マイナンバーが流出?年金機構の大量漏えいから対応策を考えよう!

企業となれば個人PCの情報以上の重要な情報が入っています。情報漏えい対策において、顧客や取引先企業からの信用を一気に無くしてしまう行為に、アクシデントを知りながらも適切な対処が遅れがあります。中小企業はハッキングされやすいというデータがあります。年金機構による情報流出はなぜ対応が遅れたのか、一連の流れを見ながら標準型攻撃に対して免疫をつけ、適切なマイナンバー管理をしましょう。

情報漏えいは企業にとって大きな痛手

 (46586)

年金機構の流出に続き、全国の公共団体・組織でのウイルス感染…

●香川大附属病院 1台がウイルス感染 6月17日
…標的型メールの可能性…

●協会けんぽ(全国健康保険協会)4台で不審な通信 6月17日
…パソコン4台に不審な通信を確認(17日発表)。…協会本部…支部の計3台の端末…外部との不審な通信…

●JESCO(環境省所管の特殊会社) サイバー攻撃の疑い 6月17日
…中間貯蔵・環境安全事業」…攻撃被害の疑い(17日発表)。12日…不正アクセスを検知…遮断したのは15日、環境省への報告は16日と遅れた。…

●ひろしま国際センター(広島市の外郭団体) 5台がウイルス感染 6月17日
…「健康保険組合からの医療費のお知らせ」という標的型攻撃メール…

●上田市 庁内LANでマルウェア感染。攻撃の足場に利用か 6月16日
…パソコン3台が、サイバー攻撃でウイルス感染(16日発表)。
…標的型攻撃メールによる感染…

●石油連盟 数台のパソコンがウイルス感染 6月15日
複数のパソコンが・・・感染。…政府へのエネルギー政策や税制改正に関する…資料の流出…。…補助金を申請した(一部)2万5093人…アンケート(回答者の一部)2214人の氏名、住所、電話番号などの一部が入っていた。

●健康保険組合連合会 2台の感染確認。
…不正なプログラムが作成されていた。…8台で外部からの不正なアクセスが確認…。…「医療費通知」のタイトルのメール届いていた…。健康保険組合連合会を名乗った不審なメールが配信された…

●国立医薬品食品衛生研究所 1台の感染確認。流出は現時点で未確認 6月13日
…医療機器の安全性に関する実験データ等…研究者のパソコン…13日発表)…

●国立精神・神経医療研究センター ウイルス感染の疑い 6月13日
厚生労働省が「ウイルス感染の疑いがある」と指摘。…

●東京商工会議所 7050人分のデータが流出 6月10日
標的型攻撃メールでウイルス感染。…過去3年間のセミナーの…(個人情報や)会社名などが流出。会員以外の情報も…5月11日の時点で、JPCERT/CCから指摘…発表まで

ITジャーナリスト三上洋 (みかみ・よう)による解説
既存のアンチウィルスソフトだけでは防げないと、ITジャーナリストである三上洋氏は指摘しています。それによれば、ウィルスに一度でも侵入され感染した場合、流出した形跡がないからと言って安心してはいけないとのこと。

先日私も、長時間ネット接続をしたままPCを放置していたところウィルスに感染してしまいました。ち更新やアンチウィルスソフトは常に最新にと気を付けていたはずでした。しかし…Chromeがトロイの木馬に感染したようです。

最近では正規サイトが改ざんされ、ウィルスに感染という例も増えているそうです。正規サイトを見ただけでウィルスに感染となれば、できるだけウィルスに関する情報を多く知り、安全策を取るだけしか対抗策はないかもしれません。

大きな判断ミスが3回、そして大量流出へ

 (46592)

3度のミスが重なり、大量に情報が流出
日本年金機構からの125万件の個人情報流出は、公的機関では史上最大の流出事件となった。…

問題点は大きく分けて「メール添付ファイルのクリック:職員のセキュリティー意識」「ネット接続のパソコンでの作業:機構内部のセキュリティー体制」「ウイルス感染後の処置:危機管理体制」の3つがある。特に最後の感染後の処置では、日本年金機構は3度の判断ミスをしている。

