2015.06.02 07:00|カテゴリ:Security

日本年金機構、お漏らし発表前に職員がウイルス感染をリーク? 問題の本質は組織の体質や職員の資質にありそう


 2015年6月1日、日本年金機構が125万件もの年金情報の流出を発表した。


日本年金機構において、職員の端末に対する外部からのウイルスメールによる不正アクセスに より、当機構が保有している個人情報の一部が外部に流出したことが、5月28日に判明しまし た。現時点で流出していると考えられるのは、約125万件です。
日本年金機構の個人情報流出について



 この報道関係者向けのプレスリリースでは、「職員の端末に対する外部からのウイルスメールによる不正アクセスにより」とあり、まるで日本年金機構が悪意のある第三者に不正アクセスをされた被害者のような印象を受けるが、メディア等の報道を確認すると、決してそうではない。
 
 まずは日本経済新聞から。


ウイルスが組み込まれた電子メールの添付ファイルを少なくとも2人の職員が開封し、端末が感染。基礎年金番号や氏名などを管理するLANシステムが不正アクセスを受け、情報が流出した。年金受給額などを管理する社会保険オンラインシステムとLANシステムはつながっていない。
年金機構125万件流出 職員、ウイルスメール開封  :日本経済新聞



 問題は「ウイルスが組み込まれた電子メールの添付ファイルを少なくとも2人の職員が開封し、端末が感染」ではない。今回は標的型攻撃と呼ばれる攻撃手法が用いられている可能性があり、その場合、ある程度セキュリティ対策を講じている組織でも防ぐことが困難である。「標的型攻撃対策をしておくべきだったのではないか」とは言えなくはないが、現状ではすべての職員に徹底させることは困難であろう。詳細は明らかになっていないが、もし高度な標的型攻撃が行われたとなると、必ずしも添付ファイルを開いてウイルスに感染してしまった職員」だけを責めることはできない。
 
 しかしだ。
  
 問題は、その続きにある「基礎年金番号や氏名などを管理するLANシステムが不正アクセスを受け、情報が流出した。年金受給額などを管理する社会保険オンラインシステムとLANシステムはつながっていない。」の部分だ。
 
 本来、年金受給額などを管理するシステムは社会保険オンラインシステムというものだ。今回の流出元はここではないという。では、「基礎年金番号や氏名などを管理するLANシステム」とはなんだろう?
 
 これに関しては、日経コンピュータの以下の記事が詳しい。
 

 流出の原因は、職員がウイルスの仕込まれた添付ファイル付きのメールを受信した後、添付ファイルを開いて不正アクセスが実行されたこと。不正アクセス先はLANにつながるファイル共有サーバーだったという。

 システム統括部は「年金に関する個人情報は普段は基幹システム(社会保険オンラインシステム)で保存しているが、ある業務で使うため、個人情報を基幹システムから抽出し、LANに接続するファイル共有用のサーバーに移した」と話す。現時点で基幹システムである社会保険オンラインシステムへの不正アクセスは確認されていないという。
ニュース - 日本年金機構にサイバー攻撃、ファイル共有サーバーから125万件の年金情報が流出:ITpro



 また、毎日新聞はこのサーバーが職員のパソコンと同じネットワーク上にあったことを報じている。
 

個人情報は職員のパソコンと、LAN(構内情報通信網)ネットワークでつながるサーバーに保管されていた。
日本年金機構:生年月日や住所も…情報流出3種125万件 - 毎日新聞



 つまり、基幹システムである社会保険オンラインシステムから抽出したデータを職員のPCが接続されているLAN上のファイル共有サーバにコピーしていたわけだ。
 
 いくら厳重に社会保険オンラインシステムを守っていても、職員がそこからデータを抜き出し、より防御が甘いLAN上のサーバに125万件ものデータをコピーしてしまったのでは、せっかくの厳重なシステムも意味はない。実際、今回の情報漏えいは社会保険オンラインシステムからではなく、LAN上のサーバから漏れている。きっかけは防ぎづらい標的型攻撃だったかもしれないが、それだけであればここまで大量の情報が流出することにはならなかったはずだ。

 しかも、このコピーしたデータのうち55万件にはパスワードも設定されておらず、日本年金機構が定めている内規にも違反していた。
 

機構の内規は、個人情報を記録したファイルにはパスワードを設定して誰でも開くことができないようにすることになっていたが、約125万件のうち約55万件には設定されていなかった。
日本年金機構:生年月日や住所も…情報流出3種125万件 - 毎日新聞



