全6069文字

2段階の攻撃を受けていた年金機構

桜井:JTBの事件のように手口が巧妙化してくると、対処が難しいですね。対策としてはどんなことがあるでしょうか。

:少し古いですが15年に起きた日本年金機構の事件を例に考えてみましょう。この事件では2段階の攻撃を受けて、年金機構の保有する個人情報が流出しました。

桜井:「年金加入者の氏名と基礎年金番号」がおよそ3万1000件、「氏名と基礎年金番号、生年月日」がおよそ116万7000件、「氏名と基礎年金番号、生年月日、住所」がおよそ5万2000件流出したというものですね。ずいぶん大騒ぎになった覚えがあります。

:まず、日本年金機構の一般に公開されているメールアドレス宛てに、メールが送られてきました。そこには外部のサイトへのリンクが書かれており、職員はそこにアクセスしてファイルを入手して開いてしまい、ウイルスに感染してしまいます。

 この感染により外部への不審な通信が行われます。これを内閣サイバーセキュリティセンター(NISC:ニスク)が検知し、日本年金機構に連絡しています。日本年金機構は感染したパソコンをネットワークから切り離す一方、調査と対策をウイルス対策ベンダーへ依頼します。その結果、このウイルスがウイルス対策ソフトで検知できない亜種の新種だったこと、ただし個人情報を外部へ持ち出すタイプではないこと、ウイルス対策ソフトにこのウイルスを検知するパターンファイルを登録した、との報告を受け、対応を収束させてしまいました。

 ところが、その3日後に今度は非公開のメールアドレスに不正メールが100通ほど送られ、そこに添付されたファイルを職員が開いた結果、ウイルスがインストールされ、大量の個人情報が流出したのです。このとき送られたウイルスは、一次攻撃のものとは違い、外部に大量の情報を流出させる機能を持ったウイルスでした。

日本年金機構の対応は不十分だった

桜井:職員がずいぶんうかつな気がしますが。

:当時もそういう批判がずいぶんありました。しかし、これもJTBの事件と同じく、思わず開いてしまうような仕掛けがなされていました。最初のメールでは「厚生年金基金制度の見直しについて(試案)に関する意見」というタイトルでした。外部から意見という形を装っています。また、二次攻撃でのメールのタイトルは「給付研究委員会オープンセミナーのご案内」というもので、いずれも過去に実在した文書やイベントを想起させるものでした。

日本年金機構への2回目の攻撃の際に送られてきたメール。添付されたファイルを開いたためウイルスに感染してしまい、情報が盗み出された

 しかも二次攻撃の際に送られてきたメールの送付先は、非公開のもので、通常なら外部の人が知ることができないものでした。そのため油断した可能性もあります。さらに一次攻撃があった時に、日本年金機構は職員に対して「不審なメールには注意するように」といった呼びかけをしただけで、このときのメールのタイトル名や内容、ファイル名などの具体的な情報を共有しませんでした。感染に関する具体的な情報が分からなければ、感染への心構えや準備ができません。ウイルスを感染させるファイルを開いてしまった個人を批判することは簡単ですが、組織としての対応が不十分だったことの方が問題です。