アノニマス襲撃!マイナンバー制度に対するセキュリティは安全なの?

日本の公的機関に対してサイバー攻撃を仕掛けてきたアノニマス。大規模な年金機構より125万件にも及ぶ個人情報が流出しました。年々大規模になっていくサイバー犯罪、最近では国家間によるサイバー攻撃か激化。新たな戦争場となりつつあるネット世界において、マイナンバー制度は本当に大丈夫なんでしょうか。

アノニマスによる攻撃?

 (46369)
《日本政府を攻撃する》。田舎暮らしの少年の軽はずみなネット投稿が、公安警察の逆鱗に触れた。自宅のパソコンにコンピューターウイルスを保管していたとして、兵庫県警警備部は2月、同県内に住む高校2年の少年(16)を書類送検した。企業や官庁に立て続けにサイバー攻撃を仕掛ける国際的ハッカー集団「アノニマス」を自称する少年は、国内外のハッカーと交信し、仮想空間でハッキングの予行演習もしていた。…少年の事件を「氷山の一角」と指摘する専門家も…

サイバー攻撃を取り締まる兵庫県警警備部の捜査員は平成25年9月、ツイッター上で、政府を標的にしたサイバー攻撃を示唆する不穏なやりとりを見つけた。…「名乗れば誰でもアノニマスになり得る。ネット上にはアノニマスを名乗る人物が無数にいる」と捜査関係者は話す。…

「アノニマスのメンバーから技量をばかにされ、攻撃を受けたときに仕返しができることを知らせたかった」と供述した。

このニュースで思い出されるのは昨年のドローン少年の事件です。支援者を騙る大人たちにおだてられ、けしかけられ、25万もの支援を行った者もいました。おもちゃのように大人に遊ばれた少年は、着実に違法行為を手を染めていってしまいました。

また最近のニュースでは、全国の公共機関に爆破予告のメールが相次いでいます。
参考:http://news.biglobe.ne.jp/domestic/0219/tbs_160219_1428486497.html

アノニマスは一枚岩ではないらしい

 (46352)
…アノニマス(Anonymous)とは「匿名の」という意味を持つ形容詞。語源は、ギリシャ語 ἀνώνυμος anṓnumos アノーヌモス:an-, “without”+ ónoma, “name” つまり、 “without name”「名前のない」からきている。 インターネットにおいては掲示板に画像やコメントを投稿する時の名前の無いというところから使用されている。この共有人格的な意味での使われ方のアノニマスは匿名画像掲示板が発祥である。この掲示板では、名を名乗らずコンテンツを投稿する人(名無しさん等のように)に対して「アノニマス」というタグがつけられる。掲示板においてアノニマスという言葉は、本物の人間を表すようになっていった。4chanが流行するにしたがって、アノニマス=名もなき個人の集団という考え方は一種のインターネットミームとして定着していった[5]。つまり、概念的な話となるが、アノニマスは広く、名付けられていない集団を示している。その定義では、簡単に一括りに出来ないと言うことが強調され、その量の大きさを示す警句で示される。
各国の政府やグローバル企業を標的に、サイバー攻撃を繰り返してきたハッカー集団・アノニマス。そのアノニマスがIS(通称イスラム国)への宣戦布告を行ったことで、の評価と期待が高まっている。…

アノニマスが、一般的に報じられている“ハッカー集団”ではないという。例えば日本のアノニマスは、違法行為はしないと宣言している。とはいえ、アノニマスの一部がISにサイバー攻撃を仕掛けたのは事実だ。
福森氏はアノニマスについて、「ISを潰すために攻撃していると言っていますが、攻撃内容を見るとフェイスブックやツイッターアカウントを暴露し、停止させているだけです。ISからしたら特にダメージもないでしょうね。プロの攻撃者集団からすれば、本当に幼稚な、自己満足行為です」
と一刀両断。

つまりアノニマスと名乗りたかったら誰もが名乗れ、アノニマスとして存在することができるので、文字通りアノニマスの仮面をかぶって行動することも可能。実際にはアノニマスではないのに、その仮面を利用してハッカー攻撃を行えるので、攻撃者がアノニマスか違う別の組織なのかなんてことは一概には言えない実態も。

そもそもアノニマスが一枚岩でないので、攻撃のレベルも稚拙なものから高度なものまで、「アノニマス」と語り行動する幅があまりにも広いのが特徴です。アノニマスが攻撃…というニュースがあっても、匿名の攻撃者だという認識が正しいのかもしれません。

参考:http://yaplog.jp/n-kissy070/archive/316

公務員の個人情報は金鉱

 (46360)
一般人とは違い、公務員の個人情報は、政府の秘密資料にまで接近するカギとして悪用されるおそれがある。セキュリティー諮問企業を運営する元ハッカーのケビン・ミトニック氏は連邦政府の公務員の個人情報を「金鉱」と表現した。ミトニック氏は「セキュリティーで最も弱い部分は人」とし「(個人情報が流出したため)もう該当人物に関してすべて知ることになった」と説明した。

米政府の懸念も同じだ。フェイン氏はメッセージで「誰が重要な国家安保情報に接近できるのか識別し、該当人物に焦点を合わせて個人情報を悪用する可能性がある」と指摘した。…

…ジム・ランゲビン下院議員は「中国から攻撃をしてきたことは分かっている」とし「個人のレベルか、集団または政府レベルの攻撃かは知らないが(今回のハッキングは)政府レベルの特徴を見せている」…アダム・シフ下院議員は「このような規模のハッキングは信じがたいほど」とし「奪われた情報でどれほど多くの追加攻撃をしてくるか分からない」と懸念を表した。

一部のセキュリティー専門家と当局者は、中国ハッカーが米国主要人物のデータベースを構築しようとしている、という分析を出した。ワシントンポストは専門家の話を引用し、「ビッグデータを盗み出してビッグデータを蓄積しようとする中国の試みであり、これは戦略的レベル」と伝えた。

過去に何度も日本の公共機関へのハッキングによる個人情報流出が取りざたされています。公務員の個人情報流出も、私たちが知らないだけで実際は起こっているのかもしれません…

情報が流出しても表に出ないことも?

