日本年金機構の情報流出、全拠点での通信遮断は最初のウイルス感染から3週間後

　日本年金機構（東京）の個人情報流出事件で、機構側の情報管理のずさんさや対応の遅れが明らかになった。なぜ、125万件もの大量の個人情報が流出しなければならなかったのか。「適切対応で被害拡大は免れた」。専門家は指摘している。

　機構の対応の遅れが被害悪化を招いたとされる。最初に不審なメールが届いたのは5月8日だった。九州ブロック本部（福岡市）の入札参加希望業者を受け付けるメールアドレスがねらわれた。件名は「『厚生年金基金制度の見直しについて（試案）』に関する意見」と職員の関心をひくものだったという。担当職員は添付ファイルを開封し、パソコンはウイルス感染した。

　ただ、異変はすぐに察知される。開封で不審な通信が出始めたのを行政機関へのサイバー攻撃対策を担う「内閣サイバーセキュリティセンター」が発見。連絡を受けた機構は、すぐに職員のパソコンを外部のネットワークと遮断した。

　情報セキュリティー会社に解析も依頼し、機構内の全パソコンに、このウイルスを駆除するソフトを入れたが、機構全体で外部通信を遮断する措置が取られることはなかった。サイバー犯罪に詳しい甲南大法科大学院の園田寿教授（刑法）は「この時点で外部との通信を完全に遮断していればこれほどの被害は出なかっただろう」とみている。

　数日後、さらなる異変が確認される。東京の機構本部の入札関連部署に最初とは別のウイルスが仕組まれた不審なメールが届く。1人が開封し、18日に新たなウイルス感染が発覚した。

　機構は19日、警視庁に被害を相談し、九州ブロック本部と機構本部で順次外部通信を遮断した。ただ、28日、警視庁からの連絡で大量の情報流出が明らかになる。機構が、ようやく全拠点での外部通信遮断に踏み切ったのは翌29日になってからで、最初の攻撃から3週間が経過していた。

　園田教授は「情報管理への意識の低さや内部の判断ミスなどが複合的に重なり今回の大量情報流出を招いた。技術的な安全システムを有していても人的要因で簡単に流出に発展する恐れがあることを改めて思い知らされた」と話している。

◇

　今回の事件で狙われたのは、個人情報が特定されない基幹システムではなく、職員が使うパソコン端末だった。職員が作業のため情報を抜き出し、同じパソコンでインターネット接続していたことが、ウイルス侵入を招いた。

　機構や厚生労働省によると、年金の受給額を含めた個人情報は「社会保険オンラインシステム」と呼ばれる基幹システムで管理。基礎年金番号や住所、氏名、生年月日は個人を特定できないようバラバラに保管されている。だが、年金加入者に通知などを送る際、昭和39年から稼働するシステムのプログラム上、作業が難しく、一度情報を外に出す必要があるという。

　このため、機構では業務に必要な場合に限り、パソコン端末を使ってシステムに接続。対象者の個人情報を引き出し、職員がパソコンで作業できる仕組みをとっていた。情報セキュリティー大手「トレンドマイクロ」によると「一般的に個人情報を扱う場合、基幹システム内で作業をするが、情報を移すこと自体は悪いとはいえない」という。

　ただ、機構では情報を移したパソコンでインターネット接続し、パスワードを設定すれば情報をパソコンに保管することも可能だった。今回のケースでは、引き出した個人情報がパソコン内にある状態でウイルスメールを受信し、職員が添付ファイルを開いたことで情報が流出。部署ごとに結ばれた「情報系システム」と呼ばれるサーバーを介し、数十台のパソコンに感染が拡大した。

　大手セキュリティー「シマンテック」の担当者は「ウイルスが進入するための入り口をわざわざ用意していたようなもの。特に機密の高い情報を扱う際は細心の注意が必要で、管理が甘かった」と話している。

[産経新聞社]