47NEWS >  47トピックス >  超おすすめ

47トピックス

【年金情報流出 】失策の連鎖、傷口広がる 初動誤り、防ぐ機会逸す


日本年金機構がサイバー攻撃を受け約125万件の個人情報が流出した問題は、普段からの情報防護対策の甘さに初動のつまずきが重なり、被害が拡大した構図が国会審議などから浮かび上がった。問題点を整理した。

 ▽ネット遮断1台だけ

 ことの始まりは5月8日午前10時28分、年金機構の九州ブロック本部(福岡市)に届いた「竹村」と名乗る送信者からの電子メールだ。受信したのは備品調達目的で公開されたアドレス。業務を偽装したものと気付かず、職員がメール本文中の外部リンクをクリックしてウイルスに感染した。

 同49分には外部に向け不審な通信が開始。これで攻撃者は職員のパソコン内からアドレス帳を盗み取ったとみられる。

 異常な通信を検知した内閣サイバーセキュリティセンター(NISC)から厚生労働省経由で連絡を受けた機構は、職員のパソコンからケーブルを抜き、午後3時25分に機構内のネットワークの情報系システム(LAN)から遮断した。

 だが隔離したのはこの1台だけ。LANはインターネットとつながっていた。情報セキュリティー会社「S&J」の 三輪信雄 (みわ・のぶお) 社長が指摘する。「この時点でネット接続を全て遮断すべきだった。1台ずつ遮断したり、ワクチンをつくったりしていると被害が拡大する」

 その通り、傷口は広がった。18日には職員の非公開アドレスに約120通のメールが送りつけられ、22日以降、福岡と東京の本部で次々と異常な通信やウイルス感染が確認された。機構が全てのネット接続を切ったのは、警視庁から情報流出を指摘された28日の翌29日だった。

 ▽係長止まり17日

 機構の職員全体への注意喚起も情報が小出しだった。8日に全職員に不審メールへの注意を呼び掛けたが、ある職員は「抽象的な内容で、どんなメールに気をつけたらいいのか分からなかった」と話す。具体的な件名や内容は18日に1例、25日に4例が示されたが、既に大量の情報が流出した後だった可能性が高い。

 監督官庁である厚労省内の情報共有も遅きに失した。8日のNISCからの連絡や、19日に機構が警視庁に捜査を依頼したことも、年金局の担当係長の段階で情報が止まっていた。上司の課長や 樽見英樹 (たるみ・ひでき) 年金管理審議官ら幹部まで報告が上がったのは、最初の感染から17日後の25日だった。

 塩崎恭久厚労相に一報が届いたのは28日になってから。安倍晋三首相への報告は29日夕にずれ込んだ。塩崎氏は「反省すべきは反省しないといけない」と対応のまずさを認めた。機構は6月1日に情報流出を発表したが、問題発生から3週間余りが経過していた。

 ▽パスワード未設定

 機構の情報セキュリティー態勢にそもそも「穴」があったことも明らかになった。

 立命館大の 上原哲太郎 (うえはら・てつたろう) 教授(情報セキュリティー)は、インターネットとつながったLAN上で個人情報が扱われていた点を問題視。「外部に接続した環境で機密情報を扱うのであれば、暗号化など必要な対策を打つべきだった」と話す。

 流出した約125万件のうち約55万件の個人情報にはパスワードがかけられていなかった。これは機構の内部規定にも反する。このうち情報量が最も多い「基礎年金番号、氏名、生年月日、住所」の四つが入った約5万2千件は、全てパスワードが未設定だった。

 機構は特殊法人であるため、サイバー攻撃から行政情報を守るために国が指定する重要対象機関に含まれていない。政府全体の無防備さを危ぶむ見方もある。

 (共同通信)

2015/06/07 14:44

ロード中 関連記事を取得中...


コメント

コメントをお寄せください