プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2015年06月

2015title_0601
(画像はJIPDECのWebサイトより)

プライバシーマークの制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、「平成27年度プライバシーマーク付与事業者向け研修会」の参加受付を6月22日(月)10時から開始するとしていますので、本Blogでもご案内いたします。

開催日は下記の通りです。
大阪 7月16日(木) 大阪府立男女共同参画・青少年センター
東京 7月22日(水) ニッショーホール
札幌 7月28日(火) ACU
仙台 7月31日(金) ハーネル仙台
東京 8月28日(金) ニッショーホール
名古屋 9月 2日(水) ウインクあいち
広島 9月 4日(金) 広島国際会議場
大阪 9月 8日(火) グランキューブ大阪
福岡 9月11日(金) アクロス福岡
東京 9月30日(水) ニッショーホール


参加申込みの受付けは、JIPDECの公式サイトで6月22日10時(予定)から行うそうです。東京開催分はすぐに満員になると思いますので、お早めに動かれることをおススメします。(東京は1回の開催につき1社1名まで、それ以外は1回の開催につき1社2名までだそうです)

http://privacymark.jp/seminar/2015member/index.html

(私のコメント)
今回の研修会では「改正個人情報保護法対応」「マイナンバー対応」「内部不正対応」と要注目のテーマが並んでいますので、プライバシーマーク取得済み企業の方にはご参加をおススメいたします。


(画面はLAC社の分析資料より)

大きな問題となっている日本年金機構からの個人情報流出事件について、情報セキュリティの専門会社である会社ラック(東京都千代田区)による分析資料が公開されましたので、本Blogでもご紹介します。

(要旨)
今回の事件は「標的型サイバー攻撃」によるものである。年金機構では加入者の情報を「社会保険オンラインシステム」という基幹システムで管理されており、これはインターネットと接続された情報系システムとは接続はされておらず、本来は閉鎖ネットワークとなっていた。それにもかかわらず、何らかの理由により基幹システムから書き出された加入者情報が情報系システムに複製され、それが流出した。

今回の事件の原因は「公共団体は狙われやすいという意識を持たなかった」「実際の運用とシステムの実装がマッチしていない」「ウイルス対策と標的型攻撃の対策の違いが理解されていない」ことだ。

標的型サイバー攻撃に対する対策としては、「社員や職員の意識改革と教育」「事件・事故前提の組織体制構築」「事故対応チームの組織化」「セキュリティ監視と不正通信の洗い出し」「演習」といった取り組みが重要である。

今回の事件は衝撃的なものでもあり、危機感を持った方も多かったと思われるが、「内閣サイバーセキュリティセンターが早期に発見し、報告したこと」「年金機構が警視庁に届け出をしたこと」「警視庁が短期間に手を打ったこと」など評価できる点もあった。

http://www.lac.co.jp/security/report/pdf/20150609_apt_j001t.pdf

(私のコメント)
非常に分かりやすいまとめです。特に最後のところで書かれていますが、今回の不正アクセスを内閣サイバーセキュリティセンターが早期に発見したのは、素晴らしいことだったと思います。日本の公共部門の信頼性が問われる事件ではありますが、抜けている部分もあれば、しっかりしている部分もあったのだと思います。



50
(画面はお詫びの手紙のイメージ画像。日本年金機構のプレスリリースより)

大きな問題となっている日本年金機構からの個人情報流出事件について、続報をまとめておきます。

(1)標的型メール攻撃による流出と判明したようです。

年金機構は当初から「ウイルスメールによる不正アクセス」と発表していましたが、その後の報道によりますと
●5月8日に、外部に公開されている問い合わせ用のメールアドレスに対してメールが送信され、福岡事務所の職員がそのメールの添付ファイルを開いたことにより、そのパソコンがウイルスに感染した。
●5月18日に、非公開の職員の業務用アドレス(100程度)に対してメールが送信され、数十台のパソコンがウイルスに感染した。
●メールのタイトルは「『厚生年金基金制度の見直しについて(試案)』に関する意見」「給付研究委員会オープンセミナーのご案内」「厚生年金徴収関係研修資料」「医療費通知」など、不自然さが感じられないもの
●送付元のアドレスは、いずれもフリーメールで4つ
●ウイルスは新種のもので、既存のウイルス対策ソフトでは検出できなかった。
●加入者のデータはデータベースで管理しているが、事務処理の都合のためにエクスポートしたデータをCD-ROMに焼いて提供する場合があり、それがファイル共有サーバーに置かれていたものが流出した。
などの事実が分かってきました。