 (46368)
 文部科学省が所管する国立大学などの120組織のうち、2013年度にサイバー攻撃による被害が25組織で出ていたのに、半数近い12組織が公表していなかったことが13日、分かった。組織名は非公表だが、被害直後に個別に公表された情報と突き合わせると、被害に遭ったのは東大、東京外国語大、東京海洋大、信州大、琉球大、宇宙航空研究開発機構(JAXA)とみられる。

13年11月、複数の大学の複合機が、情報を外部から読み取ることができる状態になっていた問題が明らかになり、文科省は120組織を対象とした調査を実施した。

調査結果によると、被害は25組織で計30件確認されていた。

大阪府堺市の職員が、平成23年に行われた大阪府知事選での市内の全有権者約68万人分の個人情報など複数の資料を持ち出して情報流出させたとして、堺市はこの職員を懲戒免職としたうえで、地方公務員法および個人情報保護条例違反容疑で刑事告訴することを検討…市職員や外郭団体関係者の個人情報・約1,000人分を外部のレンタルサーバに置いて流出させたというものだったのだが、その後の調査で市の伝統産業子ども就業体験事業に参加した子供を含む600人近くが追加されていた。

今回、継続調査の結果68万人の情報流出が確認されたもの。この職員は選挙の補助システムの開発に関与しており、これを改良したものを自作システムとして他の自治体や民間企業に売り込もうとしていたという。また、事情聴取でも証言を避けた上に、提出を求められたPCやHDD、またレンタルサーバのデータを初期化して証拠隠滅を図るなどしていたため、悪質と判断されたようだ。

なお、このデータを手続きすることなく提供したなどでこの職員以外にも6名が、外郭団体でも4名が戒告などの処分とされている。

預かったマイナンバー漏洩で4年以下の懲役も
企業にとって重要な点が「特定個人情報」(12桁の個人番号=マイナンバーそのものと、マイナンバーに紐付けた氏名や従業員番号などの情報)が漏洩した際に、新たな罰則規定が設けられていることです。

…マイナンバー制度の施行に伴う特定個人情報の漏洩については、既存の個人情報保護とは次元の違う罰則…

たとえば、もっとも重い刑事罰は「4年以下の懲役または200万円以下の罰金」もしくはその両方を科せられます。…

マイナンバー情報の流出問題は厳格です。また個人情報を故意に流出、不正を働いた場合は逮捕も相次いで報道されたことも記憶に新しいですね。

社労士に個人情報流出させハローワーク職員逮捕、アイドルの個人情報を不正に持ち出した職員逮捕等…

また複合機から情報が流出してしまった例もあるように、セキュリティや情報の取り扱いの意識が引くいと故意ではなくとも大量に流出させてしまうこともあります。場合によっては罪に問われるので、注意しましょう。

武器を伴わないサイバー戦争

Cyber attack – YouTube

2015/08/03 に公開
米中のサイバー戦争の様子が確認できます。
日本年金機構の個人情報流出事件をめぐり、衝撃的な報道が飛び出した。警視庁公安部が、犯行グループが中国人民解放軍の事実上の傘下組織であることを突き止めた-とするリポートを、30日発売の「週刊文春」が掲載…

犯行グループが単なる犯罪集団ではなく、人民解放軍系の組織だということになれば、事態は一気に深刻さの度合いを増す。…

「中国が、米国へのサイバー攻撃の一環として、同盟関係にある日本に矛先を向けるのは、ある意味、自然なことだ。その場合、真の攻撃の対象は官邸や警察、防衛省などの省庁であり、日本年金機構を狙ったのは“予行演習”だと推測できる。日本のコンピューターシステムの脆弱(ぜいじゃく)なポイントを探ろうとしているのではないか」

実際、中国が絡むとみられる対米ハッカー攻撃は近年、激しさを増している

4月22日の厚労省本体への攻撃はNISCからの連絡で防御しており、それに類似した攻撃が機構に対する5月8日の攻撃であったことも併せて考慮すると、「敵」はNISCや標的になっている組織の能力(監視、分析、対応能力)を確認しながら、手を変えて攻撃を行いその対応を確認しつつ執拗に攻撃を続けることで、防御側を慣れさせ安心させつつ目的を達成しているようも考えられます。

つまり、今回は第四波で侵入を許してしまったのですが、仮にそれを防いだとしても、おそらくは手を変えて攻撃が継続されていたと認識すべきだということになります。当然のことながら、一件落着したように見える現在も事件は継続しているとさえ前提としておくべきものでしょう。そういうことから、今回明らかになった事象は、敵の陽動作戦であり、氷山のほんの一角である可能性すら感じてしまいます。前回のブログでも指摘した通り、「戦争」状態だという認識が必要…

大規模な年金機構による個人情報流出、報告書によると海外から大掛かりの攻撃が行われていたことを如実にしました。いまや日本によってサイバー戦争は彼岸の戦いではなく、その渦中で攻撃され続けていることを自覚しなければなりません。