▲日本年金機構での標的型メールの事実関係

・5月8日に九州ブロック本部の職員に「厚生年金基金制度の見直しについて(試案)に関する意見」というタイトルのメールが届く
・発信元は無料メールアドレスであるYahoo!メール。ファイル添付ではなくURLのリンクがあり、オンラインストレージ(ファイルのネット保存サービス)であるYahoo!ボックスへのURLアドレスが書かれていた
・このファイルを開いたことでウイルス感染
・その後、18日前後に約100通の標的型メールが、日本年金機構の様々なメールアドレスに届く。タイトルは「厚生年金徴収関係研修資料」「給付研究委員会オープンセミナーのご案内」「医療費通知」の3種類だった
・18日前後の標的型メールは、添付ファイルがあり、圧縮ファイルだった
・この標的型メールで、東京などで27台のパソコンがウイルス感染した

全ての問題の根本は、標準型メール攻撃に対しての免疫がなく、悪意のある攻撃者からのメールを簡単に見てしまったこと。

最初の標準型メール攻撃の件名は「厚生年金基金制度の見直しについて(試案)」という、常日頃年金関係の業務を行っていた職員にとっては、うっかりと見てしやすい件名がポイント。標準型の恐ろしいところは、一見して普通の行メールと判断が付きにくいところです。

情報流出防止にはチェック機能を万全に!感染したらすぐに遮断

 (46596)

同機構は漏洩データを保管していたファイル共有サーバーを社会保険庁時代から恒常的に利用していたことが明らかになった。年金記録などを格納する基幹システム(社会保険オンラインシステム)から個人情報をファイル共有サーバーに移していたところ、標的型ウイルスに感染したパソコン経由で情報が漏れた…

同機構のシステム統括部によれば、少なくとも2010年1月の機構発足時には、基幹システムから抽出した個人情報をファイル共有サーバー内のフォルダに格納して、職員間や事務所間で共有していた。…

一般に基幹システムのデータを現場が簡単に編集する目的で、エクセルやCSVで現場向けデータを作成・提供することは決して珍しくない。ただ、パスワードの設定を職員任せにしてチェックが行き届かない運用…ネットがつながるパソコンで個人情報のサーバーにもアクセスできるネットワーク設計だったことが重なり、今回の流出を招いた。

日本年金機構(東京)の個人情報流出事件で、機構側の情報管理のずさんさや対応の遅れが明らかになった。…「適切対応で被害拡大は免れた」。専門家は指摘している。

 機構の対応の遅れが被害悪化を招いたとされる。…

担当職員は添付ファイルを開封し、パソコンはウイルス感染した。

 ただ、異変はすぐに察知される。開封で不審な通信が出始めたのを行政機関へのサイバー攻撃対策を担う「内閣サイバーセキュリティセンター」が発見。連絡を受けた機構は、すぐに職員のパソコンを外部のネットワークと遮断した。

情報セキュリティー会社に解析も依頼し、機構内の全パソコンに、このウイルスを駆除するソフトを入れたが、機構全体で外部通信を遮断する措置が取られることはなかった。サイバー犯罪に詳しい甲南大法科大学院の園田寿教授(刑法)は「この時点で外部との通信を完全に遮断していればこれほどの被害は出なかっただろう」とみている。

大量流出までの経緯

 (46604)

2015年5月8日(金)標準型メールのファイルを開き感染、セキュリティセンター(NISC)が感知、年金機構に報告。数時間後にネット接続を遮断。NISCがセキュリティのソフト会社に調査を要請。
2015年5月15日(金)上記、ソフト会社が情報を漏えいさせるタイプのウィルスではないと報告。
       18日(月)標準型メールが大量に届き、27台のPCが感染。
       19日(火)大量の不審メールでウィルス感染を自覚、警視庁に相談
          ・
          ・
          ・
2015年5月28日(木)警視庁より個人情報流出があると報告を受ける
     5月29日(金)ネット接続をやっと遮断
    6月 1日(月)情報流出を公表

