検索
連載

日本年金機構が標的型攻撃を受ける――これは対岸の火事ではない?セキュリティクラスター まとめのまとめ 2015年6月版(1/3 ページ)

また大きな事件が起きてしまいました。しかしこれは日本年金機構の問題だけではなさそうです。そして無線LAN乗っ取りで逮捕者が。これも大きな事件のきっかけにすぎませんでした……。

Share
Tweet
LINE
Hatena
「セキュリティクラスター まとめのまとめ」のインデックス

連載目次

 2015年6月のセキュリティクラスターは、日本年金機構が標的型攻撃を受け、100万人分もの個人情報を漏えいしてしまったことが大きな話題となりました。同じような攻撃が他の組織に対して行われていたことが分かり、この月は標的型攻撃と情報漏えいについてのツイートが絶えることはありませんでした。

 他人の無線LANを無断で利用していた人が不正アクセス禁止法で逮捕されたことや、家具を販売するニトリのWebサイトがリニューアルに失敗し、アクセスできなくなったことについてもよくツイートされていました。

日本年金機構が標的型攻撃を受けて大量の個人情報を漏えい

 2015年6月に入るやいなや、大きなニュースが飛び込んできました。日本年金機構が標的型攻撃を受けて、基礎年金番号や氏名を含んだ大量の個人情報を漏えいしたというのです。これはセキュリティクラスターでも大きな話題となり、2015年6月は「年金機構」の文字が常にタイムラインを賑わせることになります。

 当初、流出した情報は地域に偏りがあり、特に多かったのは沖縄県の情報だったとのことでしたが、最終的には全国47都道府県すべての情報が流出し、101万件にも及んでいたことが明らかになります。

 標的型攻撃に遭った端末を操作していた人を責めるツイートも見られましたが、最近の標的型攻撃は本来の仕事で送られてくるメールと区別が付かないほど精巧なので、普通の人はまず引っかかってしまうのは仕方ないという意見が多かったようです。

 それよりも疑問とされたことは「インターネットに接続されないよう切り離された運用形態だったはずなのに、どうして漏れてしまったのか」ということでした。

 ここには、運用の問題があったようです。実は作業に使用する個人情報データファイルを、インターネットに接続された共有フォルダーにコピーして、それを使って作業を行っていたというのです。また作業を行うファイルにはパスワードをかけ作業後には消去されることになっていたのですが、いずれも運用が徹底されていませんでした。タイムラインでも、日本年金機構の運用に問題があったのでは、という疑問が多く見られました。

 それに加え、上長に報告が行われていなかったこと、マルウエアに感染したことを把握していたにも関わらず、感染端末をネットワークから切り離さなかったこと、2015年4月にパスワードが設定されていないことを知りながら放置していたことなど、少しずつずさんな運用が明らかになります。さらに、現場で仕事をしていた人によるブラックな環境の暴露や、2ちゃんねるに感染した情報を漏らしていた人を提訴するという報道もあり、日本年金機構という組織に対してあきれるツイートが多かったです。

 加えておわびを掲載していたWebサイトにも脆弱性が見つかって数日間閉鎖されるなど、日本年金機構は大変な目にあった1カ月でした。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  3. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  4. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  5. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  6. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  7. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  8. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  9. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  10. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
ページトップに戻る