情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
企業・組織の情報セキュリティ態勢について考える
日本年金機構の不備と問題点について
厚生労働省(以下「厚労省」)は、さる9月25日、日本年金機構(以下「機構」)に業務改善命令を出しました。昨年度の業務実績を評価した結果、今年6月に発覚した年金情報流出につながる業務上の課題がすでにあったと判断し、機構に対し12月上旬に業務改善計画を提出するよう指示しています。
厚労省は毎年度、機構の業務実績を評価しており、昨年度は24の評価項目のうち、「内部統制システムの有効性確保」「情報公開の推進」「個人情報の保護」の三つを、最低のD評価としています。命令書では、①組織の一体化などを進める改革、②情報開示のあり方の抜本的見直し、③情報セキュリティ対策の抜本的・迅速な強化を求めています。
◆厚生労働省「日本年金機構の平成26年度の業務実績の評価結果」
◆厚生労働省「情報セキュリティ強化等に向けた組織・業務改革」
機構における事故は、きっかけは外部からの攻撃(標的型メール攻撃)ではあるものの、組織内のルールの不徹底やルールからの逸脱した実態をいかに早期に発見して、見直すことの重要性についてあらためて考えさせられました。また、攻撃する側の手法や執拗さや手口の巧妙さを認識する意味で参照すべき点が多いと考えます。本事故は、事業規模の大小を問わず、決して対岸の火事ではなく、自社の不備や問題点にいかに目を向けて把握することが重要だと認識する絶好の機会だと考えます。これまで第三者機関や行政から発表された報告、報道されたものをベースに、この事案から学び、企業におけるセキュリティ対策に繋げていくかについて「情報セキュリティトピックス」10月号~12月号の年末にかけて、複数回にわたり検討したいと思います。
【事故の概要】
機構は、6月1日、機構保有の約125万件の個人情報が外部に流出していることが5月28日に判明したことを公表しました。流出が確認された個人情報は、職員が共有フォルダに保管していた情報の一部であり、最大で「基礎年金番号」「氏名」「生年月日」「住所」の4情報の流出が確認された件数が約5.2万件、「住所」を除く3情報が約116.7万件、「基礎年金番号」「氏名」の2情報が約3.1万件の合計約125.0万件であり、該当する人数は、受給者約53万人、被保険者約49万人の合計約101万人です。
今回の事故は、機構が5月8日から20日にかけて外部からの4度にわたる標的型メールによる攻撃を受け、約125万件の年金情報が流出したものです。報告書によれば、124通の標的型メールを受信し、5人の職員が開封、マルウェアに感染したPCを攻撃者が遠隔操作して、最終的には二つの拠点で31台のPCにまで感染が拡大したとされています。
不正アクセスの経緯と手口
機構への不正アクセスへの手口は、まず入り口の段階で、機構が調達用に外部公開するメールアドレスを狙ったとされています。
ここで1台を感染させ、非公開の職員のメールアドレスを奪ったと見られており、機構は初期の調査で、感染したパソコンにおいて「圧縮ファイルが作成されており、その一部が流出している恐れがあることが判明した」としていました。※この時点での情報流出は無いとしていた。標的型メールの詳細はサイバーセキュリティ戦略本部による報告書で件名などを明らかにしています。件名は「職員が業務として連想しやすいもの」であり、また、内閣官房の報告書では踏み込んだ解析がなされており、4度の攻撃で使われた標的型メールの関連性も明らかにしています。
また、「送信元」や「宛先」、「不正プログラム(マルウェア)」、マルウェアがパソコンに感染した後で通信したり、指示を得たりするために攻撃者が乗っ取った「接続先」であるC&C(コントロール&コマンド)サーバー(※)の共通性から、「同一の攻撃者による一連のもの」と認定しています。
- C&Cサーバー(コマンド&コントロールサーバー)とは、サイバー攻撃などにおいて、マルウェアに感染したコンピューター群(ボットネット)を制御したり、命令を出したりする役割を担うサーバーのこと。命令(Command)と制御(Control)の頭文字を取ってC&Cサーバーと呼ぶ。攻撃者は、マルウェアを多くのコンピューターに感染させ、それらのコンピューターを束ねてボットネットを構成する。ボットネットは、同時に多数のコンピューターから攻撃を行ったり、不特定多数にマルウェアを感染させるなどの目的でスパムメールを送信したりするなど、フィッシング詐欺やネットバンキングの不正送金といった犯罪行為の身元を割り出しにくくするための「踏み台」として利用される。
