本特集では、日経コンピュータの看板コラム「動かないコンピュータ」の過去記事の中から、セキュリティー関連の事例を14本取り上げていく。トラブルの真相から、今後のリスク回避につなげてほしい。

日本年金機構は2015年6月1日、少なくとも125万件の年金情報が流出したと公表した。漏れたのは基礎年金番号と氏名、性別、住所。漏れた人の年金番号は変更する。直接の原因は標的型攻撃を受けたことだ。ウイルス付き偽装メールが開封され、ネットワークを通じてウイルスが拡散した。旧社会保険庁時代から続く情報共有の仕組みが被害を広げる一因となった。

 「お客様に多大なご迷惑とご心配をおかけすることにつきまして、深くお詫び申し上げます」。日本年金機構(以下、機構)の水島藤一郎理事長は2015年6月1日、年金情報の大量流出に関してこう謝罪した。監督官庁である厚生労働省の塩崎恭久大臣は国会答弁で「ガバナンスだけでなく、不正アクセスも守り切れなかった問題を感じている」と話した。

 流出した約125万件の個人情報のうち、約116万7000件は基礎年金番号・氏名・生年月日の3項目、約5万2000件は基礎年金番号・氏名・生年月日・住所の4項目、約3万1000件は基礎年金番号・氏名の2項目で構成する。機構は流出した基礎年金番号を変更する方針だが、システム改修にかかる費用の精査はこれからだ。機構の資料や国会答弁、関係者への取材を通じて、6月10日時点で判明している経緯を追う。

1通の標的型メールで始まる

 標的型攻撃の始まりは1通のメールである。機構が外部に公開する外部調達のメールアドレス宛てに標的型メールが届いたのは5月8日。「『厚生年金基金制度の見直しについて(試案)』に関する意見」という件名だった。

 福岡県の職員がメールを開封し、PCがウイルスに感染した。件名にある文書は厚労省のWebサイトに存在しており、「メール本文には年金業務に関係するキーワードが含まれていて、内容は一見、怪しいものではなかった」(システム統括部の川田高寛システム管理グループ長)。

 機構のネットワークは厚労省のネットワークの配下にあり、内閣サイバーセキュリティセンター(NISC)が24時間体制で監視している。NISCは5月8日、不審な通信を受信し厚労省に報告。厚労省は通信の出所が機構のPCであると特定した。

 機構を管轄する厚労省年金局は機構に対して、感染したPCのLANケーブルの抜線と回収を指示。検知から3時間後に抜線したという。厚労省は対応完了をNISCに報告、NISCは不審な通信の停止を確認した。

 機構は職員に注意喚起のメールを出す一方で、ウイルス対策ソフトを提供するセキュリティ会社にウイルスの検体を提出。ウイルスの分析と対応機能の開発を依頼した。5月12日に対応機能の提供を受けた機構は、全てのPCに適用。対応はひとまず完了した。

27台のPCがウイルス感染

 機構に対する標的型攻撃が再び本格化したのは、5月18日から20日にかけてだ。100通を超えるウイルス付きの不審なメールが、非公開のはずだった職員のアドレスに一斉に送られた。

 機構は5月18日、不審メールから関係のある情報を抜き出してセキュリティ会社に提出。同時に職員に対し注意喚起メールを出した。翌19日には「抜本的な対策が必要」(水島氏)として警視庁に相談した。それでも攻撃を防ぎ切れなかった。一部の職員が添付ファイルを開いてウイルスに感染し、ネットワーク経由で広がったとみられる。

 5月22日に、NISCが再び不審な通信をキャッチする。ウイルス対策ソフトを更新し、25日には注意喚起メールを出したものの、「19台のPCから大量の情報が外部に発信された」(塩崎厚労相)。この過程で125万件の年金情報が外部に漏洩した可能性が高い。機構によれば、最終的に27台のPCがウイルスに感染している。

 セキュリティ会社のカスペルスキーの分析によれば、機構に対する標的型攻撃には遠隔操作ウイルスの「EMDIVI(エムディヴィ)」が使われた可能性が高い。EMDIVIはWindowsの標準コマンドを使って感染を広げたり情報を盗んだりする。攻撃者など外部とのやり取りに標準的な通信プロトコルとポートの組み合わせを使うこともあり、活動を検知しにくい。

 同社情報セキュリティラボ マルウエアリサーチャーの石丸傑氏は「遅くとも2014年9月から日本を対象とした標的型攻撃が活発化している。機構への攻撃はその一つだ」と話す。攻撃ごとにウイルスを変化させてウイルス対策ソフトで検知できなくするなど、攻撃の手口は高度化しているという。

 機構は当初、どのような情報が漏れたかを把握しておらず、5月28日午後1時に警視庁からの連絡で年金情報が流出したことを知った。同日夕方に、秘書官を通じて事態の概要を安倍晋三首相に報告。安倍首相は早急に事案の徹底究明に当たり、しっかりした対策を打つよう指示したという。

 厚労省は当初、5月29日に機構の外部向けネット通信を全て遮断したと説明したが、後に6月4日まで一部のメールを生かしていたと訂正した。機構は6月4日までのウイルス感染がなかったかを調べるとしている。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら