「年金情報流出問題」日本年金機構に対する標的型攻撃について考えてみよう!

【スポンサーリンク】

皆様、こんばんは。

本日の関東も過ごしやすい1日となりました。

それでは今回の投稿にまいりましょう。

【スポンサーリンク】

はじめに

http://f.st-hatena.com/images/fotolife/m/milksizegene1/20150604/20150604191513.jpg

さて6月に入ってより、各ニュース等で連日のように取り上げられている「年金情報流出問題」。

今回の「年金情報流出問題」は、先月の日本年金機構に対するサイバー攻撃により、日本年金機構の職員使用するパソコンがマルウェア感染して、ファイル共有サーバーに保存した約125万件の年金情報に関するデータが外部に漏洩するという問題になります。

以下をご覧ください。

年金情報125万件流出 大量メールで不正アクセス 警視庁捜査


<引用>

公的年金の保険料徴収や給付実務を担う日本年金機構10+ 件(東京)は1日、ウイルスメールによる不正アクセスを受け、基礎年金番号や氏名など年金に関する個人情報計125万件が外部に流出したと発表した。同日までに情報の悪用などの被害は確認されていないが、流出件数は今後、さらに拡大する可能性もあるという。機構から通報を受けた警視庁は捜査を始めた。

日本年金機構10+ 件によると、流出したのは(1)基礎年金番号と氏名(約3万1千件)(2)基礎年金番号と氏名、生年月日(約116万7千件)(3)基礎年金番号と氏名、生年月日、住所(約5万2千件)-の計約125万件。一部は同一の加入者情報が重複している可能性がある。

1日、記者会見した機構の水島藤一郎理事長らによると、5月8日、職員がウイルスの入った添付ファイルを開封したことで、不正アクセスが発生。その後、ウイルス対策ソフト会社に解析を依頼したが、同様のメールは18日までに、大量に機構側に送られてきた。メールの内容はそれぞれ異なり、最初に開封した職員とは別の複数の職員が開封していたという。

その際、加入者への通知などの用途で使われている情報系システムなどに保存されていた個人情報のファイルが流出したとみられる。


これは今回の「年金情報流出問題」を取り上げた産経ニュースの記事です。

そして上記のような各マスコミによる報道では、今回の「年金情報流出問題」に関して、日本年金機構に対する「標的型攻撃」と報道しています。

そこで今回の投稿では「年金情報流出問題」を例に挙げながら、「標的型攻撃」について記載してまいりたいと思います。

それでは本題に入りましょう。

【スポンサーリンク】

日本年金機構に対するサイバー攻撃

1、【標的型攻撃】

それではまず「標的型攻撃」に関する説明を記載してまいります。

「標的型攻撃」に関してWikipediaを参照すると、「明確な意思と目的を持った人間が特定のターゲットに対して特定の目的のために行うサイバー攻撃」と定義されています。

つまり今回の「年金情報流出問題」を関しては、日本年金機構という団体をターゲットとして、日本年金機構が取り扱う年金情報に関するデータを搾取することを目的としたサイバー攻撃ということになります。

また今回の「年金情報流出問題」では、「標的型攻撃」を行う手段として電子メールを利用したことから、特に電子メールを利用した「標的型攻撃」を「標的型攻撃メール」と呼称します。

2、【「年金情報流出問題」に関する経緯】

それでは次に今回の「年金情報流出問題」に関する経緯を記載してまいります。

以下をご覧ください。


<年金情報流出の構図>

http://f.st-hatena.com/images/fotolife/m/milksizegene1/20150604/20150604191512.jpg


これは今回の「年金情報流出問題」に関する経緯を画像化したものとなります。

まず日本年金機構には「社会保険オンラインシステム」というネットワークが存在します。

この「社会保険オンラインシステム」は、社会保険業務センター及び全国の社会保険事務所を専用の通信回線によって結ばれる独立ネットワークであり、外部ネットワークとは切り離されたネットワークとなるようです。*1

つまり今回の「年金情報流出問題」に関しては、「社会保険オンラインシステム」が「標的型攻撃」によって直接にマルウェア感染して、年金情報に関するデータが外部に漏洩したというわけではありません。

ここで問題となるのは、上記の画像にある職員のパソコン及びファイル共有サーバー(LANサーバー)となります。

まず日本年金機構の職員が利用するパソコン宛にファイル(マルウェア)を添付した電子メールを送信します。

次に電子メールを受信した日本年金機構の職員が、電子メールに添付されているファイル(マルウェア)を開いて、日本年金機構の職員が利用するパソコンがマルウェアに感染します。

