« 保険診療の縮小はまず薬局から | トップページ | 今日のぐり:「ラーメンハウス喜楽園(きらくえん)」 »

2015年6月 6日 (土)

年金機構の流出事件に見えた巨大なセキュリティーホールの存在

先日はウィルス感染によって日本年金機構から大量の個人情報が流出したことが大きな話題になりましたが、その実態が明らかになってくるにつれてあまりにお粗末な同機構のセキュリティー対策の実態の方に批判の矛先が移ってきています。

「あれほど、差出人不明メールは開封するな、と警告があったのに、、、」 職員も自ら認める、日本年金機構のお粗末すぎ(2015年6月2日J-CASTニュース)

   日本年金機構が125万件の個人情報を流出させた問題で、同機構の管理のずさんさが明らかになってきた。
(略)
   同機構によると、ウイルスメールによる感染が最初に確認されたのは2015年5月8日。職員の1人が、件名に「厚生年金基金制度の見直し(試案)」などと書かれ、業務に関連することを装ったメールの添付ファイルを開いたため、ウイルスに感染した。
   職員が使用していたパソコンは、個人情報を管理するサーバーに接続しているものだったため、ただちにネットワークから切り離した。さらに全職員に注意喚起を行った。
   しかし18日までに、ほかの職員にもウイルスメールが届き、感染はさらに拡大。同機構は19日になってようやく警視庁に相談。28日に個人情報の流出があったと連絡を受け、さらに4日がたった6月1日にようやく公表した。

   一連の経緯から透けて見えるのは、同機構の管理の甘さや危機感のなさだ。
   流出した125万件のうち、55万件の個人情報にはパスワードが設定されていなかった。担当職員であれば誰でも簡単にアクセスができ、内規違反にあたる状態が放置されていたことになる。そもそも個人情報を管理するサーバーに接続するパソコンを、メール処理に使うなど外部ネットワークにつなげていることは、ほかの官公庁では考えられない状況だ。
   また対応の遅さも目に付く。最初に感染が確認されたのは8日であるにもかかわらず、機構内の全パソコンを外部から遮断したのは29日になってからだ。感染が拡大していた20日間、外部ネットワークとつながっていた状況をずっと放置していたことになる。
(略)

メール件名は「給付研究委員会」(2015年6月3日デイリー)

 日本年金機構がサイバー攻撃され、個人情報約125万件が流出した問題で、送り付けられた複数のウイルスメールのうち一つは「給付研究委員会オープンセミナーのご案内」という件名で、ファイルが添付されていたことが3日、関係者への取材で分かった。送信元は複数のフリーメールアドレスだった。

 機構の業務を装った内容で、警視庁公安部は、年金関連の情報を盗み取る意図があったとみて送信元の特定を進める。フリーメールアドレスは無料で誰でも取得でき、攻撃者が送信元を隠す狙いがあった可能性が高い。

 ウイルスには中国語の書体(フォント)を使用した形跡があることも判明した。

[続報]日本年金機構、ファイル共有サーバーを5年以上前から運用(2015年6月2日日経コンピューター)

 日本年金機構から125万件の年金情報が漏洩した問題で、同機構は漏洩データを保管していたファイル共有サーバーを社会保険庁時代から恒常的に利用していたことが明らかになった。年金記録などを格納する基幹システム(社会保険オンラインシステム)から個人情報をファイル共有サーバーに移していたところ、標的型ウイルスに感染したパソコン経由で情報が漏れた(関連記事:日本年金機構にサイバー攻撃、ファイル共有サーバーから125万件の年金情報が流出)。サーバー上に個人情報を置くことは原則禁止していたという。