◆日本年金機構「不正アクセスによる情報流出事案に関する調査結果報告書」
◆厚生労働省「日本年金機構における不正アクセスによる情報流出事案検証委員会検証報告書」
◆内閣官房サイバーセキュリティ対策本部「日本年金機構における個人情報流出事案に関する原因究明調査結果」
- 機構以外でも、東京商工会議所や厚労省の「健康保険組合連合会(健保連)」と国立医薬品食品衛生研究所、石油連盟でも不正アクセスによるサイバー攻撃が確認されており、特定の情報だけを狙ったものではなく、日本を標的とした組織的な攻撃であることが明確です。いずれも、仕事などの要件を装った電子メールによる「標的型攻撃」がサイバー攻撃の入り口になるとされています。機構に対して、メールの添付ファイルを不注意に開くことへの批判も見受けられますが、本件だけではなく標的型攻撃は日々精度が高くなり、手口が巧妙化しているということも脅威として認識する必要があります。業務で毎日電子メールを利用せざるを得ない以上、そこに紛れ込んでいるリスクをしっかり認識したうえで(つまり、個人の防御ラインは脆いものと認識したうえで)組織的な体制や対策を検討する必要があります。
機構の被害は氷山の一角であり、これまでにも国内政府関連機関や製造業、エネルギー関連機関、航空宇宙産業、金融機関などがサイバー攻撃の対象になっています。また、海外でも、公的機関の他、工場や化学プラント、発電所などのインフラ関連のシステムへのサイバー攻撃が継続的におこなわれています。
共有フォルダの運用実態
機構は、年金情報をオフラインの基幹系システム「社会保険オンラインシステム」で(本来)管理しています。しかし、2010年9月以降、DVDなどで個人情報を「機構LANシステム」にコピーしており、またその際、規程に反してパスワードをかけていないデータが55万件あったとされています。
機構における個人情報は、原則として基幹系システムに保管され、一定の条件の下で機構LANに接続する共有フォルダで保管されていますが、共有フォルダへの保管に際しては、アクセス権を制限するか、パスワードを設定するルールとなっていたにも関わらず、暗号化等も行われておらず、そもそも極めてリスクの高い運用であった上に、そうしたルールですら厳守が徹底されていませんでした。しかも、ルールの遵守状況を実効的に確認できる仕組みは設けられていませんでした。
検証委員会の報告書では、個人情報をコピーした理由を「現場の都合を優先」したためとし、内規違反の常態化を「幹部は現場を知らないまま形式的な対応に終始」したからだとしています。また、個人情報をインターネットの環境下に置くことは、「官民問わず他の組織では考えられない」と批判しています。
機構では、情報セキュリティや個人情報保護に関する自己点検が毎月実施されていたとされていますが、各職員が個々で改善施策を検討することとされているなど組織的かつ統一的な対応、対策の有効性の検証などにおいて、その実効性が不十分であり、また、外部からの攻撃を想定した情報セキュリティ対策は監査対象とされていませんでした。また、機構本部が現場におけるルールの順守状況等について把握できる枠組みとなっておらず、現場に対するガバナンスが不十分な状況だったといえます。標的型攻撃を含むサイバー攻撃に対する対応は、機構及びこれを監督する厚労省のいずれにおいても不十分なものであり、高度化する攻撃に対応可能な体制が整備されていなかったことが個人情報の大量流出という深刻な事態につながったと言わざるを得ません。
(自主的に不備に気づく仕組みや、業務上の都合を優先することのリスクについて、来月以降の情報セキュリティトピックスで取り上げていきます。)
最近のトピックス
◆警察庁「平成27年上半期のサイバー空間をめぐる脅威の情勢について」
警察庁は9月17日、インターネット空間でのサイバー攻撃動向を半年ごとにまとめている「平成27年上半期のサイバー空間をめぐる脅威の情勢について」を発表しました。
今年上半期の特徴として「標的型メール攻撃の増加」と「サイバー空間における探索行為の増加」も取り上げています。
警察庁によると、攻撃が増えたのは昨年7~12月(下半期)で、同年上半期の216件から1507件に増加したとしています。上半期に把握した攻撃のうち、1347件(92%)は10カ所以上に一斉にメールを送る「ばらまき型」で、品物の発送代金の請求や業務連絡を装う内容が多く、英文が目立ったとしています。
また、新たな手口では、確定申告の電子申告・納税システム「e-Tax」の利用者への連絡を装うものが確認されています。その他にも差出人のアドレスが「scanner@」などで始まり、企業や公的機関と同じドメインで、職場の複合機のスキャナー機能で送信したように偽装されており、あたかも社内の複合機から文書が送付されたように見せかけていたり、Word文書が添付されており、開くと不正プログラムをダウンロードするものだったという手口も確認されています。
