【重要】日本年金機構- 漏洩経緯: 125万件の年金加入者情報の流出

6月1日、日本年金機構のサイバー攻撃により約125万件の年金加入者情報を流出したことを発表し、10日経ち事故内容の詳細が分かってきましたので、詳細を報告させて頂きます。

<漏洩件数>
125万件 (5月28日に判明した件数)
内訳: 二情報 (基礎年金番号、氏名) 約3.1万件
三情報 (基礎年金番号、氏名、生月日)約116.7万件
四情報 (基礎年金番号、氏名、生月日、住所)約5.2万件

沖縄事務センター 約74万件
東京 記録突合センター 約50万件
和歌山事務センター 約1万件

<事故発生からの経緯>

・5月8日に九州ブロック本部の職員に「厚生年金基金制度の見直しについて(試案)に関する意見」と
いうタイトルのメールが届く
発信元は無料メールアドレスであるYahoo!メール。ファイル添付ではなくURLのリンクがあり、
オンラインストレージ(ファイルのネット保存サービス)であるYahoo!ボックスへのURLアド
レスが書かれていた このファイルを開いたことでウイルス感染
・NISCが不審な通信を検知し、厚生労働省 情報担当参事官室に連絡。日本年金機構の通信システムから
不正アクセスの記録を確認。
・感染端末1台をネットワークから隔離
・日本年金機構が全職員に対して注意喚起し、日本年金機構が厚生労働省へ報告。

・18日前後に約100通の標的型メールが、日本年金機構の様々なメールアドレスに届く(外部には
非公開の職員個人のアドレス)。
タイトルは「厚生年金徴収関係研 修資料」「給付研究委員会オープンセミナーのご案内」「医療費
通知」の3種類。18日前後の標的型メールは、添付ファイルがあり、圧縮ファイルであった。
・この標的型メールで、東京などで27台のパソコンがウイルス感染した。
20日までに機構に届いた不審なメールは計124通。その後の解析で、少なくとも3種類の新種ウ
イルスが検出され、2種類はバックドア型と判明。
これまでに感染が確認されたパソコンは、九州ブロック本部の3台と東京都杉並区の機構本部人事管
理部の24台の計27台。
2台はメールを開けて感染したとみられるが、その他の25台は担当職員が「メールを開けていない」
と説明しており、感染ルートは不明だが、感染が確認されたパソコンはLAN(構内情報通信網)で
他のパソコンとつながっており、対応が遅れる間にウイルスがLANを通じて拡散した可能性がある。
27台はいずれも外部への「不審な通信」が確認される。特に人事管理部の19台は大量の情報を外部
サーバーに発信していた。
攻撃者が外部サーバーを乗っ取り、沖縄、和歌山両事務センターと東京の記録突合センターで扱ってい
た約125万件の情報が流出したとみられる。

<事故のポイント>
■ 約125万件の情報は949のファイルに分けて入っていた。このうち第三者の閲覧を防ぐパスワード
が設定されていたのは7ファイルのみ。
約55万件のデータが入っていた942のファイルには内規に反してパスワードが設定されていなかっ
た。

■ 基幹システムは物理的にネットワークにつながっていないため流出はなかった。しかし、そこから取り
出したデータは ファイル共有サーバー(情報系システム)に置いて作業をするか、職員のパソコン
にコピーして作業をしていたため、ウイルス感染したパソコンを通じて個人情報が流出した。
また多くのファイルにパスワードが掛けられていなかった。

■ 8日にウイルス感染してから、丸々3週間、インターネットに接続したままの状態であった。犯人から
すると「3週間近く、ファイルを盗み放題」の状態にあった。

■ 情報流出事故が起きた場合、まず「抜線(ばっせん)」をする。抜線とは、LANケーブルを抜いて、
インターネットから遮断すること。不審な通信を察知したら、まずはネットを遮断して、被害をスト
ップさせる必要がある。
機構は、今回の流出で、3度も判断を誤った。まずは8日の最初のウイルス感染の時点で、九州ブロ
ック本部を「抜線」すべきだったが、該当のパソコン1台で済ませてしまった。

■ 18日に約100通の標的型メールが届いた時点で、機構職員の個人アドレスにメールが届いている
のだから、最初の感染でメールのやり取りなどが流出したことを疑わなければならない。しかしここ
でも静観し、ネットを遮断していない。

■ 22日、不審な通信を再び検知したが、ここでもネットを遮断しなかった。2回目の不審な通信なの
だから、この時点で多数のパソコンが感染していることを想定し、機構全体のインターネット接続を
遮断するべきであった。

■ 1回目であれば九州ブロック本部での抜線で済んだ可能性が高い。しかし静観してしまったために、
全国に拡大。その後は、機構全体のネット接続を遮断することに躊躇ちゅうちょし、3週間もかか
ってしまっている。