情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
<もくじ>
(1)業務改善計画
(2)業務上の都合
(3)事故対応体制
1.企業・組織の情報セキュリティ態勢について考える
皆さま、こんにちは。今年最後の情報セキュリティトピックスです。1年間おつきあいいただき、誠にありがとうございます。来年もITや情報セキュリティにかかる企業危機管理上のトピックスを取り上げてまいりますので、よろしくお願い申し上げます。
この1年、我々消費者や個人にとっても、新たな脅威が数多く発生しました。不正広告、ランサムウェア、オンライン銀行詐欺ツール、マクロ型不正プログラムの再来など、多数の脅威にさらされた年であり、特に不正広告は、広告を表示するだけで感染してしまうという巧妙な手口を用いており、7月以降に増加を始め、現在もその勢いは継続しています。
2016年においても、本年の脅威動向や市場動向、サイバー関連法の整備(日本国内では、個人情報保護法の改正やマイナンバー法)をふまえ、セキュリティの脅威がどのように進展していくのかについて注視していく必要があります。
さて、今回も先月に引き続き、日本年金機構(以下「機構」)で起きた情報漏えい事故を取り上げ、企業の情報セキュリティ対策や態勢について検討していきたいと思います。2015年、情報セキュリティに関する国内で最も大きなトピックスは、機構における標的型攻撃メールをきっかけとした大規模な情報漏えいだったと言えます。
企業や組織にとって、どのような情報を守る(保護する)必要があり、その情報がどこに保存されているのかということを改めて整理し、その中で起こり得るセキュリティリスクと必要な対策を検討することで優先度を明確化していく必要があります。具体的には、機構を前提に例示するとすれば、定期的な業務フローを見直して、データの取り扱い方法をチェックし、運用の都合によるセキュリティ・リスクを把握して、運用体制(方法)の見直しや端末のセキュリティレベルの検討・改善を行うことで、今回の事件を未然に防げた可能性があります。
情報セキュリティ対策は、組織や企業が持つ重要な知的財産を守るため、事業を安定的に継続させる上で欠かせない経営課題であり、全社的かつ経営層による主体的かつ継続的な取り組みや判断が求められます
(1)業務改善計画
日本年金機構は2015年12月9日、年金情報流出事案を受けた「業務改善計画」を監督官庁である厚生労働省に提出しました。改善計画は、2016年4月からの3年間で集中的に取り組むとしており、その3本柱は、「組織の一体化・内部統制の有効性の確保」と「情報開示の抜本的な見直し」、そして「情報セキュリティ対策の強化」だとし、組織面と技術面、業務運営面を強化するとしています。
それによると、まず組織面では、10月1日に理事長を本部長に、CISO(最高情報セキュリティ責任者)である副理事長を副本部長に据えた「情報管理対策本部」を設置し、「実効性のあるセキュリティ対策を実現する体制を構築する」としてします。
さらにインシデント(セキュリティ上の事故)に対応する専門組織の「機構CSIRT」を設置して、セキュリティの有資格者を含む4人を配属し、関係部署の20人も支援要員として登録、外部の専門企業とも2016年4月以降に契約して、当該組織の機能強化を図っていく見通しです。
また、技術面の強化では、もともとインターネットから分離している(はず)の基幹系システムもセキュリティを高めるとしています。年金情報は情報系システムにコピーさせず、基幹システム内に共有フォルダ―を作り、生体認証などでログインする専用端末から閲覧するように変更し、専用端末は未知のウィルスを検知できる対策を追加するとしています。今年6月に標的型攻撃を受けた際は、脆弱性の残ったままのPCやサーバーがあり、監視も行き届いていなかったため、今後は最新のセキュリティパッチを充て、重要機器も監視するとしています。
