日本年金機構への標的型攻撃 どんな情報をどこでどのように扱うのかを考える

近年の情報流出事件に、日本年金機構からの個人情報流出事件があります。

平成27年5月21日から23日までの3日間で、日本年金機構が管理していた基礎年金番号、個人の氏名、住所などの情報が流出しました。

流出した個人情報は125万件にのぼり、その件数の多さ、年金番号という公的情報の重要性という観点から大きな社会問題となったのです。

事件概要

平成27年5月8日、日本年金機構の公式HPに掲載されている公開アドレス宛てに、不正プログラムを蔵置した商用オンラインストレージへのリンクが張られた不審メールが送られました。

5月18日~19日、「給付研究委員会オープンセミナーのご案内」、「厚生年金徴収関係研修資料」といった件名で機構職員の非公開アドレス宛てに送信された不審メールを確認。

不審メールには不正プログラムが添付されていたり、不正プログラムが蔵置された商用オンラインストレージへのリンクが張られたりしていました。

5月20日、「医療費通知」という4件目の不審メールが公開アドレス宛てに送り込まれ、7台のパソコンが感染。

ローカル管理者権限を奪取され、4台が遠隔操作下に置かれました。

翌21日、さらに17台のパソコンが感染し、1台が遠隔操作下に置かれ、この時点で接続先Xとの通信を発生させることに成功した攻撃者によって22日に感染が拡大。

接続先への通信によって、約125万件分の個人情報が流出してしまいました。

サイバー攻撃はどのように行なわれたのか?

この事件は手の込んだ外部攻撃でした。

最初の攻撃であった「厚生年金に対する意見」というマルウェア付きの不審メールが送られた段階で、非公開のメールアドレスが窃取されたといわれています。

この時点では遠隔操作下に置かれるには至っていませんでした。

この事件においては、非公開のメールアドレスを入手するために、攻撃者は年金機構のHPで公開されているメールアドレスに対してマルウェア付きのメールを送り込むという手法を用いました。

マルウェアは、感染先のPC内にあるメールソフトのアドレス帳を探し、その中にあるメールアドレスを自動的に外に送ります。

攻撃者は、この手法で非公開の個人メールアドレスを入手したと想定されています。

2件目以降の攻撃では、入手した非公開の個人メールアドレスに対し、開封を誘うような件名(タイトル)が付いたメールが送られました。

これ以後は非公開アドレスである個人宛てのメールなので、開封される確率は格段に高くなります。

「給付委員会のオープンセミナーのご案内」「研修資料」といった件名が巧妙に仕組まれていました。

その後もそれらのメールが送られ続け、4通目の「医療費通知」という件名で送り込まれたマルウェアによって、感染したPCにバックドアが仕桂トけられ、直接外部からその端末にログインが可能になったと考えられます。

こうして、感染端末を経由して内部のネットワークに侵入、ファイルサーバーから基礎年金番号付きの個人情報が窃取されていったのです。

こういった形は、典型的な標的型攻撃のパターンといえます。

標的型攻撃の場合、1通目のメールから、いきなり目的の情報が狙えるわけではありません。

攻撃者はそこで取れる情報のみを取り、そこで得た情報を手掛かりに次の攻撃を行ないます。

このような攻撃を「APT(Advanced Persistent Threat :持続的標的型攻撃)」と呼んでいます。

どのような脆弱性があったのか?

年金機構の例では、バックドアが仕掛けられたパソコンからファイルサーバーにアクセスされ、重要な情報ファイルが窃取されてしまいました。

しかし、ファイルサバーにアクセスする場合のID・パスワードといった認証が適切に行なわれていれば、ファイルサーバーに置かれているファイル自体に暗号が掛かっていれば、情報流出は防止できたはずです。

そうしたきめ細かな管理が行なわれていなかったことが問題であるとも指摘されています。

本来、年金の個人情報は、非常に堅牢で、かつインターネットに接続していない基幹システムに入っています。

ところが、事務作業を行なう人たちは、事務処理作業を行なうために、基幹システムから自分たちが日常的に使用している業務システムへと情報を移動してくる必要がありました。

事務処理をするために、CDROMを使って基幹システムから情報を持ち出し、暗号化せずにその情報をファイルサーバに置いていたのです。

また、CD-ROM上の情報を加工・編集して、また元に戻すことも日常業務の中で行なわれていました。

個人情報や営業機密情報について、原本を守ることばかりに目が行きがちです。

その情報がどのように、どういった業務で使われ、どこにリスクがあるのかという確認を怠ったために発生した典型的な事件であるといえるでしょう。

この日本年金機構の事件では、セキュリティ対策の行なわれている基幹システムから、外部へと繋がる業務システムへ個人情報が移動されていたという日常のプロセスが、情報流出の一因となっていました。

セキュリティのチェックをする際には、ビジネスプロセスに基づいて、「どういった情報」を「どの段階」で「どう扱っているか」を洗い出した上で、必要な対策が何なのかを考えなければなりません。

関連記事

近年の日本における情報流出事件の事例として「日本年金機構への標的型攻撃」について見てきました。

日本のサイバーセキュリティに関する三大脅威として、他に

  • 「大手都市銀行を騙るフィッシング詐欺」

大手都市銀行を騙るフィッシング詐欺とは?  アクセス認証強化とボットネット

  • 「ベネッセの内部犯行による名簿流出」

内部犯行・金銭目的による名簿流出 「名簿の売買移転」は規制されていない!

についてもそれぞれ紹介しているので、合わせてご覧ください。

その他の情報セキュリテイインシデント事例についてはこちらもご参照ください。

情報セキュリテイインシデント事例 まとめ

シェアする

  • このエントリーをはてなブックマークに追加

フォローする