2015年6月28日日曜日

機略戦の時代 ~日米同時サイバー攻撃の衝撃~

日本年金機構個人情報流出事件

 メディア報道でも衝撃をもってうけとめられた日本年金機構への一連のサイバー攻撃については、ネットに流出した個人情報が125万人といわれていますが、実際はさらに流出されているのではないか、といわれています。
 年金は国民の老後を支える貴重な財産です。そこにウイルス攻撃をしかけるということは、日本政府そして日本国民全体への「攻撃」とみられ、現代における「侵略戦争」とみなしても何ら問題はないでしょう。
 TV報道では、我が国で使われない、隣の赤い国の漢字がタイトルに使われていたと伝えていましたが、お隣の赤い国による「侵略」であったとしても、ウイルス感染を知っていながら事実を隠ぺいし、個人情報の流出を防げなかった年金機構にも大きな過失責任が問われなければなりません。
 国家中枢への「侵略攻撃」を防ぎ、国民の財産と生命、権利を守るために政治家や官僚だけではなく国民全体で「防衛意識」を共有し、実行すべきであると考えます。

《平成2761日》

【年金情報125万件流出】大量メールで不正アクセス・警視庁捜査
会見する(左から)日本年金機構の真保栄修基幹システム開発部長、水島藤一郎理事長、徳武康雄理事=1日午後、東京都千代田区(三尾郁恵撮影)

2015.6.1 17:21更新 http://www.sankei.com/affairs/news/150601/afr1506010021-n1.html
公的年金の保険料徴収や給付実務を担う日本年金機構(東京)は1日、ウイルスメールによる不正アクセスを受け、基礎年金番号や氏名など年金に関する個人情報計125万件が外部に流出したと発表した。同日までに情報の悪用などの被害は確認されていないが、流出件数は今後、さらに拡大する可能性もあるという。機構から通報を受けた警視庁は捜査を始めた。
 日本年金機構によると、流出したのは、
(1)基礎年金番号と氏名(約3万1千件)(2)基礎年金番号と氏名、生年月日(約116万7千件)(3)基礎年金番号と氏名、生年月日、住所(約5万2千件)
 -の計約125万件。一部は同一の加入者情報が重複している可能性がある。
 1日、記者会見した機構の水島藤一郎理事長らによると、5月8日、職員がウイルスの入った添付ファイルを開封したことで、不正アクセスが発生。その後、ウイルス対策ソフト会社に解析を依頼したが、同様のメールは18日までに、大量に機構側に送られてきた。メールの内容はそれぞれ異なり、最初に開封した職員とは別の複数の職員が開封していたという。
 その際、加入者への通知などの用途で使われている情報系システムなどに保存されていた個人情報のファイルが流出したとみられる。


機構は19日に警視庁に捜査を依頼。28日に警視庁から、情報流出が確認されたとの連絡を受けた。社会保険を支払うための基幹システムへの不正アクセスは確認されていない。
 また、流出した個人情報約125万件のうち、約70万件はパスワードが設定されていたが、それ以外は設定されておらず、機構の内規に違反した状態だったという。
 機構は5月8日以降、順次、全国の施設でインターネットへの接続を遮断。情報流出があった加入者に対して文書で通知し、年金に関する手続きがあった場合は本人確認を徹底する。また、基礎年金番号を変更して対応する。
 安倍晋三首相は1日、「国民の皆様にとって大切な年金だ。年金受給者のことを第一に考え、万全を期すように厚生労働相に指示をした」と述べた。官邸で記者団の質問に答えた。
 塩崎恭久(やすひさ)厚労相は同日、記者会見し「悪意をもった攻撃を防げなかったことは遺憾」とし、省内に第三者委員会を立ち上げる考えを示した。
 ■日本年金機構 不祥事が相次いだ社会保険庁の廃止に伴い年金業務を引き継ぎ、平成22年1月に発足した組織。地方自治体などと同じ「公法人」との位置付け。約1万2千人(今年4月1日現在)の職員を抱えているが、公務員ではない。国からの委託で、年金加入記録の管理や保険料の徴収、年金の支払いなどを行う。本部は東京都杉並区にあり、地方ブロック本部が9カ所、年金事務所が312カ所ある。

【情報狙い無差別攻撃】複雑経路「捜査は困難極める」

2015.6.1 22:27更新 http://www.sankei.com/affairs/news/150601/afr1506010041-n1.html
日本年金機構から、ウイルスメールによる不正アクセスで、年金情報約125万人分が流出したことが1日、明らかになった。漏れたのは基礎年金番号や氏名など。職員のメールが狙われる典型的な「標的型メール」攻撃で抜き取られていた。不正アクセスの狙いは何なのか。警視庁は事実関係の確認を進めるなど捜査に着手したが、標的型メールによる不正アクセスは海外のIPアドレス(インターネット上の住所)を使用したうえ、サーバーを複数経由することが多く、送信元の追跡には難航が予想される。
 年金機構に送られた標的型メールは、不特定多数に大量に送られるメールとは異なり、特定の組織や人に送られるため、セキュリティーソフトで遮断される前に、標的とするメール受信者まで届いてしまうことが多い。


