日本年金機構情報漏洩事件のすべて<彼らは本当に生まれ変わったのか>|サイバーセキュリティ.com

日本年金機構情報漏洩事件のすべて<彼らは本当に生まれ変わったのか>



2018年3月に発生した漏洩事件についてはこちら
日本年金機構委託企業、年金情報データ入力作業を不正に中国企業へ再委託(2018年3月)

※2017年6月に発覚した、淀川年金事務所職員による加入者情報持ち出しの内容を追記しました。(2017年7月)


2015年5月、日本年金機構に対し外部から「標的型攻撃メール」が送られ、その結果年金管理システムに保管されていた125万人分の個人情報が漏洩しました。

組織の前身である社会保険庁の時代から「情報管理」において不祥事を多発していた日本年金機構。甚大な被害を出してしまった2015年の個人情報漏洩事件から1年が経った今、彼らはどの様に生まれ変わり、国民の年金情報管理を担っているのでしょうか。

今回は日本年金機構で起こった情報漏洩事件について、事件の経緯や原因、その後の対策、現在行われている情報管理方法まで調べてみました。

漏洩の経緯

2015年6月1日、日本年金機構は度重なる標的型攻撃メールにより125万件(101万4,653人分)もの個人情報漏洩が起こった事実を公表しました。攻撃から漏洩事実公表に至るまでの経緯は下記です。

2015年5月8日 不審なメールが届く
職員1名がURLをクリックし、マルウェア感染
日本年金機構から不正通信が開始
NISCが不審な通信を検知、厚生労働省へ連絡
厚生労働省より連絡を受け、日本年金機構にて確認
感染端末特定、隔離、社内へ注意喚起
2015年5月12日 日本年金機構内全端末のウィルス対策ソフト更新
2015年5月15日 対策ベンダーよりウィルスの解析結果(問題ないとの報告)
2015年5月18日 不審なメールが届く
職員1名がメールを開封し、マルウェア感染
2015年5月19日 警視庁へ捜査依頼、公安部にて捜査開始
不審なメールが届く
2015年5月20日 不審なメールが届く
2015年5月21日 機構内端末2台から外部への大量の通信が発生
2015年5月22日 日本年金機構内全端末のウィルス対策ソフト更新
NISCが不審な通信を検知、厚生労働省へ連絡
不正通信が確認されたブロックのインターネット接続を遮断
2015年5月23日 システム管理会社より、不正通信発生の報告
機構内端末19台でマルウェア感染確認
不正通信を発信している部署のインターネット接続を遮断
2015年5月25日 全職員に対し注意喚起
機構内端末1台で感染確認
2016年5月26日 機構内端末4台で感染確認
2016年5月27日 日本年金機構内全端末のウィルス対策ソフト更新
2016年5月28日 警視庁から連絡を受け、日本年金機構が総務省等へ第一報を報告
2016年5月29日 機構内全端末からのインターネット接続を遮断
2015年6月1日 情報漏洩について発表

漏洩した情報

  • 年金加入者の氏名
  • 基礎年金番号
  • 生年月日
  • 住所

漏洩の原因

年金機構1漏洩は日本年金機構の職員宛てに送られた標的型攻撃メールにより起こりました。

ヤフーのフリーアドレスから送られたこのメールは、「厚生年金制度見直しについて(試案)に関する意見」等の件名で送信されており、開封や添付ファイルのダウンロードを行う事で、端末がウィルスに感染してしまったのです。

この不審メールによる標的型攻撃は複数回行われています。攻撃が発覚した2015年5月8日以降「不審なメールに注意」との社内喚起が行われますが、具体的なメール内容については申し送りがなかった為、その後の度重なる攻撃により感染端末が増加、結果として125万件にも上る大規模な情報抜き取りが行われました。