 同機構のシステム統括部によれば、少なくとも2010年1月の機構発足時には、基幹システムから抽出した個人情報をファイル共有サーバー内のフォルダに格納して、職員間や事務所間で共有していた。フォルダは階層構造であり、上位から、全国、ブロック、県、拠点といった順だった。今回、「あるフォルダとその配下のサブフォルダとファイルが盗まれた」(システム統括部)。サーバーには「エクセル」や「アクセス」のファイルが格納されていた。
 ルール上、個人情報をファイル共有サーバーに格納することは原則禁止という。格納する際は、アクセス制限をかけたりファイルに「人に推測されにくいパスワード」(同)を設定。さらにどんなファイルを格納したかを一覧にして総務部に報告することを課していたという。ただしパスワードの設定は職員に任せており、格納のたびに第三者が確認することはなかったようだ。今回漏れた125万件のうち、約55万件はパスワードが設定されていなかった。

 基幹システムから個人情報を抽出するには、権限のある職員による申請が必要だった。抽出データは暗号化された上でCD-ROMに格納されて職員に渡されていたという。同機構は回答を控えたが、職員がパソコンでCD-ROMの内容を復号し、ファイル共有サーバーに移していたと見られる。
 ファイル共有サーバーをどういった業務で使っていたのか。機構は具体的な業務名の回答を控えたものの、一例として、「全国レベルではなく、拠点レベルでお客様に電話したり通知したりするためのリストを作る業務に使っていた」と話す。

 一般に基幹システムのデータを現場が簡単に編集する目的で、エクセルやCSVで現場向けデータを作成・提供することは決して珍しくない。ただ、パスワードの設定を職員任せにしてチェックが行き届かない運用であったことと、ネットがつながるパソコンで個人情報のサーバーにもアクセスできるネットワーク設計だったことが重なり、今回の流出を招いた。

どこからどう突っ込んで良いものやら、とりあえずセキュリティー対策上これはやってはいけないと言うことのオンパレードと言う形で、今回の検証結果をきちんと社会全体で共有し反面教師とすべきではないかと思うのですが、おかげで近く導入予定のマイナンバー制度についても同じようなザル運用がされるのではないか?との懸念がにわかに高まっているのもまあ、仕方がないところではありますよね。
昨今では医療機関でも情報の電子化が当たり前になっていて、その分何かあれば大量に個人情報が流出してしまう危険性があるわけですが、特に医療情報と言うものは個人では何ともしようがない身体的な事情や寿命の予測等にも直結しかねないだけに、金融資産などの情報よりもよほどに流出対策を厳重にすべきであると言う意見があります。
この点で少なくとも院内ネットワークを外部ネットワークと切り離し、原則的に外からアクセスしたり情報を(少なくとも個人を特定できる形では)持ち出すことを禁止すると言った対策が取られているはずですが、それでも時折大量の個人情報を詰め込んだUSBメモリーを紛失した、などと新聞沙汰になっているのを見るにつけ、原則的に「スタッフは個人情報を流出させようとするもの」と言う性悪説で対応すべきなのかも知れません。
もちろん悪意ある個人なり組織なりはそうした対策を何とかかいくぐって個人情報を抜き取ろうとしてくるわけで、専門知識のない個人がそれに対して防衛を徹底するには相当な不便を忍んでも厳しい対策が必要なのだと言う認識が徹底されることが重要なのですが、どうも世間の大多数における情報セキュリティーの認識はそんなレベルのはるか以前に留まっているのではないか?と危惧されるこんなニュースが出ていました。

藤沢市 標的型メールの抜き打ち訓練(2015年6月2日NHK)

標的型メールによるサイバー攻撃を防ぐため、神奈川県藤沢市は、職員にテスト用の標的型メールを送る抜き打ち訓練を行っています。しかし、メールを開封してしまう職員も多いということで、市は職員用のパソコンがウイルスに感染することを前提とした対策を進めています。

