日本年金機構が標的型攻撃を受ける――これは対岸の火事ではない?:セキュリティクラスター まとめのまとめ 2015年6月版(1/3 ページ)
また大きな事件が起きてしまいました。しかしこれは日本年金機構の問題だけではなさそうです。そして無線LAN乗っ取りで逮捕者が。これも大きな事件のきっかけにすぎませんでした……。
2015年6月のセキュリティクラスターは、日本年金機構が標的型攻撃を受け、100万人分もの個人情報を漏えいしてしまったことが大きな話題となりました。同じような攻撃が他の組織に対して行われていたことが分かり、この月は標的型攻撃と情報漏えいについてのツイートが絶えることはありませんでした。
他人の無線LANを無断で利用していた人が不正アクセス禁止法で逮捕されたことや、家具を販売するニトリのWebサイトがリニューアルに失敗し、アクセスできなくなったことについてもよくツイートされていました。
日本年金機構が標的型攻撃を受けて大量の個人情報を漏えい
2015年6月に入るやいなや、大きなニュースが飛び込んできました。日本年金機構が標的型攻撃を受けて、基礎年金番号や氏名を含んだ大量の個人情報を漏えいしたというのです。これはセキュリティクラスターでも大きな話題となり、2015年6月は「年金機構」の文字が常にタイムラインを賑わせることになります。
当初、流出した情報は地域に偏りがあり、特に多かったのは沖縄県の情報だったとのことでしたが、最終的には全国47都道府県すべての情報が流出し、101万件にも及んでいたことが明らかになります。
標的型攻撃に遭った端末を操作していた人を責めるツイートも見られましたが、最近の標的型攻撃は本来の仕事で送られてくるメールと区別が付かないほど精巧なので、普通の人はまず引っかかってしまうのは仕方ないという意見が多かったようです。
それよりも疑問とされたことは「インターネットに接続されないよう切り離された運用形態だったはずなのに、どうして漏れてしまったのか」ということでした。
ここには、運用の問題があったようです。実は作業に使用する個人情報データファイルを、インターネットに接続された共有フォルダーにコピーして、それを使って作業を行っていたというのです。また作業を行うファイルにはパスワードをかけ作業後には消去されることになっていたのですが、いずれも運用が徹底されていませんでした。タイムラインでも、日本年金機構の運用に問題があったのでは、という疑問が多く見られました。
それに加え、上長に報告が行われていなかったこと、マルウエアに感染したことを把握していたにも関わらず、感染端末をネットワークから切り離さなかったこと、2015年4月にパスワードが設定されていないことを知りながら放置していたことなど、少しずつずさんな運用が明らかになります。さらに、現場で仕事をしていた人によるブラックな環境の暴露や、2ちゃんねるに感染した情報を漏らしていた人を提訴するという報道もあり、日本年金機構という組織に対してあきれるツイートが多かったです。
加えておわびを掲載していたWebサイトにも脆弱性が見つかって数日間閉鎖されるなど、日本年金機構は大変な目にあった1カ月でした。
Copyright © ITmedia, Inc. All Rights Reserved.