メールには文書ファイルやURLなどが添付されており、これらをクリックするとウイルスに感染。このパソコンを通して、組織システム内へのウイルス拡散▽情報収集▽機密情報の外部への漏洩(ろうえい)▽システムの破壊-といった被害へ発展するケースもある。
 今回の不正アクセスも複数の職員がメールに添付されたファイルを開いたことが原因とみられており、こうした構図で情報漏洩が拡大した可能性が高い。
 大手セキュリティー会社「シマンテック」によると、こういった攻撃は10年ほど前から世界各国の企業や政府機関で発生。一人でもファイルやURLを開かせてしまえば攻撃は成功するといった、手口の効率性が要因の一つとされる。同社の浜田譲治・主任研究員は「メールの内容を対象の団体に合わせるという意味では標的型だが、もはや標的にされていない団体はなく、無差別といってもいいくらい。今や攻撃してくる国もさまざまで『サイバー紛争時代』といえる」と説明する。
 標的型攻撃の目的は「情報」だ。厚生労働省は「今回流出した情報だけで他人へのなりすましはできない」と説明するが、「住所、氏名、生年月日があれば十分いろいろな詐欺もできる。何らかの理由で国民の情報を欲したグループがいるはずだ」と浜田氏は警鐘を鳴らす。

警視庁は同省のLANシステムや職員のパソコンの解析を進め、発信者の特定を進める方針だ。しかし標的型攻撃を含むサイバー犯罪の多くは、接続経路の匿名化を図るためのソフトウエアを使用していることが多く、捜査関係者は「捜査は困難を極める可能性もある」とみる。全容解明がどこまで進むかは未知数だ。
 年金機構のデータが漏れたことで、抜き取られた年金情報を基に新たな犯罪が起きる可能性がある。浜田氏は「年金関係のメールは偽物の可能性もあるので、しばらくは警戒が必要だ」と呼びかけている。

■標的型メール
情報を盗み取ることを目的に官公庁や企業などに送られるウイルスメール。ウイルスに感染するサイトへ誘導するメールやウイルスファイルを添付したものがある。狙いを定めて少数の標的に絞り込んで送っており、送信者に実在する組織の名前を使用したり、受信者の業務に関連する内容のメールを送るなどメール受信者が不審に思わないようにしている。ウイルス対策ソフトを使用してもウイルスが検知されないことが多い。主に海外のIPアドレスから発信され、送信先を特定することは難しいとされる。


複雑化するサイバー攻撃

官公庁対策急ぐも万全対策は「困難」~手口は日進月歩、巧妙化と高度化~

官公庁を狙ったサイバー攻撃は近年相次いでいる。日本年金機構の被害と同様に「標的型メール」の攻撃も急増している。手口が巧妙化・複雑化していることが増加の背景にあるといい、専門家からは「万全な対策は困難だ」との声が上がっている。
 昨年11月、衆院議員や衆院事務局職員の公務用パソコンに情報を盗み取ろうとするメールが送りつけられた。日本年金機構と同じように標的型メールによる攻撃だった。
 警察庁によると、情報を盗む狙いでウイルスを送り付ける標的型メールによる攻撃は昨年、1723件で前年比3・5倍と大きく増加。政府機関や重要インフラを狙った攻撃も確認されている。
 ウイルスを検知するソフト導入や、インターネット接続の監視など対策が急がれているが、検知をすり抜けるように偽装され、感染や情報流出の状況が長期間発覚しないケースもあるなど巧妙化が進んでいる。
 「標的型メールの被害を完全に防ぐことは難しい」。トレンドマイクロの鰆(さわら)目(め)順介氏は指摘する。特定部署にいる政府の個人を狙い、関係のある実在の人物を装ってメールが送付された事例もあるという。
 「年末調整」の通知を装ったメールが送付されたケースもあり「届けば開かざるを得ないように巧妙化している」(鰆目氏)。相次ぐ標的型メールの攻撃。鰆目氏は「ある程度の侵入を織り込んだ段階的な対策が求められる」と指摘する。

