年金機構で発生した大規模個人情報流出事件。あまりにもずさんな管理体制にあきれている読者も多いハズ。ところで、自社には関係ない話だと思っていませんか?
2015年6月1日、日本年金機構は大規模な個人情報流出事故を起こしたことを発表しました。職員のPCがマルウェア付きのメールに感染した結果、情報を外部に持ち出されたとのこと。基幹システム内の個人情報を内規に違反するかたちでファイルサーバに保管していたことも分かりました。現在、日本年金機構は公式Webサイトを一時的に停止(参照リンク)し、社内から社外へのメールの使用自体も禁止する(参考記事)という事態に発展しています。
「年金」というと、若手世代にとっては「返ってくるアテのないお金が毎月奪われている」と、それ自体にいい印象を持っていないでしょう。そんなところが事故を起こし、何かひとこと言ってやりたいという気持ちも分かります。でも、この事件から学ぶことはたくさんあります。
今回のケースは、いわゆる「標的型攻撃」の典型的な攻撃パターンです。狙いを定めた企業や組織に向けて作成した「怪しくないメール」を送りつけてマルウェア感染を誘います。ですから、この事件についても「マルウェア付きメールの文面が巧妙化している」という点においてのみ、少しだけ同情します(ちまたに広がる「添付ファイルを開くとか情弱wwww」といった意見には全く賛同できません)。
しかし、それ以外の点では非難されても仕方がありません。漏れ聞こえてくる話も含めてざっくりとまとめると、
といった点は問題です。
過去に大規模な個人情報流出を経験したベネッセや日本航空、So-netといった企業は、適切な情報公開を行っていました。これがいかに簡単なことではなかったのかということが分かります。まずは、上記の話が事実なのかどうか。日本年金機構自体の調査発表資料が一刻も早く公開されることを期待します。
ちなみに、この事故の経緯については、「日本年金機構の情報漏えいについてまとめてみた - piyolog(参照リンク)」が非常にまとまっています。ご参考まで。
くしくも国会ではマイナンバーに関する審議が進んでいました。この制度の運用が始まれば、全ての企業は従業員(とその家族)のマイナンバーを預かることになります。標的型攻撃は、何も官公庁だけを狙うものではありません。
まず、皆さんの企業でも「マルウェアが添付されたメール」そのものの存在を見直すことをお勧めします。ひょっとしたら、既に届いている標的型攻撃メールが運よく「迷惑メール」に振り分けられているだけかもしれません。
Copyright © ITmedia, Inc. All Rights Reserved.