個人データが流出した国土交通省 日本政府機関のサイバーセキュリティ対策は大丈夫なのか!?
5月27日、シンガポールが拠点のサイバーセキュリティ企業「DarkTracer」が、日本の中央省庁に対するサイバー攻撃についてツイートした。
そこにはこう書かれている。
そこで、このハッカーの元の投稿を見てみると、こんな文言が確認できる。「みなさんこんにちは! 今日は日本の国土省のデータベースをシェアするよ。データベースのウェブサイトはここ:https://www.mlit.go.jp/」
このウェブサイトは、「国土省」ではなく、日本の中央省庁である国土交通省のウェブサイトである。つまり、ハッカーは国土交通省のデータベースにある情報を共有すると、ダーク(闇)ウェブのフォーラムに投稿している。
さらにこのハッカーは、「数分でハッキングした」「今回のデータベースには次の情報が含まれる:日本政府の電子メール、職員の氏名、などなど」「(データを)購入したいならフォーラムで私にコンタクトして」とも書いている。要は、簡単に国土交通省へのハッキングに成功し、まんまと情報を盗み出し、それを売りに出しているということになる。
では、どんな情報が盗まれたのか。ハッカーが掲載したサンプルのデータを見る限り、多くは「長崎」「島原」「雲仙市」「長崎河川国道事務所」といった名称が確認できる。実は5月28日に、国土交通省が九州地方整備局で職員の個人情報漏洩事件があったことを確認していると公表している。
国土交通省のプレスリリースによれば、「個人情報の流出に関するお知らせとお詫び」とあり、「九州地方整備局 長崎河川国道事務所が管理する*溶岩ドーム情報配信システムに登録されている登録者情報が流出していることが判明しました。登録者情報には、整備局職員のほか自治体職員、関係コンサルタント会社社員等の総数96名分の氏名、メールアドレスや閲覧用ログインIDなどが含まれております」と明らかにしている。
どうもこのデータ流出と、先のハッカーの「データベース」が一致していると見られる。
この投稿をいち早く分析したNTTセキュリティ・ジャパンのレポートによれば、流出した情報は、「投稿データは複数のテーブルから抽出されたと思われるcsvファイルである」「データには、ID及び平文パスワードの他、名前、役職、メールアドレス等も含まれていた」という。
この漏洩事案で最大の問題は、地方支分部局とはいえ、国土交通省の機関で、データベースにパスワードが平文で保存されていたことだろう。つまり、データが暗号化されていない状態で、文字列のまま保存していた。現在のサイバーセキュリティの常識からは、驚くべきお粗末さだと言わざるを得ない。
サイバーセキュリティに詳しい八雲法律事務所の山岡裕明弁護士は、「省庁のデータベースから流出したのであれば、安全保障の文脈においてサイバーリスクを改めて深刻に受け止める必要があるのではないか」と話す。
冒頭のセキュリティ会社のツイートには、こんな返信ツイートが確認できる。
これは、元サイバーセキュリティ担当大臣の桜田議員がかつて「私は25歳の時から独立して(事業などを)やっており、従業員や秘書に指示をしてきたので、自分でパソコンを打つことはない」と語って大きなニュースになった話のことを指しているとみられる。海外にもその話は知られているようだ。
日本はそろそろ本気でサイバーセキュリティを強化して、対外的に示していく必要がありそうだ。