「責任誰が」「事件に巻き込まれないか」個人情報流出に憤りや不安

2015.6.1 23:53更新 http://www.sankei.com/affairs/news/150601/afr1506010049-n1.html
 日本年金機構から流出した約125万件の個人情報には、20歳以上の国民年金加入者なら誰でも含まれている可能性がある。
 東京都板橋区の建築業、本多新三(しんぞう)さん(62)は「自分の情報が悪用されたらと思うとぞっとする。誰が責任を取ってくれるのか」と憤りをあらわにし、「電話番号非通知の着信は出ないようにする」と警戒心を強めていた。
 インターネットのニュースで事件を知ったという会社員、安藤祐子さん(48)は「将来年金が受け取れるかどうかも心配なのに、不安の種がさらに増えた。銀行の個人口座のセキュリティーや政府のマイナンバー制度導入にも不信感を抱いてしまう」と嘆く。
 流出情報には生年月日や住所も含まれる。墨田区の飲食店従業員の女性(25)は「詐欺被害は心配していないけれど、性犯罪などの事件に巻き込まれないか心配」と不安がった。

「影響を調査」「連絡つかず」…企業対処に苦慮

http://www.sankei.com/economy/news/150601/ecn1506010038-n1.html

 PR日本年金機構から個人情報が流出した問題を受け、企業は「どういう影響があるか調査している」(キリンホールディングス)段階だ。

自動車関連企業が加盟する厚生年金基金の担当者は、産経新聞の取材に対し「年金機構からの連絡や、加盟社からの問い合わせは把握していない」と話した。

 中小企業も「(機構に)電話で問い合わせたが、業務時間終了後で連絡がつかない」(東京都内の樹脂加工業)ため、影響があるかは確認できないという。中小・中堅企業の健康保険、厚生年金保険の加入や保険料の納付の手続きは年金機構が実施している。
 一方、生命保険大手は、「引き受けている厚生年金基金について基礎年金番号の変更に伴う事務作業が発生することも想定される」と、影響を懸念する。
大手企業では、「厚生年金基金を活用しておらず、関連会社も基金から脱退傾向にあり、加盟している社は少ない」(富士重工業)というところもある。

《平成2762

「私の情報は大丈夫?」問い合わせ9万6千件超
産経新聞201562()1952分配信 http://headlines.yahoo.co.jp/hl?a=20150602-00000581-san-soci
 日本年金機構の年金加入者の個人情報約125万件が外部流出した問題で、機構が設置した専用電話には2日午後5時までに約9万6千件の問い合わせがあった。問い合わせは「私の情報は漏れていないか」といった内容が中心で、各地の年金事務所にも同様の問い合わせが寄せられている。
 機構によると、個人情報が流出した恐れのある加入者については、機構が謝罪文を郵送する予定。専用電話は100人体制で受けているが、つながりにくい状態が続いており、機構は1千人体制に増強することを検討している。

2ちゃんねるに「感染した」と投稿公表4日前、機構職員か?

2015.6.2 16:15更新 http://www.sankei.com/affairs/news/150602/afr1506020030-n1.html
日本年金機構がウイルスメールによる不正アクセスを受けた問題で、機構が年金個人情報の流出を公表する前の5月28日以降、インターネット上の掲示板「2ちゃんねる」に、ウイルス感染したことを示す複数の書き込みがあったことが分かった。機構は6月1日に問題を公表しており、内部情報を知る機構関係者などが書き込んだ可能性もある。
 機構によると、不正アクセスがあったのは5月8日で、19日に警視庁に捜査を依頼。28日に、警視庁から情報流出が確認されたとの連絡を受けた。
 書き込みがあったのは、2ちゃんねる内の機構に関するスレッド。28日午後8時45分ごろ「感染しました」という投稿があった後、「ウィルス感染しましたので、共用ファイルは利用禁止となりました」「あれほど、差出人不明めメールは開封するな、と警告があったのに、、、」(いずれも原文まま、以下同)などの書き込みが続いた。

29、30日には「全職員はパスワードを強制的に変更させられました」「ウィルス駆除対応の本部職員の方々、休日出勤おつかれさまです」「月曜日には、ウィルス感染を公表するのかな?」と投稿されていた。
 また、機構に関する別のスレッドでも29日以降、「あそこまで必死ってことは個人情報でも流出したのかなと勘ぐっていたんだが、実際どうだったの?」などの書き込みがあった。

厚労省文書の件名を偽装か?メール開封は東京と福岡で

2015.6.2 13:08 http://www.sankei.com/affairs/news/150602/afr1506020025-n1.html
日本年金機構がウイルスメールによる不正アクセスを受け、年金情報約125万件が外部流出した問題で、最初に開封されたウイルスメールの件名は、厚生労働省が公表している年金関係の文書の見出しと同じだったことが2日、関係者への取材で分かった。また、ウイルスメールを開いたのは、東京本部内と福岡県の拠点の職員だったことも判明した。
 機構から相談を受けた警視庁公安部は、不正指令電磁的記録供用や不正アクセス禁止法違反などの疑いもあるとみて捜査。公的機関の情報を狙い、職員を誤信させ添付ファイルを開かせる「標的型メール」と呼ばれるサイバー攻撃とみて、職員への聞き取りや感染パソコンの解析を進める。
 関係者によると、送付されたウイルスメールのタイトルは「『厚生年金基金制度の見直しについて(試案)』に関する意見」。このメールを福岡県の拠点の職員が5月8日に開封したことで不正アクセスが発生した。メールタイトルは年金局企業年金国民年金基金課が、厚労省のサイトに平成25年2月8日付で出した文書の見出しと同じだったため、機構の職員が開いてしまったとみられる。