一方、ファイル共有サーバー(LANサーバー)には、「社会保険オンラインシステム」から移した年金情報に関するデータが保存されています。

そして最終的にファイル共有サーバー(LANサーバー)は、日本年金機構の職員が利用するパソコンからアクセスできる状況にあり、マルウェアに感染したパソコンでファイル共有サーバー(LANサーバー)にアクセスすると、マルウェアに感染したパソコンによる不正アクセスによって年金情報に関するデータが外部に漏洩するという経緯になります。

3、【「年金情報流出問題」を防止できないのか?】

それでは次に今回の「年金情報流出問題」を防止できないのかという点について記載してまいります。

まずは結論から申しますと、今回の「年金情報流出問題」に関して防止することは困難と考えられるでしょう。

なぜならば近年、企業及び団体等をターゲットとした「標的型攻撃」に関しては、非常に高度化及び複雑化している状況が理由として挙げられるからです。

例えば今回の「年金情報流出問題」を例に挙げますと、まずは非公開となっている職員のメールアドレス宛に電子メールが送信されたということです。

これはメールアドレスが非公開ということで、職員自体が日本年金機構という団体及び関連団体から電子メールが送信されたと錯覚することでしょう。

そして次に電子メールに添付されているファイル(マルウェア)及び電子メールの件名が、非常に高度に偽装されているということです。

まず電子メールに添付されているファイル(マルウェア)に関しては、少なくとも2種類の新種のマルウェアであるようです。

またマルウェアの種類としては、いわゆるバックドア型と呼ばれるタイプであり、このバックドア型というマルウェアは感染したパソコンの裏側で活動して、攻撃者の不正アクセスを行うための不正な外部通信を確立する等の活動を行います。

さらに電子メールに添付されているファイル(マルウェア)に関して、セキュリティソフトによる検出を困難にするために、新種のマルウェアであってもプログラム自体を改変した亜種のマルウェアが添付されていたという記事も目にしています。

以上のように、もともと「標的型攻撃」で使用されるマルウェアは、その特性上から特定のターゲットに対して使用されるものであり、一般的なマルウェアのようにインターネット上に拡散されるものではありません。

そのため一般的なマルウェアとは異なり、マルウェア自体が拡散される環境も限定的なために、セキュリティソフトによる検出も非常に困難であるというわけです。

さらに今回の「年金情報流出問題」のように、新種のマルウェアということになれば、セキュリティソフトによる検出に関しても一層困難になることでしょう。

そして一方、電子メールの件名に関してですが、日本年金機構という団体で使用されるような年金関係の文書の件名が書かれていたということです。

これは先と同様に、職員自体が日本年金機構という団体及び関連団体から電子メールが送信されたと錯覚することでしょう。

以上のように昨今、企業及び団体といった組織をターゲットとした「標的型攻撃」は、非常に高度化及び複雑化しています。

そして上記のように高度化及び複雑化した「標的型攻撃」に関して、「高度標的型攻撃」という呼称を用いることを覚えておいてください。

4、【まとめ】

さてそれでは次に今回の「年金情報流出問題」に関するまとめを記載してまいります。

前項まで記載したように、今回の「年金情報流出問題」は、未然に防止することが困難な「標的型攻撃」によって引き起こされた情報漏洩に関する問題でした。

しかしながら今回の「年金情報流出問題」に関して、日本年金機構の職員が社内ルールをしっかりと遵守せずに日々の業務を行っていたことも、今回の「年金情報流出問題」に関する被害を拡大させてしまった要因となったことは間違いないでしょう。

そして日本年金機構という団体を批判することは簡単です。

しかしまず大切なことは、外部流出した年金情報に関するデータに関する特定を行い、外部流出した年金情報に関するデータに該当する方々を保護することではないでしょうか。

そしてその後に、今回の「年金情報流出問題」に関する原因及び再発防止策を日本年金機構が考えていかなければいけません。

さらに年金情報に関するデータは、日本国民であれば20歳以上の方々に該当する大切な個人情報となります。

そのため我々国民に関しても、今回の「年金情報流出問題」に関する日本年金機構の対応を注視していかなければならないと考えます。

そして前項で記載したように、高度化及び複雑化した「標的型攻撃」に関しては、残念ながら未然に防止することが困難といえます。

そのため企業及び団体といった組織をターゲットとした「標的型攻撃」に関しては、マルウェア感染等のセキュリティリスクを未然に防止するという既存のセキュリティ対策のみならず、マルウェア感染等のセキュリティリスクを前提としたセキュリティ対策の構築が必要といえるのかもしれません。

今回の「年金情報流出問題」に関する記載は以上です。

あとがき

さて今回の投稿は以上となります。

実は今回の投稿に関して、2015年6月3日に投稿予定でしたが、個人的な諸事情のために本日の公開となりましたことをお詫びいたします。

それでは今回の投稿は以上です。

*1:注:つまりインターネットと接続されていないということです