日本年金機構情報漏洩事件のすべて<事件から1年、彼らは本当に生まれ変わったのか>

この記事は約 8 分で読めます。


2015年5月、日本年金機構に対し外部から「標的型攻撃メール」が送られ、その結果年金管理システムに保管されていた125万人分の個人情報が漏洩しました。

組織の前身である社会保険庁の時代から「情報管理」において不祥事を多発していた日本年金機構。甚大な被害を出してしまった2015年の個人情報漏洩事件から1年が経った今、彼らはどの様に生まれ変わり、国民の年金情報管理を担っているのでしょうか。

今回は日本年金機構で起こった情報漏洩事件について、事件の経緯や原因、その後の対策、現在行われている情報管理方法まで調べてみました。

漏洩の経緯

2015年6月1日、日本年金機構は度重なる標的型攻撃メールにより125万件(101万4653人分)もの個人情報漏洩が起こった事実を公表しました。攻撃から漏洩事実公表に至るまでの経緯は下記です。

2015年5月8日 不審なメールが届く
職員1名がURLをクリックし、マルウェア感染
日本年金機構から不正通信が開始
NISCが不審な通信を検知、厚生労働省へ連絡
厚生労働省より連絡を受け、日本年金機構にて確認
感染端末特定、隔離、社内へ注意喚起
2015年5月12日 日本年金機構内全端末のウィルス対策ソフト更新
2015年5月15日 対策ベンダーよりウィルスの解析結果(問題ないとの報告)
2015年5月18日 不審なメールが届く
職員1名がメールを開封し、マルウェア感染
2015年5月19日 警視庁へ捜査依頼、公安部にて捜査開始
不審なメールが届く
2015年5月20日 不審なメールが届く
2015年5月21日 機構内端末2台から外部への大量の通信が発生
2015年5月22日 日本年金機構内全端末のウィルス対策ソフト更新
NISCが不審な通信を検知、厚生労働省へ連絡
不正通信が確認されたブロックのインターネット接続を遮断
2015年5月23日 システム管理会社より、不正通信発生の報告
機構内端末19台でマルウェア感染確認
不正通信を発信している部署のインターネット接続を遮断
2015年5月25日 全職員に対し注意喚起
機構内端末1台で感染確認
2016年5月26日 機構内端末4台で感染確認
2016年5月27日 日本年金機構内全端末のウィルス対策ソフト更新
2016年5月28日 警視庁から連絡を受け、日本年金機構が総務省等へ第一報を報告
2016年5月29日 機構内全端末からのインターネット接続を遮断
2015年6月1日 情報漏洩について発表

漏洩した情報

  • 年金加入者の氏名
  • 基礎年金番号
  • 生年月日
  • 住所

漏洩の原因

年金機構1漏洩は日本年金機構の職員宛てに送られた標的型攻撃メールにより起こりました。

ヤフーのフリーアドレスから送られたこのメールは、「厚生年金制度見直しについて(試案)に関する意見」等の件名で送信されており、開封や添付ファイルのダウンロードを行う事で、端末がウィルスに感染してしまったのです。

この不審メールによる標的型攻撃は複数回行われています。攻撃が発覚した5月8日以降「不審なメールに注意」との社内喚起が行われますが、具体的なメール内容については申し送りがなかった為、その後の度重なる攻撃により感染端末が増加、結果として125万件にも上る大規模な情報抜き取りが行われたのです。

被害を拡大させた二つの要因

ずさんな情報管理体制

ここまで被害が拡大した理由の一つとして、社内での情報管理の甘さが挙げられます。

年金情報は「機構LANシステム」に繋がるファイルサーバーから盗まれましたが、このファイルの存在自体が問題と言えます。また、社内ルールでは【やむを得ずサーバー内に個人情報を格納する場合にはパスワードをかけること】としていましたが、125万件の内55万件についてパスワードはかけられていなかったことが分かっています。

この様な状態を黙認する社内体制は、長年続いていたものと考えられています。

2004年3月 社保庁職員による未納情報などの業務目的外閲覧
個人情報漏洩の発覚
2006年5月 国民年金保険料の不正免除
2007年5月 社保庁のオンラインデータに多数のミスや不備が発覚(年金記録問題)
2010年1月 日本年金機構設立

