年金情報漏洩事件

2023年6月26日

2015年6月1日、日本年金機構の情報系システムから約125万件の年金情報(基礎年金番号を含む個人情報)が漏洩したことが新聞・テレビなどで報道された。流出件数が多いこと、来年(2016年)にマイナンバー制度の運用開始を控えていることなどから大きなニュースとなった。当然、IT関係のメディアでも本件の原因や対策などが報じられるだろう(ぼちぼち報じられ始めている)。

この事件は(その手口を見ると)、典型的な標的型攻撃メールである。「情報セキュリティ白書 2014」(IPA:独立行政法人情報処理推進機構 発行)によれば、標的型攻撃メールとは、
「攻撃者が組織内ネットワークへの侵入を行う目的で、特定の企業・組織を狙い送付するウィルスメールである。不特定多数にばらまかれるウィルスメールの手口とは異なり、特定の企業・組織(個人)を狙い、受信者を信用させる巧妙なだましの手口を駆使している点が特徴」
である。今回の年金機構の事件でも、職員がメールに添付されたファイルを不用意に開き、ウィルス感染したのが事の始まりだったようだ。同白書によれば、一般的な標的型攻撃メールは以下の手順で行われる。

①攻撃計画の立案
攻撃対象とする組織を選定し、ウィルスを感染させるユーザーを調査する等の攻撃計画を立案する。
②攻撃準備
ウィルス作成・標的型メールを準備する。
③初期潜入
標的型メールをターゲットユーザーに送付して、PCをウィルスに感染させる。中にはWebサイトやVPNサービス経由による侵入手段も確認されている。
④基盤構築
感染パソコンにバックドアを開設し、攻撃者との通信路を確保する。
⑤内部侵入・調査
リモートからバックドア経由でシステム内部を調査し、侵入範囲を拡大する。
⑥目的遂行
目的の情報を窃取する。場合によっては、データの改ざんや削除を行う。
⑦再侵入
開設してあるバックドアを通じて、執拗に再侵入が行われる。

となっている。この一連の手口を見ても分かるように、標的型攻撃メールは組織的に、計画的に行われる犯罪行為である(読売新聞は、クラウディオメガと呼ばれる組織による攻撃だと報じていた)。攻撃対象となっているのは、官公庁・地方自治体が最も多く、その次に金融機関、マスコミ関係、IT・通信が続く。
標的型攻撃メールは特定の対象組織に絞って攻撃を仕掛けるので、セキュリティ対策ソフトのベンダーがウィルス検体を入手しづらいのが特徴である。攻撃者はウィルスの亜種を作成し、あらかじめウィルス対策ソフトに検知されないことを確認してから攻撃を仕掛けるという話も聞いたこともある。

