今どきの攻撃者は“怪しい”添付ファイルなんて送ってこない：半径300メートルのIT（1/2 ページ）

年金機構で発生した大規模個人情報流出事件。あまりにもずさんな管理体制にあきれている読者も多いハズ。ところで、自社には関係ない話だと思っていませんか？

[宮田健，ITmedia]

日本年金機構のWebサイトは現在停止中だ

　2015年6月1日、日本年金機構は大規模な個人情報流出事故を起こしたことを発表しました。職員のPCがマルウェア付きのメールに感染した結果、情報を外部に持ち出されたとのこと。基幹システム内の個人情報を内規に違反するかたちでファイルサーバに保管していたことも分かりました。現在、日本年金機構は公式Webサイトを一時的に停止（参照リンク）し、社内から社外へのメールの使用自体も禁止する（参考記事）という事態に発展しています。

　「年金」というと、若手世代にとっては「返ってくるアテのないお金が毎月奪われている」と、それ自体にいい印象を持っていないでしょう。そんなところが事故を起こし、何かひとこと言ってやりたいという気持ちも分かります。でも、この事件から学ぶことはたくさんあります。

日本年金機構で何が起きたのか？

　今回のケースは、いわゆる「標的型攻撃」の典型的な攻撃パターンです。狙いを定めた企業や組織に向けて作成した「怪しくないメール」を送りつけてマルウェア感染を誘います。ですから、この事件についても「マルウェア付きメールの文面が巧妙化している」という点においてのみ、少しだけ同情します（ちまたに広がる「添付ファイルを開くとか情弱wwww」といった意見には全く賛同できません）。

　しかし、それ以外の点では非難されても仕方がありません。漏れ聞こえてくる話も含めてざっくりとまとめると、

• 2015年5月8日の感染事実判明から発表、対策まで時間がかかり過ぎている
• マルウェアに感染したあとの対策が不鮮明（対策されてない？）
• 発表前に「２ちゃんねる」への書き込みが行われていた（誰が行ったのかは不明）
• 内規に反してファイルサーバに個人情報が保管されていた
• 55万件ものデータでパスワードが未設定
• 何よりも新聞、メディアには断片的な情報が出るにもかかわらず、日本年金機構からは続報が全く出てこない（しかも、Webサイトを落としている）

といった点は問題です。

　過去に大規模な個人情報流出を経験したベネッセや日本航空、So-netといった企業は、適切な情報公開を行っていました。これがいかに簡単なことではなかったのかということが分かります。まずは、上記の話が事実なのかどうか。日本年金機構自体の調査発表資料が一刻も早く公開されることを期待します。

　ちなみに、この事故の経緯については、「日本年金機構の情報漏えいについてまとめてみた - piyolog（参照リンク）」が非常にまとまっています。ご参考まで。

「添付ファイルを開くなんて」と言い切れますか？

　くしくも国会ではマイナンバーに関する審議が進んでいました。この制度の運用が始まれば、全ての企業は従業員（とその家族）のマイナンバーを預かることになります。標的型攻撃は、何も官公庁だけを狙うものではありません。

　まず、皆さんの企業でも「マルウェアが添付されたメール」そのものの存在を見直すことをお勧めします。ひょっとしたら、既に届いている標的型攻撃メールが運よく「迷惑メール」に振り分けられているだけかもしれません。