参考:http://abhp.net/alacarte/Alacarte_741000.html
  ↑
(年金機構流出に至る詳細を記載してあります。一連の流れを把握したい方はご覧ください)

セキュリティ会社のアンチウィルスソフトを過信してはいけない

 (46606)

セキュリティ会社から「「外部に情報を漏洩(ろうえい)するタイプではない」と報告を受け」てネットワークを切り離す判断などできるわけがない。ただし21日以降の異常通信をリアルタイムに検知して迅速に対応できていればもっと少ない被害で済んだかもしれない。
最近の標的型攻撃では、最初に送り込まれるウイルスが情報を外部に流出させるタイプではないのはセキュリティー業界では常識。ウイルスは侵入後に外部サーバーから新たな指令を受け、色々な機能のウイルスを増殖させていくのがパターンだ。だから「解析結果は安心材料にはならない」。しかも、感染は1時間もあれば周囲のPCに拡大するため、1台だけ遮断しても意味はない。

 かといって、すぐに全ネットワークを遮断するのも現実的ではない。政府機関は年に500万件以上の不正アクセスなどを受けているのだ。

 「標的型が疑われるなら『泳がせ捜査』も選択肢だった」と高倉教授は勧める。姿を隠したまま増殖するウイルスに対抗するため、感染端末をしばらく監視下に置いて、感染の範囲を確認した上で一気に遮断する手法という。

※ここで着目すべき点は、まず当初のウィルス感染を確認して数時間後には感染したPCはネット接続を遮断しているところ、そしてソフト会社の報告「情報を漏えいさせるタイプのウィルスではない」を過信してしまったことです。人は権威づけされた言葉に弱い生き物です。

感染後1時間でネットワークを介して周囲のPCに感染してしまうなら、初動で数時間後に遮断ならすでに周囲のPCに感染していた可能性があることを指摘されていたら、あるいは高倉教授の指摘した対抗策を行えるセキュリティのプロがいたら、今回のことはここまで大きくなることはなかったのではないかと思います。

セキュリティ業界では、最初に送り込まれるウィルスが情報を盗むタイプではないのは常識ならば、なぜソフト会社はそれに適した対応ができなかったのでしょうか。流出した背景には、セキュティソフトを入れているから、セキュリティの分析の結果が問題なかったから、が後をしをしてしまったように思います。

標準型攻撃で情報漏えいした事例から学ぶ

 (46607)

セキュリティ対策は人任せにするのではなく
自分自身で学んでいかなくてはいけないもの
廃棄するはずだった食品が流用したニュースで一躍株を上げたのは、「CoCo壱番屋」の対応。パート職員がスーパーにて自社の商品の転売を知ったことがきっかけとなり、1日で取れるだけのトップまで情報が正確に伝わり、詳細な調査まで行われた対応には、新たな多くのファンまで獲得、企業の社会的な絶大な信用になったいい例。

年金機構による情報流出に学ぶ点があるとしたら、初期段階でとりあえず「感染後1時間」を過ぎる前に感染が分かったら、問題のPCは直ちに接続を遮断するのが一番手っ取り早い方法で、ローコスト。この点だけでも覚えておいて、すぐさま対応することが顧客や取引先の信頼を勝ち取れるかもしれませんね。

企業全体が一致団結し問題を乗り越える姿は、情報漏えいが起こった際に企業が取るべき見本となるのではないでしょうか。

インテリジェンス諜報@ウィキ – インテリジェンス関連年表

インテリジェンス諜報@ウィキ - インテリジェンス関連年表
2010~2015年までの日本のインテリジェンス改革と,影響を与えた出来事・事件を整理し年表にしようと思います。(テロ対策とサイバーインテリジェンスを重視)
いつ頃からサイバー攻撃がされてきたのか確認できます。

あなたにオススメのコンテンツ



シェアする

  • このエントリーをはてなブックマークに追加

フォローする