住基システムへの侵入が可能で,個人情報の消去や改ざんが出来る点,(2)住基ネットと既存の住基システムのゲートウエイとなるコミュニケーション・サーバー(CS)と,CSにアクセスするための端末(CS端末)の管理者権限を取得できる--などの脆弱性を指摘した。
長野県の侵入テストは,9月22日から10月1日にわたって,第一次調査を下諏訪町や波田町,阿智村の3自治体で実施。第二次調査を11月下旬に阿智村で行った。インターネットから自治体の庁内LANへの侵入,庁舎外から無線LANで庁内LANへ侵入,庁内LANからCSやCS端末への攻撃などを実施した。
長野県によると,インターネットから庁内LANに侵入できるかどうかは波田町でテストしたが,侵入は無理だったという。その他の自治体では,住基ネットに個人情報を送るCSや,CS端末の管理者権限を取得し,自由に操作できる状態になった。CSには必要なパッチがあたっていなかったため,権限取得が可能になったという。住基ネットへ送付する個人情報の元データを管理している既存の住基システムへも侵入可能で,パスワードなどがなくても個人情報のデータ消去や改ざんができる状態になったという。
庁内LANや,既存の住基システムの脆弱性はかねてから指摘されていたが,管理は自治体に任されており,総務省や外郭団体の地方自治情報センター(LASDEC)の管理外とされている。総務省は,LASDECが管理する住基ネットと,自治体が管理する庁内LANの問題は別であると説明してきた。しかし,住基ネット用のCSやCS端末は,「LASDECが指定した仕様に基づいて設計し,指示通りの設定をしていれば安全」と主張していた部分である。管理者権限を容易に奪われる状況は深刻だ。
長野県はLASDECの監視体制の甘さも指摘した。11月25日に阿智村のCSの管理者権限を取得したが,LASDECは何の検知もせず連絡もなかった。そのため,「監視状況をチェックするために,三日後の11月28日にファイアウォールのプラグを意図的にはずしたところ,『何かありましたか』とようやくLASDECから連絡が来た。サーバーやファイアウォールの稼働状況は把握しているが,不正侵入の検知には対応していない」(長野県)と結論づけた。
長野県のテスト結果を受けてLASDECの戸田夏生システム担当部長は,「CSのパッチは2004年2月に当てることになっていた。そもそもCSはファイアウォールで防御しているので,直接攻撃した今回のテストのやり方は,通常ならありえない状況を作り出している。長野県は,住基ネットと庁内LANの問題を混合し,うまく話をすりかえている」と反論した。
(宗像 誠之=日経コミュニケーション)