最後に、業務運営面の強化では、情報セキュリティポリシーを厚労省のポリシーに準拠した、外部委託の導入や標的型攻撃対策などを盛り込んだ内容に改定し、実効性を高めるとしています。また、職員向けセキュリティ研修を全職員に年1回以上実施し、機構CSIRTの対応能力を高める研修も実施するとして、こうした対策の実施状況を内部や外部の専門家が定期的・継続的に監査していくとしています。
(2)業務上の都合
今回の日本年金機構での事案は、以下の報告書(厚生労働省、日本年金機構、内閣官房)によると、個人情報を保持する基幹システムは物理的に異なるネットワークに存在しており、侵入者は、重要情報には直接アクセスできないはずでした。しかしながら、業務の都合により、データベース内の個人情報が、侵入した攻撃者にもアクセスできるファイルサーバー内に保存されていたことで、情報漏えいにつながったとしています。業務の都合によるルール違反の運用により、被害範囲が非常に大きなものになりました。
▼日本年金機構「不正アクセスによる情報流出事案に関する調査結果報告書」
▼厚生労働省「日本年金機構における不正アクセスによる情報流出事案検証委員会検証報告書」
▼内閣官房サイバーセキュリティ対策本部「日本年金機構における個人情報流出事案に関する原因究明調査結果」
標的型攻撃は時間をかけて情報を盗んでいく攻撃、というイメージがありますが、それは攻撃者が狙う情報が適切に守られていてアクセスしづらい場合です。取りやすい場所に重要情報が置かれていれば攻撃者は容易に情報を窃取でき、時間をかける必要性はありません。前回の「共有フォルダ運用の実態」(情報セキュリティトピックス2015年10月号)でも記載したとおり、実際の業務遂行上の都合とセキュリティポリシーの乖離から、ポリシーが守られず形骸化してしまうことはどの組織においても起こりがちなことです。ここで重要なことは、取り扱っている情報の重要性やレベル分けの意義をしっかりと認識して、守るべき情報な何なのかを明確にした上で、業務の実態を把握し、運用可能なポリシーと継続的な監査体制を構築することです。また、事案発生時の対応(個々人の行動指針及び組織的対応要領)もドキュメント化するなど明確化し、徹底させることが必要です。
また、最も基本的な部分ではありますが、遠隔地や個々の現場においても、決められた組織のルールがローカルルール化しないよう、ルール化の意味やそのようなルールになっている理由をしっかりと役員・従業員に説明し、小さな怠慢やミスでも見て見ぬふりをせず、注意・是正(改善)できる環境を構築すること、例えば、風通しの良さといった良好な職場環境の醸成が急務であるといえます。怠慢や違反を放置しない、見通しのきかない場所をなくすということも情報資産保護や不正の抑止には非常に重要です。
これまで、標的型によるサイバー攻撃は国や政府関連機関の持つ機密情報、大企業がもつ最先端技術情報などを狙うものとして認識されていました。しかし、攻撃者の真の狙いはわかっていないものの、今回の事例での被害は年金関連の個人情報に留まっています。
昨年の段階から、業種や規模を問わず民間企業を含めた法人が持つ個人情報や決済情報を狙う攻撃で、標的型サイバー攻撃の手法の使用が拡大しています。2014年2月に確認された航空会社のマイレージ会員情報が窃取された事例でも、標的型メールによる組織内ネットワークへの侵入に加え、マイレージ会員データベースにアクセスする業務を行っていた端末経由でデータベース内の情報が抽出されるなど、今回の日本年金機構を上回る攻撃内容が判明しています。
企業の陥りやすい認識としては、「狙われるほど重要な情報がない(個人情報は狙ってこないという意識)」ためサイバー攻撃の標的にはならない、という考えがあります。しかし、企業の持つ従業員や顧客などの個人情報やクレジットカードなどの決済情報を狙う攻撃の事例では、標的となった企業は規模や業種に関わらず狙われていることがわかっています。そして、実際に標的となった場合の損害は決して小さいものではなく、業績や事業継続に大きな影響を与えるものになりがちです。これらの実情を認識し、今回日本年金機構の受けた攻撃を自分事としてとらえ、自社の持つ情報資産とその重要性を把握した上で必要な対策を考えるべきです。
