日本年金機構の情報漏えい、本当に必要な再発防止策とは?「事故前提」で早期発見、早期対処の仕組み作りと文化を

日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいしたことが明らかになった。たとえ攻撃を受けても、それを早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みが必要だとセキュリティ専門家は指摘する。

» 2015年06月03日 11時00分 公開
[高橋睦美@IT]

 2015年5月、日本年金機構が標的型攻撃を受け、年金加入者の氏名や基礎年金番号といった個人情報、約125万件が漏えいした。この問題を受けて政府は「再発防止」に全力を尽くすとしているが、本当に必要なのは、メールを開いてウイルスに感染しないようにする再発防止策ではなく、たとえ攻撃を受けても、早期に検知し、大規模な情報流出に至らないよう被害を最小限に食い止める取り組みだ――セキュリティ専門家はこのように指摘している。

直接的な原因はマルウエア感染だが……

 既に多数のメディアで報じられている通り、日本年金機構は6月1日、年金加入者の個人情報約125万件が漏えいしたことを発表した。少なくとも現時点での内訳は、「基礎年金番号と氏名」の組み合わせが約3.1万件、「基礎年金番号と氏名、生年月日」の組み合わせが約116.7万件、「基礎年金番号、氏名、生年月日と住所」の組み合わせが約5.2万件で、該当する個人については基礎年金番号を変更し、対応するという。

 直接的な原因は、標的型攻撃メールを受け取った職員が添付ファイルを開き、マルウエアに感染したことだと説明されている。このマルウエアがLANを介して活動を広げ、ファイル共有サーバーから個人情報を盗み出し、外部に送信したという。

 しかしより根本的には、同機構のシステム設計や運用に原因があったと考えられる。

 元々年金加入者に関する個人情報は、基幹システム(社会保険オンラインシステム)上でのみ扱われる原則となっていた。やむを得ず、インターネットと接続可能な情報系システムにCD-ROMを用いてコピーする際には、パスワードを使って保護するというポリシーが設けられていたという。

 しかし、このポリシーを実施するかどうかは現場の担当者に委ねられ、システム的に担保する仕組みとはなっていなかった。もし例外的な運用が常態化するのであれば、ポリシーが強制的(自動的)に実行されるシステムを、相応の投資をしてでも導入すべきだろう。あるいは、目的と利便性のバランスが取れるようにポリシーそのものを見直すか、運用手順や業務プロセスの方を見直し、ルールを実態に即したものとしていくべきところだ。だが複数の報道によると、「なぜそのポリシーがあるのか」という目的(例えば「個人情報を守るため)を理解した上で運用されておらず、ポリシーが形骸化していた恐れがある。

 もう一つの問題は、昨今の脅威の高度化、巧妙化にセキュリティ対策が追いついていなかったこと。具体的には「不正侵入は起こり得る」という前提で、定期的なログ解析や監視を含むセキュリティ運用がなされていなかったように見えることだ。日本年金機構がマルウェア感染を初めて確認したのは5月8日。これを踏まえて職員に対する注意喚起と外部調査を依頼したが、その後5月18日までの間に複数回の不正な通信を検知し、28日になって情報流出が判明したという。

 だがもし、不正侵入が起こりうることを前提にしてネットワークを常時、あるいは定期的に監視する仕組みがあれば、内部で侵入が広がり、情報の外部送信という致命的な事態に達する前に、ネットワーク接続の遮断などのしかるべき対策を打てた可能性がある。また、いざという時の緊急手順を定めておけば、レスポンスをより迅速に行えたかもしれない。

 日本年金機構に経緯ならびにこれらの点についてコメントを求めたが、現時点では回答は得られていない。標的型攻撃では、感染端末の特定と流出した情報の全貌を把握するのに時間がかかることが常であり、引き続き調査が進められていると思われる。

事故前提型の対策を

 日本の組織や企業が標的型攻撃を受けるのは、これが初めてではない。2011年夏、三菱重工業をはじめ、複数の防衛関連のメーカーや衆議院などをターゲットに相次いで標的型攻撃が発生したことを機に、その脅威が認知されるようになった。警察庁によると、その後も標的型攻撃の検知件数は増加しており、2014年に検知した標的型メール攻撃は前年比約3.5倍の1723件に達したという。

 標的型攻撃は、巧妙かつ執拗な手口を用いることが特徴だ。最新のシグネチャを用いても検出できない新種のマルウェアを用いたり、実際に存在する人物から、所属する組織に関連する話題を折り込んだメールを送って受信者に疑問を抱かせないよう工夫を凝らし、時には何度もやりとりしてからマルウェアを送り込むなど、時間や手間をかけて足掛かりを作ろうと試みる。従って、どれほどユーザーに注意を呼び掛け、エンドポイントでの対策を実施しても、最初の感染を100%防ぐことは不可能だ。

 ソフトバンク・テクノロジーの辻伸弘氏は、「そもそも業務上どうしてもメールを開かざるを得ない人もいる。標的型攻撃メール訓練を実施しても、開封率をゼロにすることはできない」と指摘。その上で、「開いてしまうことを前提に、もしもの時にはそれを早期に発見し、正しくアクションできる仕組み作りが大切だ。同時に、標的型攻撃メールを開いてしまったとしても、その当人が責められるのではなく、迅速に報告できる文化を醸成することも必要ではないか」と述べている。

 ネットエージェント会長の杉浦隆幸氏は、システム更改の周期が長く、「このように高度化した脅威の状況に、システムが追い付けていなかった可能性がある」と指摘した。そしてあらためて「今必要なのは(攻撃を受けないようにするという意味での)『再発防止』ではなく、たとえ攻撃を受けても被害を受けにくくする対策だ」と述べている。

 折しも情報処理推進機構(IPA)は6月2日、「ウイルス感染を想定したセキュリティ対策と運用管理を」と題する注意喚起を公表している。

 IPAはこの注意喚起の中で、ソフトウェア更新やウイルス対策ソフトの導入、教育や訓練といった手段を通じてマルウェア感染のリスクを減らすと共に、「重要業務を行う端末やネットワークの分離」や、共有フォルダにおけるアクセス権の設定、データの暗号化やパスワードによる保護といった「重要情報が保存されているサーバーでの制限」、さらには有事に備えた体制や手順書の整備といった取り組みを挙げ、多層防御を考慮した対策、運用を継続的に行うよう推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。