(cache) 日本年金機構の情報漏えいについてまとめてみた

2015年6月1日、職員PCがマルウェアに感染したことにより、情報漏えいが発生したことを日本年金機構が発表しました。ここでは関連情報をまとめます。

公式発表

日本年金機構

厚生労働省

サイバー セキュリティ対策推進会議（ＣＩＳＯ等連絡会議）

日本年金機構の件を受けて緊急開催された。

企業年金連絡協議会

2015年6月3日緊急のお知らせ
2015年6月5日緊急のご連絡（平成２７年６月５日）

概要

現在判明している情報を絵にまとめると次の通り。

タイムライン

インシデント関係

日時	出来事
2015年5月8日 10時28分	日本年金機構九州ブロック本部に対して不審なメールが届く(不審メール1回目)
〃10時49分	九州ブロックの職員一人が不審メールのURLをクリックし、マルウェアをダウンロード・感染
〃10時50分頃	日本年金機構から不正通信が開始。
〃	NISCが不審な通信を検知し、厚生労働省情報担当参事官室に連絡。*1
〃	厚生労働省年金局から日本年金機構に連絡。
〃	日本年金機構の通信システムから不正アクセスの記録を確認。
〃15時25分	感染端末1台をネットワークから隔離
〃	日本年金機構が全職員に対して注意喚起（1回目)
2015年5月9日	ウィルス対策ソフトの既知のパターンシグネチャでは検出できないことが判明
2015年5月11日	日本年金機構が厚生労働省へ報告
2015年5月12日	日本年金機構内全端末のウィルス対策ソフトを更新。(1回目)
2015年5月15日	ウィルス対策ベンダが外部に情報漏えいするタイプではないと解析結果を報告*2
2015年5月18日 9時51～52分	複数の職員に対して不審なメールが届く(不審メール2回目)
〃午後	複数の職員に対して不審なメールが届く(不審メール3回目)
〃	日本年金機構が全職員に対して注意喚起(2回目)
〃	東京本部の職員一人が開封・感染し、日本年金機構へ不正アクセスが行われる。
2015年5月19日	日本年金機構が警視庁高井戸署へ捜査依頼
〃	警視庁公安部が捜査を開始*3
〃午後	複数の職員に対して不審なメールが届く(不審メール4回目)
2015年5月20日	複数の職員に対して不審なメールが届く(不審メール5回目)
2015年5月21日～23日	日本年金機構人事管理部の端末2台から外部へ大量の通信が発生。*4
2015年5月22日	日本年金機構内全端末のウィルス対策ソフトを更新。(2回目)
〃	NISCが厚生労働省へ不正な通信を検知したと連絡
〃	機構内端末2台でマルウェアの感染を確認
〃	日本年金機構が不正通信を確認した地域ブロック本部のインターネット接続を遮断
2015年5月23日	システム管理会社から日本年金機構から不正な通信が発生していると連絡。*5
〃	機構内端末19台でマルウェアの感染を確認。
〃	不正通信を発信している部署のインターネット接続を遮断
2015年5月25日	日本年金機構が全職員に対して注意喚起(3回目)
〃	機構内端末1台でマルウェアの感染を確認
〃	厚生労働省担当課長、審議官に当該事案の情報が伝わる。
2015年5月26日	機構内端末4台でマルウェアの感染を確認
2015年5月27日	日本年金機構内全端末のウィルス対策ソフトを更新。(3回目?)
2015年5月28日	警視庁が日本年金機構へ当該事案に関する連絡が行われる。
〃 18時43分	２ちゃんねるへ当該事案関連と思われる書き込みが行われ始める。
〃夕方	日本年金機構が関係各所(総務省等)へ第一報を連絡
2015年5月29日昼	日本年金機構が関係各所へ概要を報告。
〃	日本年金機構が当該事案を受け、全機構内からのインターネット接続を遮断
〃	官房長官が徹底調査を指示。
2015年5月30，31日	官房長官が流出全容の把握を指示し、NISCの緊急対応支援チームを派遣。*6
2015年6月1日	日本年金機構が情報漏えいについて発表。
2015年6月3日	厚生労働省が日本年金機構の情報漏えいについて見解を発表。
〃	漏えいした年金加入者へ通知文の発送を開始。*7
〃	日本年金機構が理事長名でお詫びを掲載。
2015年 6月6日 15時半頃	外部より日本年金機構のWebサイトに脆弱性があると連絡を受けたことにより一時閉鎖

国・政府関係

日時	出来事
2015年6月1日	安倍首相が厚生労働省に年金受給者のことを第一に考え、万全を期すよう指示したと記者会見で回答*8
〃	厚生労働相が当該事案を受け記者会見。*9
〃	社会保障・税改革担当相がマイナンバーへの影響はないと当該事案による影響を否定。*10
〃	総務相が住民基本台帳ネットワークへの不正アクセスはなかったと発表。*11
〃	政府でサイバーセキュリティ対策推進会議が開催され当該事案に関する報告・指示が行われる。
2015年6月2日	民主党が通常法案の審議は当該事案の区切りがつくまで出来ないと記者会見で回答。*12
〃	公明党、野党各党が日本年金機構、警察庁、厚生労働省等を対象にヒアリング。
2015年6月3日	官房長官が記者会見でサイバーセキュリティ戦略の見直しを発表。*13
〃	衆院厚生労働委員会において当該事案に関する集中審議*14
2015年6月4日	厚生労働省に第三者委員会「日本年金機構不正アクセス事案検証委員会」が設置。
2015年6月5日	防衛相が防衛分野の情報は確認されなかったと報告。*15

