今どきの攻撃者は“怪しい”添付ファイルなんて送ってこない:半径300メートルのIT(1/2 ページ)
年金機構で発生した大規模個人情報流出事件。あまりにもずさんな管理体制にあきれている読者も多いハズ。ところで、自社には関係ない話だと思っていませんか?
2015年6月1日、日本年金機構は大規模な個人情報流出事故を起こしたことを発表しました。職員のPCがマルウェア付きのメールに感染した結果、情報を外部に持ち出されたとのこと。基幹システム内の個人情報を内規に違反するかたちでファイルサーバに保管していたことも分かりました。現在、日本年金機構は公式Webサイトを一時的に停止(参照リンク)し、社内から社外へのメールの使用自体も禁止する(参考記事)という事態に発展しています。
「年金」というと、若手世代にとっては「返ってくるアテのないお金が毎月奪われている」と、それ自体にいい印象を持っていないでしょう。そんなところが事故を起こし、何かひとこと言ってやりたいという気持ちも分かります。でも、この事件から学ぶことはたくさんあります。
日本年金機構で何が起きたのか?
今回のケースは、いわゆる「標的型攻撃」の典型的な攻撃パターンです。狙いを定めた企業や組織に向けて作成した「怪しくないメール」を送りつけてマルウェア感染を誘います。ですから、この事件についても「マルウェア付きメールの文面が巧妙化している」という点においてのみ、少しだけ同情します(ちまたに広がる「添付ファイルを開くとか情弱wwww」といった意見には全く賛同できません)。
しかし、それ以外の点では非難されても仕方がありません。漏れ聞こえてくる話も含めてざっくりとまとめると、
- 2015年5月8日の感染事実判明から発表、対策まで時間がかかり過ぎている
- マルウェアに感染したあとの対策が不鮮明(対策されてない?)
- 発表前に「2ちゃんねる」への書き込みが行われていた(誰が行ったのかは不明)
- 内規に反してファイルサーバに個人情報が保管されていた
- 55万件ものデータでパスワードが未設定
- 何よりも新聞、メディアには断片的な情報が出るにもかかわらず、日本年金機構からは続報が全く出てこない(しかも、Webサイトを落としている)
といった点は問題です。
過去に大規模な個人情報流出を経験したベネッセや日本航空、So-netといった企業は、適切な情報公開を行っていました。これがいかに簡単なことではなかったのかということが分かります。まずは、上記の話が事実なのかどうか。日本年金機構自体の調査発表資料が一刻も早く公開されることを期待します。
ちなみに、この事故の経緯については、「日本年金機構の情報漏えいについてまとめてみた - piyolog(参照リンク)」が非常にまとまっています。ご参考まで。
「添付ファイルを開くなんて」と言い切れますか?
くしくも国会ではマイナンバーに関する審議が進んでいました。この制度の運用が始まれば、全ての企業は従業員(とその家族)のマイナンバーを預かることになります。標的型攻撃は、何も官公庁だけを狙うものではありません。
まず、皆さんの企業でも「マルウェアが添付されたメール」そのものの存在を見直すことをお勧めします。ひょっとしたら、既に届いている標的型攻撃メールが運よく「迷惑メール」に振り分けられているだけかもしれません。
関連記事
- いつの間にかやられている「やり取り型」攻撃って知ってる?
今さら「オレオレ詐欺」に引っ掛かる人はいないよね――。そんな油断を突いて攻撃者はさまざまな“情シス助けて詐欺”を仕掛けてきます。 - 「PCの暗号化を解除しないと、飛行機に乗せないよ」といわれたらどうする?
パリの国際空港で飛行機に乗る直前に米セキュリティ企業の幹部が呼び止められました。「PCのパスワードを解除しなさい、それがルールだから」 - 情シスさん、パスワードの定期変更よりもやるべきことがある
定期的なパスワード変更を強制させるだけで情報漏えいが防げるハズはありません。定期変更が無意味だとはいいませんが、パスワードに関してもっと注力すべき点があります。 - 「Macはウイルスに強い」という幻想
2014年10月、Mac OSを狙うマルウエアが登場。Microsoft Officeの海賊版など偽の業務アプリをダウンロードさせて感染を狙います。オフィス内のMacが珍しくない今日、どのような対策が必要でしょうか? - 特集:情シスが率先して実施する「企業のマイナンバー対応」
2016年1月に利用が始まる「マイナンバー(個人番号)制度」。すべての企業は、このマイナンバーに社として対応する必要が迫られています。「マイナンバーとは何か?」の基本解説とともに、企業のIT担当リーダーが抱える課題に特化し、実対策と実導入・導入に向けた具体策をまとめていきます。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.