事件の概要
アメリカのOPM(連邦人事管理局)の報告書や関連報道によると、2015年6月4日、OPMのシステムが、中国の政府系ハッカー集団から不正にアクセスされ、情報が漏えいしたことが発覚しました。
これは標的型攻撃で、特定のターゲットに対して持続的に攻撃・潜伏を行ない、さまざまな手法を駆使して執勘なスパイ行為や妨害行為などを行なうタイプの攻撃(APT攻撃)のサイバー攻撃の一種と考えられています。
OPMは、アメリカのさまざまな政府機関に所属する人事情報を一括して管理する組織で、当初、公式に発表された被害規模は、現在および過去にアメリカ政府機関に所属した職員約420万人分の氏名、生年月日、住所、社会保障番号が漏えいしたというものでした。
しかし、最終的には過去から現在までの政府関係職員と契約者および職員に関係すると思われる人物2100万人分もの社会保障番号に対応した教育経歴、友人、親族、病歴犯罪歴などを含む個人情報と個人情報を登録するためのパスワド、110万件の指紋情報など、センシティブな個人情報が抜き取られていたことが発覚します。
この責任を取って、同局長官が7月10日、辞任を表明する事態になりました。
アメリカ合衆国国土安全保障省(DHS)によれば、2014年6月から2015年5月までの1年間にわたって、同攻撃者はアメリカ政府および民間の機関に対してPII (Personally Identifiable Information :個人情報)情報搾取を9回行なっており、OPMはその中の一対象にすぎないとされています。
なぜ、事件が起きたのか?
攻撃者は発覚の1年ほど前からOPMの人事情報を扱うITシステムに侵入、管理者特権を奪って情報を窃取していました。
システムのフロントとなるWebシステムEPICと、その背後のデータベースが対象でした。
これだけ大量のデータが漏えいしたのには、「標準様式86 (SF-86)」という文言フォーマットに原因があるといわれています。
アメリカでは、国内外で勤務する職員を採用する際には厳しい人物調査を実施しますが、「SF-86」が採用試験を受ける際に記入・提出する人事調書だったのです。
「SF-86」は、採用試験受験者の氏名、住所、連絡先、社会保障番号や出生地、出身大学等の経歴が細かく記されており、それらの情報を保証するためにそれらを証明できる人物を複数人リストアップし、その証明できうる人物についての住所や氏名、連絡先、社会保障番号といった個人情報も記入されていました。
したがって、一人の人間の調書に対して、十数人分もの個人情報が付帯されていたのです。
なぜ侵入を許したのか?
OPMが1年近くも侵入を発見できなかったのには理由がありました。
OPMのITシステムは全体で47あり、そのうち22を外部委託によって運営していました。OPMに配置されているセキュリティ運用チームには、外部委託したシステムがどう保護されているかといった具体的なセキュリティ対策が見えていませんでした。
つまり、これらのシステムに対するセキュリティ管理がまったくできていなかったのです。
さらに、2014年の監査の段階で既に指摘されていた11のシステムで、適切な認証が行なわれていなかったこともわかっています。
また、人事情報などのセンシティブな情報は、データベースやファイルサーバーに格納するに当たり、暗号化する規則になっていましたが、それも一部で行なわれてなかったという杜撰な体制でした。
システムの脆弱性が後に露見した形となったのです。
この情報流出によって、個人に対する被害として脅迫なども起こり得るという懸念もあるでしょう。
OPMの場合、監査を受けてセキュリティリスク指摘という問題解決のチャンスがありました。
こういった機会に、速やかに対処を検討・実行すべきであったといえるでしょう。
関連記事
その他の情報セキュリテイインシデント事例についてはこちらもご参照ください。