日本年金機構事例から気付かされたことは、今回の標的型攻撃メールによる手法が、特別に新しい手法ではなく、情報に対する脅威に大きく変化はないものの、「本来実施すべき基本的な事項が守られてない」ことが、大きな事故に発展したということです。
この点、何度も言及している内容ですが、情報セキュリティ対策で重要なのは、「資産」の把握と優先付けに基づいたポリシーの策定や監査体制などの組織強化や事故発生時の対応方針・プロセスの明文化と徹底、迅速に対応できる体制の構築を考える必要があります。言い換えれば、「情報」を扱う「人」の部分に脆弱性があるということ、情報管理に関する内部統制システムも、システムを使う側の「人」がそれを無視・逸脱した使い方をしてしまえば、セキュリティ対策として機能しないということを改めて認識しなければならないのです。その意味で、標的型サイバー攻撃の脅威は、既にすべての組織にとって他人事ではなく、事業継続性を維持する上での最重要対策事項だと言えるのです。
(3)事故対応体制
インシデントレスポンスとは、情報セキュリティを脅かす事象(インシデント)への対応を行うことです。情報セキュリティの分野におけるインシデントとは、コンピューターやネットワークのセキュリティを脅かす事象、すなわち、ウィルス感染や不正アクセス、不正侵入、データの改ざん、情報漏えいなどを指し、意図的であるか偶発的であるかを問いません。インシデントレスポンスは、上記インシデントに対し、主に原因の調査や対応策の検討、サービス復旧や再発防止策の実施などの対応を適切に行うことです。最近は、サイバー攻撃が増加傾向にあり、その範囲も広範にわたっています。こうした状況下で、セキュリティ対策を万全に施していたとしても、すべてのインシデントを未然に防ぐことは不可能です。
そこで、インシデントが万が一発生した場合に迅速に対応し、被害の拡大を最小限にするための事後対応が求められます。特に、標的型攻撃などのように、特定のターゲットに対し、周到に、時間をかけて準備され、継続的に実行されるサイバー攻撃などに対応していくためには、常にメンバーや組織内で知識を共有し、事故を前提としたポリシー策定や手順の確立をしておくことが重要です。
実際にサイバー攻撃が行なわれインシデントが発生するタイミングや攻撃の種類は攻撃者が選択するため、システムの管理者側では予測することが困難です。管理者側の知識や技術が不足している場合や、チーム編成の不備、準備や訓練が十分に行なわれていない、見積りが甘い、などの理由により攻撃を防ぎきることができない可能性があります。また、標的となるのは、その多くが一般社員であり、十分な知識等をもっていない場合も少なくありません。そのためには、標的型攻撃の訓練や演習、アンケートを通じて、自社内でそのリスク(開封状況)を把握することも重要です。演習や研修、注意喚起を繰り返すことで問題点を抽出しそれを改善するとともに、インシデントの処理になれておくことで、組織全体でのサイバー攻撃への対応力を向上させ、被害の拡大を未然に防ぐ意味でも重要だと言えます。
【参考】
▼デジタルアーツ「勤務先における標的型攻撃の意識・実態調査」
20歳以上の就業者を対象に7月23日から25日にかけてインターネット上でアンケート調査を実施したもの。情報システム管理者333人、一般従業員1109人が回答
デジタルアーツによると、従業員の25%は、勤め先が「標的型攻撃の対象となる可能性はない」と考えていることが調査結果からわかります。また、システム管理者も1割強が同様に考えており、勤務先が攻撃対象となりうるかの設問では、従業員の40.7%は「ある」と回答。一方で24%は「ない」と回答。また「わからない」との回答も35.3%あり、あわせると約6割にのぼるという結果です。
従業員へ勤務先のセキュリティに関するルールについての設問では、59.1%が「ある」、34%が「ない」と回答しており、勤務先のセキュリティ対策については、最近「厳しくなった(51%)」「変わらない(47.2%)」がほぼ半々という結果が得られています。
その他、セキュリティに関する社内研修は、58%が未経験。29.3%は、組織内の研修を受けており、6.7%は外部専門機関から講習を受けているという結果です。
2.最近のトピックス
▼IPA「ウイルス感染を目的としたばらまき型メールに引き続き警戒を」
情報処理推進機構(IPA)は、12月1日、「2015年12月の呼びかけ」を公開しました。この中で、IPAが10月に注意喚起した「ばらまき型」偽メールの手口について、これまでIPAが確認した手口と、今後注意すべきポイントなどが紹介されています。
「ばらまき型メール」とは、マルウェア感染などを目的に、広く多くの組織に送付されるメールです。このメールにはOfficeなどのアプリケーションに備わるマクロ実行機能を備えたファイルが添付され、ファイルを開くとマルウェアがダウンロードされ、感染する可能性があります。
確認されたメールは、「特定の組織からの注文連絡」(「【●●●●(実在の組織名)より】ご注文ありがとうございました-添付ファイル『出荷のご案内』を必ずご確認ください」などの内容)、「複合機からの自動送信」(「Message from “RNP0026738E40D2″」などの内容)を装う特徴があり、特に、「特定の組織からの注文連絡」を装うメールは日本語に不自然な表現もなく、不審をいだきにくいと言えます。
また、マクロを悪用したタイプの添付ファイルは、WordだけでなくExcelなど、別のOffice文書ファイルが用いられる可能性があることや、別の事例では、PDFファイルに偽装した実行形式のファイルが添付され、マルウェアに感染させようとしていたことなどから、IPAは、今後もこのような「ばらまき型」の手口が仕掛けられる可能性があるとしています。
被害を未然に防ぐ対策として、「不用意に添付ファイルを開かない」「リンクをクリックしない」といった対策に加え、以下のポイントを推奨されています。
- マクロが自動で有効になるような設定は行わない。
- 安全性が不明なファイルではマクロを有効にするための「コンテンツの有効化」を絶対クリックしない。
そして、万が一、メールの添付ファイルを開いてマルウェアに感染したことが疑われる場合には、「当該端末をネットワークから切り離す」「セキュリティソフトでウイルススキャンを実施する」「必要に応じて、スキャン結果や開いてしまったファイルの情報、セキュリティソフトの定義ファイルの情報等をまとめてセキュリティベンダ等に相談する」などの対応が必要になります。
▼フィッシング対策協議会「2015/11 フィッシング報告状況」
12月1日、フィッシング対策協議会は2015年11月の月次報告書を公開しました。本報告書によると、フィッシング報告件数は246件と前月より27件増加、フィッシングサイトのURL件数は96件で前月より2件減少しています。
同協議会によると、11月は、カード会社を騙る手口に加え、SMS(ショートメッセージサービス)を悪用したネットバンキングをかたるフィッシングが再度発生したほか、「Apple ID」を詐取するフィッシングも、件数が減少している(10月:52件→11月:19件)ものの引き続き発生しているとしています。
フィッシング被害を未然に防ぐためには、メールの取扱いには十分注意することと、アクセスしたサイトが本物かどうか、「アドレスバー」のドメイン名を目視確認するなどの対応を心がけるとともに、IDやパスワードなどのアカウント情報の設定、管理は厳重に行う必要があります。
▼トレンドマイクロ「2015年第3四半期セキュリティラウンドアップ:見ただけで感染する「正規サイト汚染」の脅威』」
トレンドマイクロは、11月19日、日本国内および海外のセキュリティ動向を分析した「2015年第3四半期セキュリティラウンドアップ:見ただけで感染する『正規サイト汚染』の脅威」を公開ました。