標的型攻撃メールは、機構の事例でも取り上げた通り、特定の組織や個人宛に送られるウィルス付きメールであり、PCを感染させ組織内に侵入するものです。標的型攻撃メールは、あたかも業務に関係があるメールであるかのように送信者名、件名、本文を巧妙に装っており、普段から注意し、あやしい添付ファイルは開かないように心掛けていても、送信者が業務に関係のある信頼できる組織で、メールの件名が自分の業務に関係がありそうなものになっていれば、つい信用して(あるいは、何の疑いもなく)メールを開いてしまう可能性があります。標的型攻撃によるメールは新しい手法ではありませんが、より関係者に近いように見せかけ、より精度の高い巧妙な手口でアプローチ、攻撃が可能になるので注意が必要です。
人の注意だけで騙しを完全に防ぐことは非常に困難ですが、一方で、実際の攻撃を見てみると、注意しさえすれば不審な点に気づける攻撃が多いことも事実です。典型的な手口を知るなどして攻撃に備え、多層的な防御策の一つとして、情報を取り扱う「人」の注意力を高める努力を怠らないことが肝心だと言えます。
※例えば、「全く心当たりのないメールが自分宛てに送られてきた」、「件名に【緊急】【重要】などのキーワードや殊更に目を引く内容が含まれている」「添付ファイルの拡張子が「exe」などの実行ファイルになっている」「件名や本文が拙い日本語になっている」など。
◆大阪商工会議所「企業におけるマイナンバー対応に関する緊急調査」結果について
10月16日、大阪商工会議所は「マイナンバー制度」への対応について、完了した企業は4.7%に留まったとする調査結果を発表しました。9割の企業が「対応中」と回答、資本金3億円以下の中小企業(35.2%)の1割超が「ほとんど何もしていない」と回答しており対応に苦慮している企業が多いことがうかがえます。
マイナンバー対応を「完了した」「対応中」と回答した企業のうち、困っている点について複数回答で尋ねた設問では、最も多かった回答は「マイナンバーの収集」(45.1%)、次いで社内の入退室管理などの「物理的安全管理措置」「マイナンバーの保管」(いずれも39.0%)で、セキュリティ面を懸念する回答が目立ちます。
◆内閣府「マイナンバー(社会保障・税番号)制度に関する世論調査の概要」
内閣府は「マイナンバー(社会保障・税番号)制度に関する世論調査」の結果を発表しました。調査対象は、全国20歳以上の日本国籍を有する3000人で、うち有効回収数は1773人となっています。
マイナンバー制度を知っているかについての設問では、「内容まで知っていた」は43.5%(今年1月調査では28.3%)、「内容は知らなかったが、言葉は聞いたことがある」は46.8%(同43.0%)、「知らなかった」は9.8%(同28.6%)という回答が得られています。本調査では、半年前の調査と比較して、マイナンバー制度に対する認知度が上がっていることが明らかになっています。マイナンバー制度における個人情報の取り扱いについて最も不安に思うことに関する設問では、「国により個人情報が一元管理され、監視、監督されるおそれがあること」は14.4%(同18.2%)、「個人情報が漏洩することによりプライバシーが侵害されるおそれがあること」は34.5%(同32.6%)、「マイナンバーや個人情報の不正利用により、被害にあうおそれがあること」は38.0%(32.3%)という回答多い結果となっています。昨今の個人情報やパーソナルデータへの関心の高まりや、実際に事故が多発していることもあり、特に不正利用やプライバイシーの毀損に対する懸念が高まっていると言えます。
◆特定個人情報保護委員会「特定個人情報の漏えい事案等が発生した場合の対応について」
▼事業者における特定個人情報の漏えい事案等が発生した場合の対応について
▼事業者における特定個人情報の漏えい事案等が発生した場合の対応について(Q&A)
特定個人情報保護委員会は、特定個人情報の漏えい事案その他の番号法違反の事案又は番号法違反のおそれのある事案が発覚した場合には、次の事項について必要な措置を講ずることが望ましいとしています。
- 事業者内部における報告、被害の拡大防止
- 事実関係の調査、原因の究明
- 影響範囲の特定
- 再発防止策の検討・実施
- 影響を受ける可能性のある本人への連絡等
- 事実関係、再発防止策等の公表
