日本年金機構の加入者情報流出問題で、警視庁公安部はウイルスに感染して情報を抜き取られたパソコンの通信記録などの痕跡をたどり、サイバー攻撃の発信元を特定する捜査を進めている。だが、攻撃者は追跡を困難にするために複数のサーバーを経由させるなどしており、全容解明に向けたハードルは多い。過去の大規模なサイバー攻撃と同様に、捜査は長期化も予想される。

　「年金機構から流出したと考えられるデータを発見した」。警視庁から機構に連絡が入ったのは先月２８日。機構が同庁に相談してから１０日目だった。ウイルスに感染した機構職員らのパソコンは、外部の複数の箇所に大量のデータ通信をしており、流出した個人情報の一部とみられるデータが東京都港区の海運会社のサーバーから見つかった。

　今回のような標的型メール攻撃と呼ばれる方法は、ウイルス感染したパソコンに遠隔操作で指示をしたり、抜き取った情報を保管したりすることを目的に、無関係のサーバーを「乗っ取る」ことが多い。海運会社のサーバーも攻撃者に乗っ取られたとみられ、同社の担当者は「警察からの連絡で初めて知った」と話す。

　警視庁は既に、関係するサーバーなどの任意提出を受け、通信記録を分析。発信元や流出経路を調べているが、ハードルがある。まず、無関係の複数のサーバーを経由する方法で攻撃を仕掛けるなど、発信元を分かりにくくしている点だ。また、機構職員のパソコンに送られたメールは、アドレスの取得が簡単で匿名性の高いヤフーなどのフリーメールが使われていた。情報セキュリティー会社・ラックの担当者は「サイバー空間に残っている痕跡だけで容疑者を特定するのは極めて難しい」と言う。

　２０１１年８月に発覚した三菱重工業に対する標的型メール攻撃では、年賀状を装ったメールが送られ、感染したパソコンから欧米やアジアなど１４カ国・地域のサーバーとの通信が確認された。昨年９月に国会議員や大手メーカーなどに送られた「医療費給付」を装う攻撃は、ウイルスのプログラムに中国語の簡体字が使われていた。標的型メール攻撃は海外が絡むことが多いが、今回の事件でも一部のメールは海外のサーバーを経由して送られている。

　海外サーバーの通信記録を調べるには、国際刑事警察機構（ＩＣＰＯ）を通じて管轄の捜査当局に照会する必要がある。相手国の対応によっては回答を得るのに半年程度かかるケースもあるという。

　１１年の三菱重工業への攻撃で警視庁は、関与したサーバーの一つが中国籍の女性名義で借りられていたことを突き止め、中国政府に情報提供を要請したが、回答はなく、容疑者の検挙に至らなかった。捜査幹部は「データの解析を積み重ねて流出経路の特定を進めていくことになるが、長期戦も覚悟している」と話す。【堀智行】