 作業用に一時的にデータをどこかにコピーすることはあるだろう。それについてはあくまでも一時的な作業に限定し、使い終わったら削除するなどすべきだ。また、データ量も最少限度に留めるべきだし、置く場所も要塞化したサーバ上などに制限すべきだし、適切なアクセス制限を施す必要もある。

 しかし、今回は5/8から5/28日の間の複数日に渡って不正アクセスされていることがわかっている。おそらく、抽出したデータを作業後も消さずに置きっぱなしにしていたのであろう。また、データの量も125万件と、とても最小限度にとどめていたようには見えない。しかも、普通のファイルサーバと見られ、要塞化や適切なアクセス制限も行っていなかったとみられる。

 おそらく、日本年金機構内ではこのような「社会保険オンラインシステム」からのデータ抽出やファイルサーバへのコピーが常態化していたのではないだろうか?

 だとすれば、今回の漏えい事件は明らかに日本年金機構および職員の責任である。
 

 しかもだ。
 
 日本年金機構の職員にはまた別の疑惑もある。
 
 こちらをご覧いただきたい。
 
nenkinkikou-01.jpg
nenkinkikou-02.jpg
 
 

 ソースはこちら→日本年金機構【年金機構】

 これは2chの公務員板のスレの一つだ。2chをソースにするのはどうかと思われるかもしれないが、今回の情報漏えいが報じられたのは6月1日であるにも関わらず、この「日本年金機構【年金機構】」というスレッドでは5月28日の時点で漏えいのきっかけになったウイルス感染について書き込んでいる。しかも、共用ファイル、差出人不明メールと今回の事件で報じられた内容と符合している
 

189 :ウィルス:2015/05/28(木) 20:43:50.67
感染しました。

190 :ウィルス:2015/05/28(木) 21:49:42.65
ウィルス感染しましたので、共用ファイルは利用禁止となりました。

191 :ウィルス:2015/05/28(木) 22:45:59.65 あれほど、差出人不明めメールは開封するな、と警告があったのに、、、

日本年金機構【年金機構】



 そして、6月1日月曜日に公表されることを予期しているかのような書き込みも。


199 :非公開@個人情報保護のため:2015/05/30(土) 21:40:57.71 月曜日には、ウィルス感染を公表するのかな?

日本年金機構【年金機構】



 部外者が公開前の情報をここまで正確に、しかもこのタイミングで書けるものだろうか?しかもここは「日本年金機構【年金機構】」というスレなのだ。第三者ではなく、職員による書き込みである可能性は決して低くない。

 これが隠蔽を図ろうとしている組織に対抗してのリークであればまた話は別だが、内容的にそうではなく、単にモラルの低い職員が、本来書くべきではないことを何も考えずに書き込んでいるだけだ。

 
 漏れたデータを共有サーバに置いたのも職員、ウイルスに感染したのも職員、それらを公開前に2chのスレッドに書き込んだのもおそらく職員。
 
 このような職員が我々の大切な年金に関わる情報を日頃取り扱っていると思うと実に不安である。

 
 不正アクセスを行う者が悪いのは当たり前だが、このような自体を招いた職員や2chにリークした人物に対して今後どのような処分がくだされるのだろう?
 
 2chにリークした人物の特定は、日本年金機構がその気になればさほど難しくない。2ch運営に対し、IPアドレスの開示請求を行い、その情報を元に端末を特定すればよい。土曜日の書き込みなので自宅からである可能性が高い。プロバイダに問い合わせれば人物の特定は可能だ。また、仮に職場からなら休日出勤者の端末を調査すればいい。自発的に名乗りださせるのもありだろう。
  
 曖昧なまま、大した処分もされず、その結果、職員の意識もモラルも向上しないまま、引き続き年金に関する情報を取り扱われるのはまっぴら御免だ。
 
 日本年金機構は、今回のセキュリティインシデントの詳細な分析およびその公表、関係者の処分および公表、リークした人物の特定および処分等、適切に処理すべきだ。
 
 そして、今回漏えいした情報の持ち主に被害が及ばないことを確実にし、二度と同じようなインシデントが発生しないよう、適切な対応策を講じなければならない。組織のセキュリティ意識の向上、職員のリテラシやモラルの向上を図るような施策も必要だろう。

 できないのであれば…
 
 また解体した方がいい。
 
 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。