日本年金機構が約125万件もの個人情報を漏えいさせたことが、6月1日に明らかになりました。
「不審なメール、開けるなと...」頭下げた理事長
日本年金機構が何者かからサイバー攻撃を受け、氏名や基礎年金番号など約125万件の個人情報が漏えいした問題。
原因は、同機構の職員が、パソコン端末へ送られた標的型メールを開封したことだった。政府や公的機関のセキュリティー対策は大丈夫なのか。国民に不安が広がった。
「不審なメールは開けないよう指導していたのだが......」
日本年金機構の水島藤一郎理事長は1日夕方、厚生労働省で急きょ開いた記者会見で頭を下げた。
(ヨミウリ・オンライン・IT 2015年6月2日掲出)
年金機構トップの記者会見からわかることは、いまだにこの組織が流出の原因をきちんと理解していないことです。 あたかも「セキュリティ対策はしていたが、一部の職員がルールを守らなかったために起きた」ことを原因としています。
ここに問題認識の欠如がうかがえます。この意識を変えない限り、国民の個人情報は再び流出する危険をかかえています。
日本年金機構は個人情報を流出させたとき、どのような運用をしていたのでしょうか。
日本年金機構にサイバー攻撃、
ファイル共有サーバーから125万件の年金情報が流出
通常は基幹システムで管理する個人情報をファイル共有サーバーに移したところ、ウイルスに感染したパソコン経由で流出したという。
(日経コンピュータ・井上 英明 2015年6月1日掲出 )
流出させた根本の原因は、個人情報を扱うPCをインターネット接続していたことにあります。もともと基幹システムの情報はネットワーク接続してはいけなかったのに、業務のやりやすさのために「ファイル共有サーバー」にコピーして使っていたということです。
便利だからと守るべきルールを変えてしまう、ずさんな運用によって、みずからが招いた事件といえるでしょう。
ファイル共有サーバーにあるデータは、おそらく機構内にあるどのPCからでもアクセス可能だったはずです。つまりどのPCでもいいから、一台でも感染させてしまえばあとは個人情報は取り放題になってしまい、結果的に125万件もの生きた情報が抜き取られたのです。
もうひとつ問題なのは、暗号化していた個人データを復号して日常的に使用していたことです。暗号化した情報は一般のPCでは閲覧できませんので、流出してもある程度安全性が保たれます。その最後の砦すら機構自らが鍵を開けていました。さらにその個人情報にかけておくはずのパスワードも半数近くには設定すらなされていませんでした。
会見やニュースによると、組織としてはセキュリティ対策はとっていたようですが、その重要ポイントが現場に下りたときにすべて有名無実化していました。自らの手で鍵を開けた状態、外部につながった状態でシステムを運用すれば、いくらでも情報は盗まれます。
6月3日になって手口についてもわかってきました。
年金情報流出、攻撃に2種の新ウイルス使われる
日本年金機構の個人情報流出問題で、同機構へのサイバー攻撃には少なくとも2種類の新種ウイルスが使われていたことが2日、機構幹部への取材でわかった。
最初のウイルスが見つかった後、同機構はすぐに対策を講じたが、別のウイルスに再び感染していた。
同機構幹部によると、職員のパソコンにはもともとウイルスを検知するソフトが入っていたが、5月8日に九州ブロック本部(福岡市)でウイルスメールを開封した際は、検知されなかった
(ヨミウリ・オンライン・社会 2015年6月3日掲出)
5月8日に最初の感染があり一度は対策を講じた、となっています。このときにネットにつないだまま運用していたPCをインターネットから遮断していれば、新たなウイルスに感染しても流出は防げたはずでした。もしくは現場に出向いて、情報の取り扱い方をチェックするべきでした。
ウイルスチェックに頼りきり、形骸化していたセキュリティの実態を改善しなかったことが、この事件の本質といえるでしょう。
最初の兆候をせっかく見つけておきながら、組織の責任者やセキュリティ管理者はルールから逸脱した運用体制を見直すことはありませんでした。「日本年金機構の個人情報流出について」を読むと、ようやくネットを遮断したなどセキュリティに配慮の薄い運用だったことがうかがい知れます。基幹システムへの侵入がないのに個人情報が流出した経緯も明らかにすべきでしょう。こうした甘い管理体制が招いた、とても残念な事件でした。(水)
日本年金機構からのお知らせ
「日本年金機構の個人情報流出について」