被害を拡大させた二つの要因

ずさんな情報管理体制

ここまで被害が拡大した理由の一つとして、社内での情報管理の甘さが挙げられます。

年金情報は「機構LANシステム」に繋がるファイルサーバから盗まれましたが、このファイルの存在自体が問題と言えます。また、社内ルールでは

やむを得ずサーバ内に個人情報を格納する場合にはパスワードをかけること

としていましたが、125万件の内55万件についてパスワードはかけられていなかったことが分かっています。

この様な状態を黙認する社内体制は、長年続いていたものと考えられています。

2004年3月 社保庁職員による未納情報などの業務目的外閲覧
個人情報漏洩の発覚
2006年5月 国民年金保険料の不正免除
2007年5月 社保庁のオンラインデータに多数のミスや不備が発覚(年金記録問題)
2010年1月 日本年金機構設立

数々の不祥事を起こした社保庁は解体されましたが、1万6,000人の職員の内500人余りの解雇者を除き多くの職員は日本年金機構に移行しています。その為、社保庁の時代から続く「安全よりも効率を重視する傾向」は、機構設立後も一掃できず、過去の体制が引き継がれることとなってしまったのです。

事後対応のミス

年金機構

≪事件後の説明会≫日本年金機構水島理事長(中央)

被害拡大のもう一つの要因として、事後対応の失敗が挙げられます。

5月8日のメールに対し、機構では「ウィルスは外部に情報を漏洩するタイプのものではない」との誤った判断が行われ、送信元メールアドレスの受信拒否設定等の具体的対応は何一つ講じられませんでした。

その後、簡易的な社内喚起は行われますが、5月18日~20日にかけて送られた標的型攻撃メールで新たに開封者が発生し、更なる感染拡大が起こることとなります。

また、不正通信を感知したNISCからの情報が厚生労働省を経由する事で生まれるタイムロスにより、組織全体でのインターネット接続遮断等の各措置が遅れた点もマイナスに働きました。

漏洩後の年金加入者への対応

日本年金機構では2015年6月1日の情報漏洩発表後、年金加入者に対し文書にて通知が行われました。その後、流出が確定した加入者に関しては基礎年金番号の変更が行われ、不審な電話等に関する問い合わせ窓口が約2週間設置されています。

これら加入者への対応で、少なくとも8億円の経費が発生したことが2015年7月の衆議院厚生労働委員会にて明らかとなっています。

国としての対応

サイバーセキュリティ対策委員会では、日本年金機構の情報漏洩事件を受け、新たに下記内容の指導徹底が通達されました。

  • NISCの指示に基づき、インターネット接続がある府省庁情報システムで類似の攻撃を受けていないか点検
  • 各府省庁における個人情報を含む重要情報の適正管理を職員へ徹底
  • 独法、特殊法人等、重要情報を取り扱いについて改めて指導を徹底
  • これら全ての結果を迅速にNISCへ報告

情報処理推進機構(IPA)による監視が決定 ※2016年10月追記

2016年4月、「サイバーセキュリティ基本法」及び「情報処理の促進に関する法律」の改正案が参議院にて可決・成立され、同年10月に開催されたサイバーセキュリティ戦略本部にいて、サイバー攻撃の監視対象を新たに特殊法人へも拡大することが決定しました。

2015年に甚大な情報漏洩を起こしてしまった日本年金機構を含めた下記9つの法人を新たに監視対象とする方針が固まったのです。

  • 日本年金機構
  • 地方公共団体システム機構
  • 日本私立学校振興・共済事業団
  • 地方職員共済組合
  • 東京都職員共済組合
  • 全国市町村職員共済組合連合会
  • 公立学校共済組合
  • 国家公務員共済組合連合会
  • 地方公務員共済組合連合会

業務上マイナンバーの取り扱いが発生することにより、サイバー攻撃の被害により深刻な影響が予想される法人が対象となっているようです。

日本年金機構が行った具体的対策とは

事件後の2015年12月、機構は監督官庁である厚生労働省へ「業務改善計画」を提出し、事態の再発防止に向け計画を進めていくことを明言しました。2016年4月から具体的取り組みが開始されるとしたこの計画では、下記3点を目標に掲げています。