もし事故が起こってしまった場合の対応の流れは、これまでの個人情報漏えい事故対応と大きく変わることはありませんが、被害拡大防止や類似事故の防止、企業の説明責任の観点から、組織の透明性を確保するための積極的な情報開示の姿勢で臨む必要があります。(情報公開により被害の拡大が見込まれるケースを除いては、情報を公開することを前提とした対応が重要となります。)
マイナンバーはこれまで企業が管理していた情報よりも、機微性及びプライバシー保護の観点、漏えい時の情報主体・企業に及ぼすダメージ(病歴や所得といった機微な個人情報が収集・分析されるおそれ)の大きさ等から、さらに高次元の管理体制が要求されることになるとの理解が必要です 。
事故時の対応要領や相談は以下のサイトをご参照ください。
(4)最近の個人情報漏えい事故(2015年8月)
下記の表は、先月8月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 県 | 誤送付 | 1名分の寄付者の名前や住所、寄付額 | 封筒詰め作業時のチェックミス |
| 2 | 市立小学校 | USBメモリ紛失 | 児童71人分の氏名 | |
| 3 | 市立保育園 | メール誤送信 | 園児32人分の氏名や年齢のほか、保護者の氏名や住所などが記載されたファイル | メールアドレスの入力を誤り、そのまま関係のない第三者に誤送信 |
| 4 | 塾 | 書類紛失 | 受験生259人分の氏名や受験番号、在籍または卒業高校名 | 模擬試験の答案を電車内で紛失 |
| 5 | ガス | 書類紛失 | 顧客521件の氏名や住所など | 配送車が車上荒らしに遭い、車内に置いたままにしていた顧客台帳が盗難 |
| 6 | 放送 | メール誤送信 | 別の当選者1名の氏名や住所、年齢、性別など | エクセルのソート操作を誤り、メールアドレスと名前や住所が一致しない状態で一斉送信 |
| 7 | 市立病院 | USBメモリ紛失 | 患者16人の名前や病歴、検査結果など | 医局のパソコンからUSBメモリにデータを移し、白衣のポケットに入れていたところ、紛失 |
| 8 | ガス | 携帯端末紛失 | 顧客371世帯分の氏名や住所が記録されており、うち182世帯には口座番号 | 託先作業員が自宅から作業現場に向かう途中で、自転車のカゴに入れていた業務用携帯端末が入ったバックを紛失 |
| 9 | 県立高校 | 書類紛失 | 生徒の氏名や住所、緊急連絡先、家族構成などを書いた生徒個人票41人分 | 経緯不明 |
| 10 | 県立病院 | USBメモリ紛失 | 患者約2000人の氏名や住所、治療内容 | 経緯不明 |
| 11 | 市 | 書類紛失 | 国政調査回答状況確認表33枚が入っており、同市内100世帯分の氏名や住所、世帯員数 | 酒に酔った職員が駅前で寝入り、約1時間後に起きたところ鞄がなくなっていたもの。その後、鞄は駅のホームで拾得され、書類をすべて回収。 |
| 12 | 県 | メール誤送信 | 対象となる県内144の病院における事務担当者 | 誤ってTOにアドレスを入力 |
| 13 | 大学病院 | USBメモリ紛失 | 患者約3800人の氏名やID、性別、生年月日など | 私物のUSBメモリに入れ、個人ロッカーで保管していましたが、その後、紛失 |
| 14 | 私立大学 | USBメモリ紛失 | 学生624人の氏名や成績、出身校名など | 職員が手提げ袋を持って構内を移動中、階段で転倒して中に入れていた物を散逸し、回収して戻ったところ、入っていたUSBメモリがなくなっていた |
| 15 | 共済病院 | ノートパソコン紛失 | 患者155人分の氏名や性別、手術日などのデータ | |
| 16 | イベント企画 | システム障害 | 最大999人分のメールアドレス | |
| 17 | 薬局 | ノートパソコン紛失 | 関係者の氏名と住所583件のほか、法人名357件、メールアドレス230件など | 車上荒らしで盗難。ノートパソコン、ハードディスクには二重のパスワードを設定。 |
| 18 | レコード会社 | メール誤送信 | 一斉メール送信時のメールアドレス(1回目:468人分、466人分) | 誤ってTOに入力 |
| 19 | 地方銀行 | 書類紛失 | 顧客115人の氏名や住所、電話番号、生年月日、勤務先、最高限度額など | 他の書類とともに誤廃棄の可能性 |
| 20 | 通販 | 不正アクセス | 不明 | |
| 21 | 市 | レンタルサーバへ放置 | 約1000人分の氏名や住所、電話番号、生年月日、在学学校名、給与実績データ | 職員が個人で契約していたレンタルサーバから、同市の選挙システムや外郭団体職員の名簿などが、インターネット経由で流出。 |
| 22 | 大学病院 | USBメモリ紛失 | 退院後に心臓リハビリテーションを実施している患者217人の氏名や年齢、性別、ID、入退院日など | |