藤沢市は去年1月、市の各課のIT担当職員160人に対し、抜き打ちでテスト用の標的型メールを送って訓練を行いました。メールには情報セキュリティー研修会への参加のお礼というタイトルが付けられ、研修会で配布した資料をダウンロードできるとするアドレスが記されていますが、研修会も、差出人の「情報推進課」も実在しないものでした。
しかし、対象者の4割近い60人余りがメールを開いてリンクをクリックしてしまったということで、訓練を行ったIT推進課の大高利夫課長は「啓発を行っても、実際に送られてくるメールは実在したり、実在しそうな組織名や内容が記されて送られてくるので完全に防ぐのは困難だと実感した」と話しています。

実際にリンクをクリックしてしまった職員は、「多少怪しいとは思ったが、研修会についてのメールはよく来るので開けてしまった」と話していました。
このため、藤沢市は、標的型メールによる攻撃を受け、仮に、職員のパソコンがウイルスに感染しても、被害が広がらないようにする対策を進めています。職員がメールやインターネットを使用する端末と、税や住民票などの個人情報にアクセスできる端末とを完全に分け、万が一の情報流出を防いでいます。
また、庁舎内のすべての端末で、ウイルスや不審な通信を検知する装置を導入していて、警報装置が作動した場合は、直ちにその端末の回線を引き抜く措置を取っているということです。

今回の問題を受けて、藤沢市は2日朝、職員3300人に対して改めて情報セキュリティ対策を強化するよう周知しました。大高課長は、「新しいマイナンバー制度では、日本年金機構とも情報をやり取りせねばならず、市民の不安を取り除くためにも機構には、安全対策を早急に取ってもらいたい」と話していました。

まあしかし、一応はそれなりの研修なりも受けているでしょうにこれだけ不用意に開封してしまう人が多いと言うのはどうなのかですが、日常業務の中で似たようなものが次から次へと送りつけられてくる、しかも中には本当のものもあると言うことになりますとこれはどう対処すべきなのかだし、いずれどこかでうっかり引っかかってしまうのは避けられそうにないですよね(今回はさすがにちょっとひっかかり過ぎですが)。
このウイルスメール対策と言うことは各方面で以前から啓蒙が進められていますけれども、個人レベルで見ますと感染してもさしたる症状もなければ特に不具合がないと言う場合も非情に多く、感染した自分のPCがさらに別のPCへの感染源になっていることにも気づかないままであると言う場合も少なくないようです。
それでもやはり基本中の基本として怪しい添付ファイルは開かない、特に実行ファイル形式のものは要注意などと色々に言われていますけれども、そもそも本当に業務上必要なものなども添付ファイルで送られてくる以上開くなと言うのも無理な話で、社会全体の自主的ルールとして送る側にもそれなりの配慮が望まれるような気がしますでしょうか。
そしてその上で一定確率でウイルスに感染してしまうリスクはもちろんあるわけで、それを前提としてのシステム設計が求められるのはもちろんなんですが、先の年金機構の場合を見ても結局システム的な防壁は人間の手によって形骸化されセキュリティーホールにされてしまうのだし、オレオレ詐欺などが未だにはびこっていることを見ても人間への対策が一番難しいはずですよね。

|

« 保険診療の縮小はまず薬局から | トップページ | 今日のぐり:「ラーメンハウス喜楽園(きらくえん)」 »

パソコン・インターネット」カテゴリの記事

コメント

私の勤務する病院は電子カルテはインターネットとつながっておらず、分院との間でメールやカルテ情報のやりとりは出来るようにしてありますが、一般的なメールは受信出来ないようになっています。
なぜ年金機構が個人情報を扱う端末で外部からのメールを受信出来るようにしているのか理解出来ません。

投稿: クマ | 2015年6月 6日 (土) 08時18分

その通り
根本的におかしいよこいつら

投稿: | 2015年6月 6日 (土) 09時52分


陰謀論めいてますが、こういった見方もあるようで。実際、第一次内閣の時も同様の事件がありましたしね

『安倍内閣を崩壊させるための年金問題という視点』
(http://samurai20.jp/2015/06/interceptor/)

