日本年金機構が仕出かした事とは

情報漏洩

日本年金機構は1日、サイバー攻撃を受け、年金の受給者と加入者の基礎年金番号や氏名などの個人情報が流出した、と発表した。現時点で約125万件が流出したとみられ、さらに増える可能性がある。年金の支払い業務に特段の影響はないとしている。機構側の相談を受けた警視庁公安部は、不正アクセス禁止法違反や不正指令電磁的記録作成などの疑いがあるとみて捜査を始めた。

出典:年金の個人情報125万件流出か サイバー攻撃(朝日新聞)

日本年金機構側の記者会見の中でも、職員がメールの添付ファイルを不注意にも開封し、ウイルス(マルウェア)に感染することによって、その後に異常な通信を確認したと説明しています。それが5月8日で、18日になってから他のパソコンにも感染が確認され、19日になって警視庁に届け、さらに28日になって警視庁のほうから情報漏えいの可能性を通知されたということです。8日から19日の間で、セキュリティ対策会社に対策を依頼していたとしても、何重にも不祥事、対策の不備が重なっています。28日までいったい何をしていたのでしょう。

まず、職員がマルウェアの仕組まれた添付ファイルを開封した事を原因としてますが、確かに発端はそうであるとは言え、添付ファイルを開けてしまうのは対策として想定内の出来事のはずです。現在の標的型メール攻撃では、巧妙な手段を使って、十分注意していたとしても開封してしまうことがありえます。もちろん、アンチウイルス対策ソフトを導入していたとしても、それをすり抜けてしまいます。この点からして、まったく対策になっていません。年金ファイルの扱い方も杜撰な上に、裸で(暗号化、パスワード設定もせずに)共用ディレクトリに入れっぱなし、一人がマルウェアに感染しても、ほとんど対策なしという状況等、信じられません。8日に一台の感染が認められた段階で、十分な対策、たとえば、その時点ですべてのインターネット接続を止め、それまでの外部、内部を問わず、通信すべてをチェックするとともに、すべてのパソコンの状況を綿密に検査した上で、さらにその後の通信もすべてリアルタイムでチェックする等、以降常に攻撃対象であるという意識と対策の上で、支障のない範囲での業務を続けるべきでした。もちろん、8日の段階で、最善の対策をとった後に、攻撃された事を公開し、十分な対策をとったことを公言するべきでした。そうすれば情報漏洩に直接つながる攻撃が成立しなかった可能性が高いのです。わざわざ逮捕されにいく犯人はいませんから。

個人情報の流出・漏えい・紛失事件が多発していることに便乗して、「あなたの個人情報が漏れているので、削除してあげる」といった電話をかけてくる詐欺が増えていると国民生活センターが注意を呼びかけています。

出典:「個人情報を削除してあげる」電話は詐欺 国民生活センターが注意呼びかけ(ねとらぼ)

振り込め詐欺があれだけ取り上げられても、詐欺にかかる人を減らすことはできても、無くすことはできません。ネット銀行での不正送金も高度なマルウェア(コンピュータウイルス)を使った手口よりも、メール等での偽の通知によるフィッシングサイトへの誘導が多く、どの銀行でも大々的に注意喚起を行っているにもかかわらず、詐欺の被害が無くなることは有りません。今回の日本年金機構の情報漏えいを利用した二次的被害であるこのような詐欺も当初からの注意喚起に寄らず、被害を受ける人は少なからずいることでしょう。「電話は詐欺」と言われても、住所が漏れていることも有って、かつ「手紙」よる年金機構からの通知が告知されていますから、機構よりも先に詐欺手紙が届く可能性も有ります。また詐欺が目的よりも、つまようじ少年やドローン少年のようにネット動画での注目を目的に、面白おかしく電話をかける輩も出てくるでしょう。そちらも心配です。

マイナンバー制度を担当する甘利明社会保障・税一体改革担当相は6月2日の閣議後記者会見で、年金情報の大量流出問題が、マイナンバー制度の導入スケジュールに影響を与えるか問われ、「変更予定はない」と話した。

出典:甘利大臣「マイナンバー導入予定は変更なし」 セキュリティ懸念否定(ITmedia)

マイナンバーに付いても懸念を否定するだけでなく、機構の対策の不十分さ、不祥事が発生する事の必然性を十分参考にする事が望まれます。