これはもう明らかに標的型メール攻撃です。外部から侵入するルートを確立し、そのルートを使って内部のパソコンを遠隔操作し、共有サーバーに置かれたファイルを外部に持ち出す。かなり専門的な知識のある者の犯行と思われます。

(2)年金機構は125万人の年金加入者にお詫びの手紙を出すそうです。

年金機構の3日のプレスリリースによると、情報が流出した125万人にお詫びの手紙を出すそうで、すでに3日の時点で9,000通を送り出したとのこと。コールセンターの設置、基礎年金番号の変更などの対応が記載されています。

(3)個人情報保護法とマイナンバー法改正の国会審議が止まっています。

個人情報保護法とマイナンバー法の改正案について、現在参議院での審議が行われており、今週中にも内閣委員会で採決の見通しでしたが、今回の事件を受けて、審議が止まっているようです。

(4)年金機構におけるマイナンバーの利用開始を遅らせる可能性も

そもそもマイナンバーは税と社会保障のためのものであり、年金機構での活用はその中心となっていますが、今回の事件を受けて、年金機構におけるマイナンバーの利用開始を遅らせる可能性もあるとの考え方も出されているようです。(6月3日衆院厚生労働委員会の集中審議にて向井内閣審議官発言)

ということで、今回の流出事件の波紋は大きく広がっています。

年金機構の6月3日プレスリリース
http://www.nenkin.go.jp/n/data/service/0000150603ddieLmeUbc.pdf

(私のコメント)
「送られてくるメールはホンモノのメールと見分けがつかないほどよく出来ている」「使用されるウイルスは一般には出回っていないので、ウイルス対策ソフトでは引っかからない」ことから、実際のところ、標的型メール攻撃に関しては対策が非常に困難であり、完全な防止策は存在していません。これはどんな組織でも同じです。ただし、データベースから書きだした加入者データをファイル共有サーバーに置いていたというのはもう基本中の基本が守られていなかったということで、ここが最大の問題だと思います。もしそのような処理を行う必要があるのであれば、インターネットと切り離されたネットワークで取り扱うべきだったと思います。

24
(画面は日本年金機構のWebサイトより)

昨日から報道で話題となっている日本年金機構からの個人情報流出事件について、まとめておきます。

まず、日本年金機構とは、旧社会保険庁を廃止した後に新設された特殊法人であり、国民年金、厚生年金などの手続きを全て行っています。また、全国健康保険協会(協会けんぽ)の資格取得などの取扱いについても、窓口としての業務を行っています。したがって、事実上ほぼ全ての成人国民と、一部の扶養家族の個人情報を扱っている団体と言えます。

今回流出した情報は、年金加入者の「基礎年金番号」「氏名」「生年月日」など約125万件であり、そのうち約5万件に関しては「住所」も含まれていたそうです。

原因としては、外部からの電子メールに添付されていたウイルスを開いたことによる不正アクセスとされています。まだ詳細は分かっていませんが、下記のような流れのようです。
(1)同機構の職員のメールアドレスに複数のウイルス付き電子メールが送信された
(2)福岡の事務所で使用されていたパソコンでメールが開かれてウイルスに感染
(3)機構内部の複数のパソコンがウイルスに感染し、不正アクセスの踏み台になった
(4)共有サーバーに保存されていた加入者のデータが外部に送出された。

同機構では、緊急にインターネットとの接続を遮断するなどの対策を取ると同時に、対象となる加入者にお知らせを送付し、基礎年金番号を変更するなどとしています。

http://www.nenkin.go.jp/n/data/service/0000150601ndjIleouIi.pdf

(私のコメント)
上記の情報からすると、一番大きな問題は(4)の「共有サーバーに加入者の大量のデータが置いてあった」ということじゃないかと思います。データベースで管理された加入者の情報こそが守るべきものであり、そこから書きだされたデータが何らかの形で共有サーバーに保存されていて一般の職員のアカウントでアクセスできたというのでは、セキュリティの原則の初歩の初歩が実践されていなかったということになります。

↑このページのトップヘ