投稿: もしかして | 2015年6月 6日 (土) 12時24分

いざというときのための年金です(違

投稿: | 2015年6月 6日 (土) 16時16分

 管理人様のご指摘通り、普通の人間が普通にやった結果でしかない。
 普通以上の資質が求められる部署に凡庸な普通の人間を配したから起こるべくして起こった。政治家が官僚をいじりすぎた結果でもあるな。小泉安倍みたいなスタントが、バカがバカを相手にしているようなどつき漫才が政治だと勘違いさせたから、国民のために奉仕するのはや~めた、と思ってるのはもう医者ばかりじゃないってこと。盛んに天下りやってる。
 「灯台文一、バカらしくてやってらんないよ」で、文一のレベル下がってる。官僚に普通じゃない人材が集まらない。おまけに、おゆとりさまで「ふつう」の底割れはとどまるところ知らず。もしかして様、実例提示ありがとうw。 普通のばかに統治されても大丈夫な機構作りが、間に合うかね?

投稿: | 2015年6月 7日 (日) 09時52分

無能な味方と有能な敵方工作員を外見から区別するのは難しい。
参考文献:http://ja.uncyclopedia.info/wiki/牟田口廉也

投稿: JSJ | 2015年6月 7日 (日) 10時30分

 富山大学(富山市)で今年2月、工学部のサーバーが海外からのサイバー攻撃で乗っ取られ、米国への新たな攻撃に
利用されていたことがわかった。情報流出は確認できていないというが、同大は文部科学省に報告し、富山県警にも
相談している。サーバーの管理パスワードが単純で納入時から変えていなかったといい、セキュリティー体制の甘さが
浮き彫りになった。

 関係者によると、2月27日未明、不正アクセスでサーバー1台にウイルスが送り込まれ、約3時間半、米国企業の
サーバーに向けて大量のデータを送り続けてパンクさせる「DDoS(ディードス)攻撃」をしていた。サイバー攻撃で
は身元を隠すため、複数のサーバーを悪用して乗っ取り、攻撃を肩代わりさせ、情報流出の拠点にするケースが多い。
今回も攻撃の「中継点」として使われたとみられる。

 同日正午すぎ、学内のコンピューターがネットにつながらなくなる障害が起きたことから事態が発覚した。不正アク
セスの痕跡は2月20日から27日にかけて計4回分見つかった。送り元のIPアドレス(ネット上の住所)は米国、
中国、インドの3カ国だった。

 大学のコンピューターシステムは学術研究の目的で、世界のネットと直結するIPアドレスを優先的に割り当てられ
ている。その分サイバー攻撃の標的にされやすく、厳重なセキュリティー体制が求められる。

 しかし、富山大は「123456」といった単純な数字の羅列のパスワードでサーバーを管理していた。担当者は
「業者が納入したままの状態で使っていた」と説明。学内で調査にあたった沖野浩二助教(情報セキュリティー)は
「再三にわたり、注意を呼びかけていた。対策を怠っていたと言わざるを得ない」と話す。また、サーバーは外部から
誰でもアクセスできる状態だったほか、セキュリティー対策も最新型に更新されていなかったという。

 情報セキュリティー会社「S&J」社長の三輪信雄さんは「パスワードを一度も変えていないとすれば、過去にも
不正アクセスがあったと考えるのが自然。一回の被害の調査だけで、情報流出が起きていないと判断するのは危険だ」
と述べ、過去にさかのぼった調査の必要性を指摘する。

http://www.asahi.com/articles/ASH625DS6H62UUPI001.html
http://www.asahicom.jp/articles/images/AS20150606002102_comm.jpg

投稿: | 2015年6月 7日 (日) 21時04分

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/519753/61694434

この記事へのトラックバック一覧です: 年金機構の流出事件に見えた巨大なセキュリティーホールの存在:

« 保険診療の縮小はまず薬局から | トップページ | 今日のぐり:「ラーメンハウス喜楽園(きらくえん)」 »