50
(画面はお詫びの手紙のイメージ画像。日本年金機構のプレスリリースより)

大きな問題となっている日本年金機構からの個人情報流出事件について、続報をまとめておきます。

(1)標的型メール攻撃による流出と判明したようです。

年金機構は当初から「ウイルスメールによる不正アクセス」と発表していましたが、その後の報道によりますと
●5月8日に、外部に公開されている問い合わせ用のメールアドレスに対してメールが送信され、福岡事務所の職員がそのメールの添付ファイルを開いたことにより、そのパソコンがウイルスに感染した。
●5月18日に、非公開の職員の業務用アドレス(100程度)に対してメールが送信され、数十台のパソコンがウイルスに感染した。
●メールのタイトルは「『厚生年金基金制度の見直しについて(試案)』に関する意見」「給付研究委員会オープンセミナーのご案内」「厚生年金徴収関係研修資料」「医療費通知」など、不自然さが感じられないもの
●送付元のアドレスは、いずれもフリーメールで4つ
●ウイルスは新種のもので、既存のウイルス対策ソフトでは検出できなかった。
●加入者のデータはデータベースで管理しているが、事務処理の都合のためにエクスポートしたデータをCD-ROMに焼いて提供する場合があり、それがファイル共有サーバーに置かれていたものが流出した。
などの事実が分かってきました。

これはもう明らかに標的型メール攻撃です。外部から侵入するルートを確立し、そのルートを使って内部のパソコンを遠隔操作し、共有サーバーに置かれたファイルを外部に持ち出す。かなり専門的な知識のある者の犯行と思われます。

(2)年金機構は125万人の年金加入者にお詫びの手紙を出すそうです。

年金機構の3日のプレスリリースによると、情報が流出した125万人にお詫びの手紙を出すそうで、すでに3日の時点で9,000通を送り出したとのこと。コールセンターの設置、基礎年金番号の変更などの対応が記載されています。

(3)個人情報保護法とマイナンバー法改正の国会審議が止まっています。

個人情報保護法とマイナンバー法の改正案について、現在参議院での審議が行われており、今週中にも内閣委員会で採決の見通しでしたが、今回の事件を受けて、審議が止まっているようです。

(4)年金機構におけるマイナンバーの利用開始を遅らせる可能性も

そもそもマイナンバーは税と社会保障のためのものであり、年金機構での活用はその中心となっていますが、今回の事件を受けて、年金機構におけるマイナンバーの利用開始を遅らせる可能性もあるとの考え方も出されているようです。(6月3日衆院厚生労働委員会の集中審議にて向井内閣審議官発言)

ということで、今回の流出事件の波紋は大きく広がっています。

年金機構の6月3日プレスリリース
http://www.nenkin.go.jp/n/data/service/0000150603ddieLmeUbc.pdf

(私のコメント)
「送られてくるメールはホンモノのメールと見分けがつかないほどよく出来ている」「使用されるウイルスは一般には出回っていないので、ウイルス対策ソフトでは引っかからない」ことから、実際のところ、標的型メール攻撃に関しては対策が非常に困難であり、完全な防止策は存在していません。これはどんな組織でも同じです。ただし、データベースから書きだした加入者データをファイル共有サーバーに置いていたというのはもう基本中の基本が守られていなかったということで、ここが最大の問題だと思います。もしそのような処理を行う必要があるのであれば、インターネットと切り離されたネットワークで取り扱うべきだったと思います。



●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)