これによると、2015年7月~9月の脅威の動向ハイライトは大きく2点あります。1点目は、「脆弱性攻撃サイトへの誘導元の8割以上が『汚染された正規サイト』」だったことです。改ざんや不正広告が表示されるなどの「汚染された」正規サイトを経由する国内向けの攻撃が多数確認され、その割合は86%(日本国内からのアクセスを確認した42件の攻撃サイトのうち)でした。また、攻撃サイトからユーザーが感染する不正プログラムの6割以上が、オンライン銀行詐欺ツールやランサムウェアなどの金銭目的のプログラムだったとしています。なお、脆弱性攻撃サイトへのユーザーの誘導数は全世界的に増加傾向にあり、今期は約380万件と、対前年同期比で約9倍に増加しています。
2点目は、「国内のオンライン銀行詐欺ツールが検出された端末台数が対前四半期比約2倍に」増加している点です。国内のオンライン銀行詐欺ツールが検出された端末台数は、2015年4月~6月が4,300台だったのに対し、2015年7月~9月は8,750台と約2倍に増加しています。国内のネットバンキング利用者を狙うマルウェアが多数流通している点に注意が必要です。
▼総務省「成27年度 青少年のインターネット・リテラシー指標等」
11月13日、総務省は、青少年のインターネット・リテラシーに関する実態調査の結果概要を「平成27年度 青少年のインターネット・リテラシー指標等」として公開しました。これは、全国の高等学校1年生相当に対し、インターネット・リテラシーを測るテストをアンケートとともに行い、結果を集計・分析して発表したものです。これによると、本年度の全問正答率は69.7%でした。本年度は問題を一部改修したため、前年度と同一問題・参加校で比較した場合、正答率は71.0%となり、昨年度正答率(70.5%)をやや上回る結果でした。
スマートフォンの1日の平均利用時間は「平日1~2時間」「休日2~3時間」が最も多く、平日は58.5%、休日は78.2%の青少年が1日に2時間以上利用するなど、他の通信機器と比べて利用時間が長いことがわかりました。
また、フィルタリングサービスについては、72.3%の青少年が「有用」であると考え、また78.3%が「必要性を認識」しているものの、利用率は49.3%となっています。
総務省では、インターネットを使い始めた時に、その使い方を「保護者」に教わった青少年のリテラシーが高いことから、家庭等においてインターネットの使い方を教える環境づくりが重要だと指摘しています。
3.最近の個人情報漏えい事故(2015年11月)
下記の表は、先月11月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 岡山県警 | 書類紛失 | 事件の被害届や交番での相談内容など、13人分の個人情報 | 交番勤務を終えスクーターで移動中、公用のショルダーバッグから書類を落とし紛失 |
| 2 | 県立高校 | FAX誤送信 | 生徒3人の名前や学年 | 県教育委員会の担当者に資料をFAX送信した際、参照したFAX番号に誤りがあり、関係のない企業へ誤送信 |
| 3 | 地方銀行 | 書類紛失 | 税金・公共料金等納付書の控え約2万件で、当該控えには、顧客の名前や住所、納付金額などが記載 | 廃棄処分する書類等に誤って混入した可能性 |
| 4 | 高エネルギー加速器研究機構 | SSD紛失 | 職員や研究員など約8000人の氏名 | 出張先で、バッグごと紛失 |
| 5 | 千葉県柏市 | 名簿紛失 | 対象世帯の25人分の世帯主名や住所、未納付金額など | 出張先で、バッグごと紛失 |
| 6 | 大阪市立大学 | 書類紛失 | 手術を受けた患者約670人の氏名や病名などを含む書類30枚 | 同院医師が資料作成のため、書類をショルダーバッグに入れて持ち帰り、途中で同僚と飲食店などに立ち寄った際に、バックごと紛失 |
| 7 | さいたま市 | 書類紛失 | 氏名や住所、車両番号、免許証番号などが含まれる軽自動車税に関する書類578件 | 誤廃棄の可能性 |
| 8 | 中国茶卸業 | メール誤送信 | 顧客のメールアドレス571件と一部氏名 | 「Bcc」で送信すべきところを誤って「To」で送信 |
| 9 | NTT西日本 | 書類紛失 | 顧客約5700件の氏名や住所、電話番号などが記載された顧客リスト | 神戸市内の公園の管理者から書類が放置されていると連絡があり発覚 |