| 23 | 福祉協議会 | 誤公開 | 受講者41人の氏名や施設名、職名、上司の氏名やコメントのほか、職務や福祉の仕事に関する記述 | 個人情報が記載されたファイルを、誤ってウェブサイトに掲載 |
| 24 | 医療センター | USBメモリ紛失 | 患者16人の病歴や身体所見、検査結果、治療経過など含む症例要約 | 論文作成や学会発表用の資料を保存する目的で使用していたUSBメモリ |
| 25 | 地方銀行 | 書類紛失 | 顧客の氏名や電話番号、銀行名、口座番号、取引金額などが記載されていた「総合振込依頼書」576件。 | 誤廃棄の可能性 |
| 26 | 区 | 再委託先がDM送付 | 個人情報が委託先以外に流出した件数は923件 | 再々々委託業者が、受託した個人情報を関係ないダイレクトメールの送付などに流用 |
| 27 | 通販 | 不正アクセス | 不明 | |
| 28 | 通販 | 不正アクセス | 顧客のクレジットカード情報最大563件。氏名や住所、カード番号、有効期限のほか、セキュリティコードも含まれる。 | |
| 29 | 百貨店 | 不正アクセス | メールマガジンの会員情報1万2345件で、メールアドレスのほか性別や誕生年など | 委託先のウェブサーバに脆弱性が存在し、SQLインジェクション攻撃により情報が流出した可能性 |
| 30 | 県立病院 | USBメモリ紛失 | 患者2003人の氏名や住所、電話番号、治療内容、治療日、腫瘍の情報など | 医師が腫瘍の治療に関する研究会議で使用するためにデータを保存していたもの |
| 31 | 産業振興センター | メール誤送信 | 登録スタッフである専門家134人の氏名、報酬の振込先金融機関名、口座番号、報酬額、源泉徴収額、振込金額などが記載 | 誤って別のメーリングリストを指定 |
| 32 | 市 | 盗難 | 56世帯の世帯主氏名や住所、世帯人数など | 調査員の自宅に空き巣が入り、「調査世帯一覧」と「調査対象地域の地図」を収納していたブリーフケースが盗難。 |
| 33 | テレビ放送 | 送り状紛失 | 278人の送り状で、氏名と住所、電話番号 | 配送業務の委託先で紛失 |
| 34 | 労働局 | 書類誤廃棄 | 健康診断の結果報告書など安全衛生関係書類1346件をはじめ、監督関係書類348件、平均賃金決定関係書類94件、労災関係書類54件 | 配送業務の委託先で紛失 |
9月の事故の特徴として、医療・教育関連分野でのUSBメモリやノートPC紛失が多く確認できます。(事案番号:「2」、「7」、「10」、「13」、「14」、「15」、「23」、「24」、「30」)
企業・組織における情報漏えい事故の要因として、USBメモリ等の記憶媒体の紛失や従業員のデータ持ち出し、紙媒体紛失等の内部要因によるものが依然として多くの割合を占めています。上記事例のような持ち出しによる情報漏えいは、明文化されたルールがあるにもかかわらず(又はルールそのものがない場合も)、日常的にルールを逸脱する行為の「自己正当化」「ルールに対する規範意識の麻痺」がその背景にあると考えられます。
厳密にルールに照らせば正しくないという認識を持ちつつも、提出期限や納期などのやむに止まれぬ事情から、「作業・仕事を早く終わらせたい」という現実的な問題があり、その行為が日常的な行為として、いわば実務慣行として定着していくことで、ルール違反の感覚が希薄化(「麻痺」)し、次第に標準化され、個人的なルールとして「正当化」されてしまっている状況が、頻発する情報漏えいの背景にあると考えられます。
各施設で許可された記憶媒体であっても情報を複製して持ち出す場合は、必ずアクセスした記録が残る仕組みや、台帳に記載し管理することが必要です。また、USBメモリなどの記憶媒体に個人情報を保存する場合は必ず「匿名化」を実施することや、パスワード等を設定することが必要になります。
医療・教育現場では身体にかかる機微な情報を扱います。特にUSBメモリは小さく携帯性やデータの保存容量が優れている反面、盗難、置き忘れ、紛失等のリスクが高いため、取り扱いに関する十分な配慮が必要になります。また、USBメモリを私有パソコンに接続することで、インターネットファイル交換ソフトやマルウェアを介して個人情報が漏えいするリスクも高まります。さらに、不正アクセスの踏み台になる可能性もあります。そのため、USBメモリを使用する場合は、その危険性の周知やルールの徹底など管理体制のより確実な実施が求められます。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