  1. 組織の一体化、内部統制の有効性の確保
  2. 情報開示の抜本的な見直し
  3. 情報セキュリティ対策の強化

組織面の強化

まず組織面では、2015年10月に「情報管理対策本部」を設置し、社内の情報管理を担う実行部隊を整備。さらに、インシデント専門対応チーム「機構CSIRT」を新たに設置し、セキュリティの有資格者が配属されることとなりました。この機構CSIRTでは、今後外部の専門家を積極的に契約していくとしています。

技術面の強化

次に技術面の強化として、情報流出を許してしまったシステム構造の改革が行われました。

機構内の情報共有に使用される「機構LANシステム」をインターネットから完全分離することを決定。また、元々インターネットに繋がっていなかった基幹系システムに関しても、生体認証等を行う専用端末のみでの閲覧に運用方法を変更しています。さらに、業務上必要となってくるインターネット接続については、上記の情報系、基幹系とは異なる端末を使用することでセキュリティリスクの低減を図るとしています。

業務運営面の強化

機構全職員を対象としたセキュリティ研修の実施を行うとともに、新たに設立されたインシデント対応専門チーム「機構CSIRT」の対応能力向上研修も行っていくことを発表。

機構内での新たなルールとなる情報セキュリティポリシーは厚生労働省のポリシーに準拠し、既存に比べより実効性の高いポリシーの中で運用を行っていくこととしました。

<参照サイト>

事件から一年、現在の組織の実態とは

事件から一年が経過した現在も、警視庁の捜査は続けられていますが、情報抜き取りを行った犯人の特定には至っていません。

事件後、組織内体制の抜本的改革を掲げた日本年金機構ですが、その取り組みが本当に意味を成しているのかは疑問が生じます。

2016年5月、機構は約1万9,000人に誤って文書を送付していた事実を公表しました。企業の名称変更等にシステムが対応できず対象者を誤ったとのことですが、これに対し、送付に至るまでに段階的な確認が行われていなかったのか、事件の経験が全く生かされていないのでは等怒りの声が多く挙がったのです。

参照日本年金機構、文書を誤送付 1万9000人に/日本経済新聞

民間企業であれば、加入者からの信頼失墜や事後対応の費用負担等で倒産に追い込まれてもおかしくない程の被害であったにもかかわらず、国に守られる特殊法人であるが故、現場レベルでの情報管理姿勢は事件発生当時と何の変貌も遂げていないように感じられます。

職員2名が加入者情報400名分を持ち出しか(2017年7月追記)

2017年6月29日、日本年金機構淀川年金事務所の職員1名、元職員1名が窃盗の疑いで大阪府警に逮捕されました。

参照元日本年金機構職員の逮捕について/日本年金機構(PDF)

事件の概要

容疑者の2名は、2014年10月~2016年2月の間に、年金事務所のパソコンから加入者情報(氏名、住所等)が記載された書面を印刷し盗み出したとされています。※内1名は2007年に退職しており、盗み出す加入者を指示していたとのこと。

2016年2月、機構が実施する情報漏洩防止の検査において事態が発覚。実際に情報持ち出しを行った容疑者は、「仕事のトラブルが発端となり、個人情報を持ち出すよう脅されていた」と供述しています。

そして機構では、下記の防止策を検討しています。

  • 執務室に監視カメラの設置
  • 私用物の持ち込みには透明の鞄を使用

組織全体としての情報セキュリティ意識の欠如

2015年5月に発生した125万件の個人情報漏洩事件の裏で、職員による情報持ち出しが行われていたことが発覚しました。世間を大きく騒がせた事件発生後もなお、職員2名は情報の持ち出しを続けており、これが事実であれば世間の年金機構への信頼回復は不可能のように思えます。

組織の情報セキュリティ体制を一新し、「情報管理対策本部」や「機構CSIRT」を設置した意味はあったのでしょうか。


SNSでもご購読できます。