他人ごとじゃない年金機構の情報流出 サイバー攻撃どう対策する?
日本年金機構の個人情報流出問題が大きな問題になっています。その数は125万件に上り、名前、住所、生年月日だけではなく基礎年金番号も含まれているといいます。つまり、悪意のある人が虚偽の申告をすれば、年金の振込口座も変更できる可能性があるのです。しかし、こうしたサイバー攻撃の対象は、何も役所などの公的機関だけではありません。なぜ個人情報は流出してしまったのでしょうか。
ずさんな情報管理に批判集まる
この個人情報流出問題では大きく2つの点で批判を浴びています。 一つ目は、内部規約によって個人情報を記録したファイルはパスワード制限を設定するように内部規約で定められていたにも関わらず、パスワード設定されていたのは125万件中55万件のみでした。70万件はパスワードなしで流出したことになります。また、通常業務のネットワーク内に国民年金データベースから抽出コピーした個人情報を共有していたことも問題になっています。 二つ目は、今年5月8日にサイバー攻撃の兆候を察知したNISC(内閣サイバーセキュリティセンター)が、厚生労働省を通じて日本年金機構に連絡したにも関わらず対策が遅れ、攻撃への対処が後手にまわったこと。なかでも、5月25日に警視庁の捜査で個人情報流出が明らかになってから公表まで4日間も経過していました。
「標的型メール攻撃」とは?
この日本年金機構へのサイバー攻撃は、いわゆる「標的型メール攻撃」あるいは「標的型攻撃」といわれる手法で、外部から職員のメールアドレスとやりとりし、ウイルス感染したファイルを実行させることで攻撃を行なうもの。ウイルスに感染したコンピュータは、外部と通信し命令を受け取って実行することで、内部データを詐取します。 実は標的型メール攻撃は日本年金機構などの公共機関だけでなく、大企業を中心に広範囲の職種に対して行われています。この標的型メール攻撃での感染を防ぐのは困難であると、一般社団法人JPCERT/CC早期警戒グループマネージャの満永拓邦氏は解説します。 「攻撃者はまず“踏み台”になる国内企業に侵入して、業務メールの内容などを盗み見し自然な文面で標的の企業とやりとりします。数度やりとりした後に見積書などを偽ってウイルス偽装メールを送信します。それを複数の担当者に対して実行すれば、メールからのパソコン感染は防げません。 また、攻撃に使われるウイルスも、アンチウイルスソフトで感知できる一般的なものとは違い攻撃対象ごとにオリジナルに作られるため、事前の検疫も困難です」(満永氏)