| 10 | 埼玉県警 | 捜査書類紛失 | 捜査対象者の氏名や年齢などが記載 | 男性捜査員2人が昼食を取る際、無施錠のまま捜査車両を駐車し、その間に車内から書類が入った鞄を盗まれたもの |
| 11 | 熊本市 | メール誤送信 | 登録事業者270社分のメールアドレス | 「Bcc」で送信すべきところを誤って「Cc」で送信 |
| 12 | 近畿労働金庫 | メ伝票綴り紛失 | 個人顧客112件と団体顧客28件の氏名、住所、生年月日、口座番号など | 誤廃棄の可能性 |
| 13 | 大手事務機器メーカー | ノートPC紛失 | 顧客企業の担当者名や社名、所在地、電話番号、メールアドレス、役職などの名刺情報が保存 | 盗難 |
| 14 | 関西大学 | USBメモリ紛失 | 528人の学籍番号と氏名で、一部成績も | パスワード未設定 |
| 15 | 福岡市 | メール誤送信 | 寄付者27人のメールアドレス | 誤って宛先に設定 |
| 16 | 廿日市市文化スポーツ振興事業団 | メール誤送信 | メルマガ配信希望者のメールアドレス1256件 | 誤ってファイルを添付 |
| 17 | 自動車リース業 | 不正アクセス | 最大4400件の顧客情報 | Webサイトは12年から攻撃を受け、侵入の痕跡は計4回あった可能性 |
| 18 | 愛知県 | メール誤送信 | 43社の担当者のメールアドレス | 委託先によるメール誤送信 |
| 19 | 和歌山県 | メール誤送信 | 31名分のメールアドレス | 「Bcc」で送信すべきところを誤って「Cc」で送信 |
| 20 | 専修大学 | メール誤送信 | メールアドレス249件 | |
| 21 | 大田区 | 書類紛失 | 1年生の児童29人分の答案 | |
| 22 | 大手銀行 | システム不備 | 振込を行った利用者に関する個人情報約1万4000件 | 電話で口座情報を確認できる「残高照会ダイヤル」のシステムに仕様上の不備があり、第三者に出会い系サイトの料金を支払った利用者の情報が取得されていた |
| 23 | 群馬大学 | USBメモリ紛失 | 患者584人の氏名、住所、電話番号、血液型、受診科、血液製剤の製造番号など | 誤ってゴミ箱に捨てた可能性 |
| 24 | 総合小売業 | 誤表示 | ネットスーパー利用の顧客個人情報である「氏名」「住所」「電話番号」「メールアドレス」「届け先情報」など約328人分 | システム作業における作業ミス |
| 25 | 人材派遣サービス | メール誤送信 | メールアドレス356件 | 誤ってCCに設定 |
| 26 | 家具、製造販売 | 書類盗難 | 関係者178人分の「平成27年分給与所得者の保険料控除申告書兼給与所得者の配偶者と区別控除申告書」と、37人分の「くろがね健康保険組合平成27年11月医療費のお知らせ」 | 車上荒らし |
| 27 | 厚生労働省 | 不正アクセス | DDos攻撃 | |
| 28 | 愛知県立高校 | USBメモリ紛失 | 1年生349人分の実力テストの成績や、模擬試験の成績など9回分の試験結果 | 私物のUSBメモリに記録して学外に持ち出し、紛失 |
| 29 | 厚生労働省 | サイト不具合 | 再生医療に関する各種申請書の作成支援サイトに不具合があり、ほかの申請者の作成内容が閲覧できる状態だった |
※飲食店や電車内での鞄や端末の紛失、置き忘れについて
詳細が公表されることはあまりありませんが、年末の忘年会シーズンや連休前に飲酒によって鞄を携帯電話、スマホ、記憶媒体ごと紛失してしまう事故が多く発生します。
業務上、個人情報を含む記憶媒体や書類等を持ち出す場合には、情報持ち出しの規則や、今自分が扱っている情報の重要性をあらためて認識し、紛失することのないよう注意が必要ですし、社内での注意喚起もこの時期、行うべきだといえます。
皆さまもお気を付けください。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