数々の不祥事を起こした社保庁は解体されましたが、1万6000人の職員の内500人余りの解雇者を除き多くの職員は日本年金機構に移行しています。その為、社保庁の時代から続く「安全よりも効率を重視する傾向」は、機構設立後も一掃できず、過去の体制が引き継がれることとなってしまったのです。

事後対応のミス

年金機構

≪事件後の説明会≫日本年金機構水島理事長(中央)

被害拡大のもう一つの要因として、事後対応の失敗が挙げられます。

5月8日のメールに対し、機構では「ウィルスは外部に情報を漏洩するタイプのものではない」との誤った判断が行われ、送信元メールアドレスの受信拒否設定等の具体的対応は何一つ講じられませんでした。

その後、簡易的な社内喚起は行われますが、5月18日~20日にかけて送られた標的型攻撃メールで新たに開封者が発生し、更なる感染拡大が起こることとなります。

また、不正通信を感知したNISCからの情報が厚生労働省を経由する事で生まれるタイムロスにより、組織全体でのインターネット接続遮断等の各措置が遅れた点もマイナスに働きました。

<参考記事>
サイバーセキュリティ基本法の意味

漏洩後の年金加入者への対応

日本年金機構では2015年6月1日の情報漏洩発表後、年金加入者に対し文書にて通知が行われました。その後、流出が確定した加入者に関しては基礎年金番号の変更が行われ、不審な電話等に関する問い合わせ窓口が約2週間設置されています。

これら加入者への対応で、少なくとも8億円の経費が発生したことが2015年7月の衆議院厚生労働委員会にて明らかとなっています。

国としての対応

サイバーセキュリティ対策委員会では、日本年金機構の情報漏洩事件を受け、新たに下記内容の指導徹底が通達されました。

  • NISCの指示に基づき、インターネット接続がある府省庁情報システムで類似の攻撃を受けていないか点検
  • 各府省庁における個人情報を含む重要情報の適正管理を職員へ徹底
  • 独法、特殊法人等、重要情報を取り扱いについて改めて指導を徹底
  • これら全ての結果を迅速にNISCへ報告

情報処理推進機構(IPA)による監視が決定 ※2016年10月追記

2016年4月、「サイバーセキュリティ基本法」及び「情報処理の促進に関する法律」の改正案が参議院にて可決・成立され、同年10月に開催されたサイバーセキュリティ戦略本部にいて、サイバー攻撃の監視対象を新たに特殊法人へも拡大することが決定しました。

2015年に甚大な情報漏洩を起こしてしまった日本年金機構を含めた下記9つの法人を新たに監視対象とする方針が固まったのです。

  • 日本年金機構
  • 地方公共団体システム機構
  • 日本私立学校振興・共済事業団
  • 地方職員共済組合
  • 東京都職員共済組合
  • 全国市町村職員共済組合連合会
  • 公立学校共済組合
  • 国家公務員共済組合連合会
  • 地方公務員共済組合連合会

業務上マイナンバーの取り扱いが発生することにより、サイバー攻撃の被害により深刻な影響が予想される法人が対象となっているようです。

1 2

このページの内容にピッタリの製品・サービスの紹介

ネットワークセキュリティ製品一覧

デジタルな情報資産を保護するため、または、コンピュータネットワークにおける安全な運用を維持するための防衛策である。ネットワーク管理者により導入される方針および一貫し継続的な監視、それによる効果の評価までの作業全般で成立するものである。詳細はこちら
koyama
サイバーセキュリティ.com運営スタッフ。 日々セキュリティについて勉強中。

こちらのページもご覧ください。

メルマガ会員登録(無料PDFプレゼント)

メルマガ会員登録をしていただくと下記PDFもプレゼント!
0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策ハンドブック

企業における情報漏洩対策として重要な、セキュリティ対策のための知識として基本的な「まずは知っておくべき内容!」をピックアップし、約40ページのPDFに整理いたしました!

その具体的な内容は、


img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラから