日本年金機構における、年金データ125万件の流出が明らかになった。全くお粗末な話だ。
現在のところまでに入手できた情報によると、フリーメールアドレスから発信された、「厚生年金基金制度の見直しについて(試案)に関する意見」とのタイトルのメールが、日本年金機構九州ブロック本部の、入札参加希望者受付メールアドレスに届いたのが、事の発端のようである。
そして担当職員は、愚かにもこのもっともらしいメールに記載された、外部ファイル共有サービスのURLをクリックして、指定されたファイルをダウンロードしてしまったようだ。
恐らくこれと同時にこの職員のパソコンは、“標的型攻撃“を仕掛けてきた外部のハッカーに支配され、このパソコンにある様々な情報が抜き取られたのだろう。例えば年金機構内連絡用に用いる、職員達のメールアドレスなどだ。
一方、行政機関へのサーバー攻撃対策を行う「内閣サイバーセキュリティーセンタ」は、この職員のパソコンに対する異常通信を察知して、緊急に外部ネットワークとの接続を遮断させたのだが、既に“標的型攻撃“を仕掛けた側が必要とする情報は抜き取られた後だったようである。
それから数日して、やはりフリーメール発信で「医療費通知」「給付研究委員会オープンセミナーのご案内」「厚生年金徴収関係研修資料」と言うタイトルの、ウイルスファイルが添付されたメールが100通余り、外部に公開されていない年金機構職員宛に一斉送信されたそうである。
そして此処でも、愚かにも添付ファイルを開いてしまった職員が、複数名いたようである(発表では一名となっているが、漏出情報の内容から考えて、恐らく開いてしまった職員は、3名以上いると推測する)。
その結果、そのファイルに仕込まれたウイルスソフトが、それぞれの職員が使っているパソコンを支配下に置き、外部からアクセスできる状況を作ったようである。そうして、それぞれの職員のパソコンにダウンロードしてあった、年金データが盗まれたらしい。
現在日本年金機構は、基礎年金番号・氏名・生年月日・住所のデータ52,000件、基礎年金番号・氏名・生年月日のデータ1,167,000件、基礎年金番号・氏名のデータ31,000件が漏れただけだと発表しているが、それだけには止まらないだろう。
ITの専門家の常識として、流出したデータ以外に、恐らくそれぞれの職員が使用しているパソコン中にある全データを、一気に盗み出していると思われる。少なくともID・氏名・生年月日・住所が入っているファイルを、根こそぎ送り出せとの指示を、ウイルスソフトに仕組まれているか、外部からアクセスしてきたマクロに仕組まれているはずだからだ。
さてこの一連の流れを診て、会員諸氏が自社において何を他山の石として教訓に止めなければいけないかだが、順を追って説明してゆく。
まず事の発端となった、九州センタの職員だが、極めて基本的な、常識を逸脱した、愚かな行為を行っている。知らないドメイン名やフリーメールアドレスから発信されてきたメールは、開かないこと大原則だ。特に業務に用いるパソコンでは、これらのメールを絶対開かない大原則を守っていれば、このような問題は生じようがない。
かといって私は、フリーメールの利用を全く否定しているわけではない。パソコンを所持していない出先で、画像データや写真データなどを、自分の所属している部署や客先に、至急送る必要が生ずることがある。このような場合には、私はYAHOOメールなど、ある程度信頼の置けるフリーメールを用いることを奨めている。
この際には、自部署や客先にフリーメールのアドレスを事前に登録しておいてもらい、送信直後に必ず電話や携帯メールで、送信した旨を連絡した上で、対象メールを開く様な安全措置を講じた上でだ。
この方法なら、出先やホテルのビジネスセンタのパソコンなどでも、そのパソコンに痕跡を残さずにメールすることが可能だからだ。
と言うことで、発信元がはっきりしていないフリーメールは、絶対に開かない事をルール化して、周知徹底しておけばよいと言うことだ。
一方この職員は、後三つ愚かな行為を行っている。一つ目はフリーメールに指示されたURLに、アクセスしてしまったことだ。
送り先が定かでないメールに記載されたURLにアクセスするなど、自らウイルスに感染しにゆく行為であり、業務としてインターネットを利用する資格を持っていない、と断言しても過言ではない。
また、送り先が一見安全そうでも、“なりすまし”がある。送信先の偽装など、ある程度の技術を持つ人間なら、極めて容易な行為だからだ。だから、メールに記載されたURLにアクセスする際には、必ずそのドメイン名を確認して、絶対に安全な物以外、アクセスしないルールを作っておく必要がある。業務上用いるドメイン名なら、それほど数があるわけでは無いと思うので、安全ドメインのリストを前もって作っておけばよい。
二つ目は、アクセスした不審URLから、ファイルをダウンロードしたらしいことだ。もう此処まで来ると、開いた口が塞がらない。
三つ目は、入札参加希望者受付メールアドレスに届いたメールを、自分のパソコンで開いたことだ。
このメールアドレスは、一般に公開されているアドレスと聞く。であるならば、外部の悪意を持ったサイバー攻撃者や、スパムメールの餌食になってもおかしくないメールアドレスだと言うことだ。
入札関係情報しか入っていない専用パソコンを設けて、このメールアドレスで受け付けたメールは、このパソコンでしか開かない仕組みを作っておけば、このような事態には陥らなかったはずである。
次は「内閣サイバーセキュリティーセンタ」の不手際だ。
この職員のパソコンに対する異常通信を察知して、緊急に外部ネットワークとの接続を遮断させたのは良いのだが、その次の手が打てていない。
この職員のパソコンのログを解析すれば、流失した情報は何かを特定できる。特定できなくても、この職員のパソコン内にある全ての情報が流失したとして、次の手を打つべきであった。
具体的には、真っ先に、この職員のメーラにある、アドレス帳に登録されているメールアドレスに、事の顛末を知らせて注意を喚起すべきであった。「フリーメールから発信されたメールは開くな」「この職員のメーラにある、アドレス帳に登録されているメールアドレスから発信されたメールは開くな」などである。「当然心当たりのない発信元からのメールは開くな」もである。
メールを開かなければ、添付ファイルも開けないので、今回の個人情報流出の事態には繋がらなかった。
最後は、ウイルス付きメールの添付ファイルを開いてしまった職員達の問題と、仕組みの拙さだ。
年金機構九州ブロック本部の事の発端となった職員と同様に、安易にフリーメールから届いたメールを開き、添付ファイルまで開いてしまった、無知さと危機意識の無さに驚きを禁じ得ない。回避策は上記と同様である。
一方不思議に感ずるのは、なぜ個々の職員のパソコンに、重要機密情報である年金加入者の個人情報が、安易に保存されていたかである。
新聞記事だと、“年金加入者に通知などを送る際、昭和39年から稼働するシステムのプログラム上、作業が難しく、一度情報を外に出す必要があるという”とのことだが、理解不能だ。だからといって、日常業務連絡メールやウエブアクセスに用いている、職員個々のパソコンに、個人情報を保存して良いと言うことでは無かろう。
レガシーシステムのホストが使いづらければ、このような作業はファイルを保管するサーバーを置き、各職員は、クライアントのパソコン(ディスクレス)からサーバーにアクセスする、シンクライアントシステムを設置すべきである(当然外部とは完全に遮断されたネットワークで)。
そうすれば、原則的には個人情報の漏洩など起こりえない。日本年金機構の職員達のモラルさえ、保たれていればと言うことだが。
追記1)
昨日(6月4日)のニュースで、日本年金機構の人事管理部にある複数のパソコンから、外部との異常通信が確認され、その際に問題のデータが流出したらしいとの報道があったが、年金機構の発表が益々信じられなくなった。
なぜ、年金加入者と直悦関わりを持たない人事管理部に、年金加入者の個人情報が保存されていたのか、ここのの説明がない。以前はやったように、他人の年金情報を、未だ覗き見しているのか?
追記2)
本日(6月5日)のニュースで、感染したパソコンは27台、発表されている漏洩件数は、警視庁が踏み台にされたと特定したサーバの中にあった、年金機構から流失したファイルに含まれていた件数だと言うことが公表された。
と言うことは、公表された漏洩件数は氷山の一角にしか過ぎず、可能性として膨大な個人情報が漏洩している可能性がある。これではマイナンバ制度など、とても怖くて受け入れる事は出来ない。
また、「内閣サイバーセキュリティーセンタ」は異常通信を連絡しただけで、対処方法や危険度などの指導やアドバイスを行っていなかったらしい。常識的に考えてセンタの目的は、全省庁のサイバーセキュリティを守る役割だろう。異常事態に対して連絡だけで済ますなど、職務怠慢も甚だしい。内閣サイバーセキュリティーセンタ設置に関する内閣官房組織令には、「行政各部におけるサイバーセキュリティ確保に関しての必要な助言、情報の提供その他の援助に関すること」と、その役割を規定されているのだから。