今回の事件報道を受けて、世間の主な関心は、今後「何らかの成りすまし行為」などが行われるのではないか、という点にある。また、来年から運用が始まるマイナンバー制度でも、同じような個人情報の流出が起こるのではないか、という懸念も出ているようだ。
このような事件が起きると、事業者がいくらシステム的には強固なセキュリティ対策をとっていると弁明しても、なかなか世間の納得を得ることが難しくなってくる。システム的には強固なセキュリティ対策がとられている場合であっても、内部犯行や、(故意の)誤ったシステム運用には弱いものだ。今回の事件でも、本来パスワードをかけるべきファイルにパスワードをかけていなかった、個人情報をローカル保存しているパソコンをインターネットに接続していた、等の内規違反や情報モラルの低さが露呈している。
情報セキュリティ白書でも、標的型攻撃メールの対策として、「システム面での対策の他に、メール利用者に対するセキュリティ・リテラシーの教育や・・・」としており、システムを操作する人、利用する人のセキュリティに対する認識が極めて重要であると指摘している(なお、システム面に関してはIPAから「標的型メール攻撃に向けた設計ガイド」が出ている)。
今ひとつ世間の人々が憤慨しているのは、事件の原因の一つにガバナンスの問題があると考えられるからだろう。日本年金機構の前身である社会保険庁では、第1次安倍内閣当時の2007年に年金記録問題が起きている。そして、この原因の一つに社会保険庁のガバナンスに問題があったことが指摘されている。
この年金記録問題、あらためて当時の情報を検索してみると、如何に大きな社会問題であったかが分かる。
・2007年2月、納付者を特定できない国民年金や厚生年金の納付記録が5,000万件以上あることが発覚(宙に浮いた年金記録)。
・2007年8月、一部の社会保険庁職員が不正なオンライン操作を行って年金の不正受給や着服を行っていたことが発覚。
・2009年9月、オンライン上の記録のうち、標準報酬月額が改ざんされた可能性の高い記録が、6万9000件あることが判明。
年金記録問題検証委員会の報告書は、厚生労働省及び社会保険庁の年金記録管理に関する基本的姿勢に根本的な問題があったと指摘している。
こうして社会保険庁は2010年に解体され、日本年金機構が設立された。新しい機関になっても年金記録問題の反省や再発防止策が活かされていないのではないか、と世間が疑うのも致し方ないだろう。

個人情報/プライバシー情報を扱う企業・組織は、システム面の対応だけでなく、社内規定の整備や従業員に対する情報モラルの教育、そして管理面を含む組織態勢の確立が極めて重要である。
一般に、大企業と比べてこれらの態勢が脆弱な中小企業にとって、マイナンバー対応が如何に大きな負担になる可能性があるか、あらためて認識させられる事件である。
2015/7/17追記
その後の報道によると、日本年金機構の標的型攻撃に使われた可能性が高いのは、Emdivi(エムディビ)と呼ばれる遠隔操作ウイルスである。Emdiviは、メールに添付された文書ファイルなどに偽装して侵入する。侵入後、PCにバックドア(裏口)を開き、バックドアを通じてC&Cサーバーと通信し、攻撃者がPCを遠隔操作できるように準備する。
標的型攻撃では、攻撃ごとに亜種が作られるためウイルス対策ソフトでは検知できない。さらに、侵入後に検知することも難しい。自身の活動ログを消去するし、外部との通信はHTTPと80番ポートといった一般の組み合わせを使うからである。
攻撃者はまだ分かっていないが、中国語を理解し、かつ日本の官公庁や企業の事情に通じた人物を含む集団のようだ。
アメリカでも、サイバー攻撃により社会保障番号などの個人情報が流出する事件が起きている。AFP通信によれば、2015年6月、米連邦人事管理局(Office of Personnel Management、OPM)がサイバー攻撃を受け、現職員、元職員、採用候補者の個人情報が流出した。個人情報流出の被害者は2,210万人に上った。流出した個人情報には、社会保険番号のほか、採用希望者の健康状態、財政状態、犯罪歴の有無、家族構成などが含まれていたという。
2018年3月20日、日本年金機構は記者会見を開き、年金受給者から提出された扶養親族等申告書のデータ入力にミスがあり、年金支払い時の源泉徴収額の誤りが約31万8000人に上る見通しであると発表した。
入力ミスが発生した原因を探っていくと、「データ入力を委託した業者が契約に違反して中国の業者に業務を再委託していた」事実が判明。データ入力の対象である申告書には、受給者本人の氏名、住所、生年月日、マイナンバーに加え、扶養家族の氏名、続柄、生年月日、マイナンバー、年収、障害の有無などの項目が存在する。幸いマイナンバーなどの情報が外部に流出することはなかったようだが、一歩間違えれば重大インシデントに発展した恐れがある。
なお、日本年金機構と委託業者間の契約では、再委託が禁止されていたほか、作業も国内で実施することになっていたという。
経営とITの話題のINDEX
「経営とITの話題」INDEX

経営とITの話題

Posted by kondo