機構は同日、全職員に対してメールや職員用の掲示などで注意を呼びかけたが、同18日までの間、同様のメールが多数、機構側に送られてきた。このうち東京本部内の職員が同日、添付ファイルのついたメールを開封。このメールは、8日に届いたメールと件名が異なっていたとみられ、新たなウイルス感染につながった可能性がある。
 職員のパソコンは情報系システムで結ばれており、最終的に数十台がウイルスに感染したという。



【標的型メール攻撃への日本年金機構の対応】

加入者も苦言、「年金別の人に行っては困る」

2015.6.2 11:57更新 http://www.sankei.com/affairs/news/150602/afr1506020018-n1.html
 年金情報約125万件の流出発覚から一夜明けた2日、日本年金機構の各事務所では職員が情報収集や問い合わせへの対応に追われた。事務所を訪れた加入者からは、苦言が漏れた。
 東京都千代田区の千代田年金事務所では、職員が朝から慌ただしく業務に当たった。砺波静二副所長は「情報が流出した方の年金番号を変更するなどして、今後の対応を進めたい」と硬い表情。
 今後の受給に備え、東京都港区の港年金事務所に問い合わせに来た会社員の男性(64)は、取材に「年金がないと生きていけない。自分の年金が別の人に行ってしまったら困る。そこだけはきちんと守ってほしい」と求めた。
 「自分の年金記録は大丈夫か」「新聞を見たが、通知はいつ届くのか」。京都市や京都府舞鶴市にある年金事務所には、こうした内容の質問が寄せられたという。


年金情報流出で民主関係者が指摘する厚労省の「隠ぺいマニュアル」
2015619 60http://news.livedoor.com/article/detail/10248638/


 日本年金機構の水島藤一郎理事長(68)が17日の衆院厚労委員会で、年金情報流出の公表前にネット掲示板「2ちゃんねる」に内部情報を書き込んだ職員に対し、守秘義務違反で告発を検討していると明らかにした。民主党関係者は「それも問題だが、厚労省の情報隠ぺい体質の方が問題だ」と激怒している。

 年金情報流出をめぐって、特に問題視されているのが、5月8日に不正アクセスが検知されて以来、厚労省年金局の担当係長が1人で丸抱えしていた点だ。25日になってようやく係長は上司に報告。塩崎恭久厚労相(64)への報告が上がったのは28日だった。

「ウイルスに感染したかもしれない大問題を係長が上司に17日間も報告しないなんてあり得ない。厚労省は係長1人に責任を負わせるつもりじゃないか。これが厚労省の隠ぺいマニュアルですよ」(前出の民主党関係者)

 塩崎大臣への報告が遅いのも問題だ。もっと早く報告していれば、その後の対応はより迅速にできたかもしれない。実は塩崎大臣と係長の所属する年金局はバトル状態にあった。

「GPIF(年金積立金管理運用独立行政法人)をめぐって大臣と年金局は対立していました」と別の民主党関係者。

 GPIFは国民年金と厚生年金の積立金の管理と運用を行うところ。昨年、GPIFは年金の積立金の株式運用に回す比率を上げた。

「年金を守る立場の年金局はこれに反対でした。だって運用に失敗すれば年金が失われてしまう。運用比率を上げて以来、大臣と年金局は“国交断絶”のようになったため、今回の報告が遅れたとみています」(前出の別の民主党関係者)

 また、GPIFの組織改革でも両者は対立していた。ケンカしている暇があったら、2次被害、3次被害を防ぐ手立てを考えるべきだろう。



☆☆☆

※個人情報の流失が確認された方の年金番号の変更は一つの手段として有効かと思います。ネットに流失した個人情報の価値をなくさせる措置は、早急に講じられなければなりません。
 厚生労働省の「隠蔽マニュアル」は、話になりませんが、2チャンネルに組織内情報を書き込んだ職員の犯人探しよりも、まずは上の役職者の責任追及が先ではないでしょうか?
 年金の運用については、まずは国家公務員の共済年金を運用していただいて、その実績から厚生年金や国民年金の運用を検討すべきでしょう。
 それよりも公務員の共済年金と厚生年金、国保の「一元化」を行う方が何より先決です。「一体化」でなく「一元化」です。これが実現されれば、年金の運用なんていう話はでないかもしれません。



0 件のコメント:

コメントを投稿