約125万件の個人情報が流出した日本年金機構の情報漏えい事件は、企業の情報システム部門や、顧客のシステムを預かるSIer、サービス事業者にとっても人ごとではない。
「なぜ不審な添付ファイルを開いてしまったのか」「ウイルス対策ソフトは作動しなかったのか」といった声も聞かれるが、悪意の目的をもって行われる標的型攻撃では、業務の内容やタイミングまで熟知したうえで“開かざるを得ない”メールを装ってウイルスが送られるため、社員の意識向上だけで感染を防ぐのは現実には不可能だ。カスペルスキーの川合林太郎社長は「『怪しいサイトには行かない』『怪しいメールは開かない』といわれるが、見た目には怪しくないので、対策としてはまったくナンセンス」と指摘する。また、「攻撃者はターゲットがどのアンチウイルスソフトを使っているかを調べて、同じソフトでスキャンをかけてすり抜けることを確認してメールを送っている」(川合氏)ため、パターンマッチング型のウイルス対策は標的型攻撃には対応できないことも多いという。
しかし、最初の感染とされる5月8日のメールが開かれた後、年金機構は不正な通信を遮断すべく、PCからのLANケーブル抜線などに動いている。不審メールの開封やウイルスの検知漏れなどが発生しても感染を察知するための、万が一に備えた仕組みはむしろ正しく働いていたということになる。
問題なのは、不審な動きを察知しながら、最初に感染したPCのみを隔離し、組織のインターネット接続を継続していた点だ。年金機構は「何か異常な事態が起こっていることはわかっていたが、具体的にこういうこと(情報流出)が起こっているとわかったのは28日」(同機構・理事)としているが、国民の個人情報を預かる組織として、最初の攻撃が確認された時点で事態の重大性を認識できていれば、ここまでの被害にはつながらなかった可能性もある。
また、インターネットに接続されているPCで個人情報を取り扱う業務が常態化していたという。基幹システムからPCへのデータのダウンロードが業務上避けられないとしても、インターネットへの接続が必要だったのか。必須であるなら、自動的に暗号化するなどの技術的な保護が行われていなかったことは重大な欠陥といえるだろう。
捜査中の事件であることから、詳細は今後明らかになっていくと考えられる。犯罪組織の実態についても、解明されることが期待される。その一方で、今回の一件からは、自らの組織がもつデータの重要性を経営層が正しく認識していなければ、サイバー攻撃の被害を防げないことが証明された。場合によっては「業務を止めてでも情報を守る」という判断ができなければ、一度の事故が組織の存続を揺るがす致命傷になりかねない。
マイナンバー(社会保障・税番号)制度への影響もありそうだ。日本年金機構が管理する個人情報とはまったく異なる制度だが、公的機関が採番するという点で同一視されがち。実際、国会ではマイナンバー制度に関連する審議に影響が出ている。住民から自治体への問い合わせも多く、ある自治体の情報システム担当者は「マイナンバーに関連する計画を見直す必要がある」と語っていた。
マイナンバーは民間企業も取り扱うことから、セキュリティシステムを導入するSIerへの要求もいっそう高まると考えられる。(日高彰)
日本年金機構の認識の甘さが致命傷につながった