便乗詐欺関連

日時	出来事
2015年6月2日	警察庁が全国の警察へ不審な電話が確認されているとして便乗詐欺について注意を通知。*16
2015年6月3日	消費者庁長官が詐欺電話について注意を呼びかけ。*17
〃	国民生活センターが便乗詐欺電話について注意喚起
〃	日本年金機構が当該事案に便乗した詐欺電話に関する注意喚起を発表。
2015年6月4日	金融庁が金融機関へ当該事案に便乗した不正防止を要請したことを発表。

被害詳細

マルウェアの感染状況

発表・判明している感染状況は27台の端末。尚、職員の端末にはウィルス対策ソフト(McAfeeの可能性有り)が導入されていたが検知されなかった。*18

感染部署	台数	感染確認日	感染原因
九州ブロック本部(福岡県)*19	端末1台	2015年5月8日	2015年5月8日に届いたマルウェア付メールを開封したことによる
九州ブロック本部	端末2台	2015年5月22日	詳細不明 1台は感染後職員に新たに貸与された端末
東京本部人事管理部*20	端末19台	2015年5月23日	この内2台から大量の通信が発生。
東京本部人事管理部	端末1台	2015年5月25日	詳細不明
東京本部人事管理部	端末4台	2015年5月26日	詳細不明

日本年金機構のファイル共有サーバー内の情報が流出

あるフォルダとその配下のサブフォルダ、ファイル一式が窃取された。AccessやExcelファイルが格納されている。*21
日本年金機構は加入者の個人情報以外の漏えいを否定。*22

漏えいした内容・件数

日本年金機構は6月1日時点で基礎年金番号、氏名、生年月日、住所の全て、またはいずれかが含まれる合計125万件が流出したと考えられると発表。

125万件は現時点で把握している件数であり、想定される最大の流出件数把握していない。
4つの情報すべてが含まれる380個のファイルには重複を除くと約1.6万人が含まれていた。*23

漏えいした情報がどのように管理されていたか(ファイル形式や数等)は日本年金機構は公式発表では明らかにしていないがメディアからはその内訳、パスワードの設定状況などが報じられている。*24 *25 *26

尚、個人情報が記録されたファイルの取り扱いについては次のルールが定められていた。

ファイル共有サーバーへは個人情報が記録されたファイルは原則格納禁止
格納が必要な場合は、アクセス制限やパスワード付与の設定が必要
どのような個人情報ファイルを格納したのか総務部へ連絡が必要

日本年金機構内基幹システムへの被害有無

日本年金機構は2015年6月1日発表時点で不正アクセスは確認されていないが現在精査中であると発表している。
物理的に接続した状態にあるが、設定上は通信ができる状態になっていない。*27

基幹システム（社会保険オンラインシステム）からファイル共有サーバーへ個人情報を格納する業務

ファイル共有サーバーは全国、ブロック、県、拠点と階層構造になっている。
ファイル共有サーバーには基幹システムからCD-ROMなどを通じて抽出した個人情報が保存されていた。
抽出した理由はある業務(連絡・通知を目的とする年金加入者リストの作成・送付等*28 )で使用するため。
少なくとも2010年1月の機構発足当時からこの業務は行われていた。

情報漏えいの流出先

東京都港区の海運業者のサーバーに漏えいした個人情報の一部が保存されていた。*29
2015年5月19日に被害相談を受けた警視庁が捜査を進めたことにより判明。*30

不審メール・不正アクセスの詳細

感染した端末を通じてファイル共有サーバーに対して不正アクセスが行われた。
日本年金機構に届いた不審メールのパターンはメールアドレスやタイトルを組み合わせ*31して少なくとも5種類が確認されている。*32
不審メールの内、2つのメール（「給付研究委員会オープンセミナーのご案内」と「厚生年金基金の見直しについて（試案）に関する意見」）は企年協Webサイトに掲載されている文面が利用されていたことが判明している。*33

不審メールを受信した日本年金機構の部署・メールアドレス

報道によれば不審メールと受信した部署、通数などは次の通り。*34

受信日	受信部署	件名	攻撃方法	通数
2015年5月8日 10時28分	日本年金機構九州ブロック本部 (外部調達用アドレス35 36 )	「厚生年金基金制度の見直しについて（試案）」に関する意見	URL型	3通
2015年5月18日 9時51、52分	一般に公開されていない職員宛*37	給付研究委員会オープンセミナーのご案内	ファイル添付型	100通
2015年5月18日午後	不明	厚生年金徴収関係研修資料	URL型 or ファイル添付型	17通
2015年5月19日午前	不明	厚生年金徴収関係研修資料	URL型 or ファイル添付型	1通
2015年5月20日午後	不明	【医療費通知】	ファイル添付型	3通

以下は日本年金機構が注意喚起を行った際に取り上げられていた不審メールの４つの例。*38 *39

不審メール (1)

受信日	2015年5月8日午前
通数	3通
件名	「厚生年金基金制度の見直しについて（試案）」に関する意見
差出人	＊＊＊＊@yahoo.co.jp（フレンドリー名不明）
ＵＲＬ記載	Yahoo!ボックスのＵＲＬが記載
本文	（読み取れず）

Yahoo!ボックスはYahoo!Japanが運営するオンラインストレージサービス。
厚生省のWebサイトに掲載されている名称が同じ文書が存在する。

不審メール (2)

受信日	2015年5月18日午前
通数	100通
件名	給付研究委員会オープンセミナーのご案内
差出人	＊＊＊＊@yahoo.co.jp（フレンドリー名不明）
添付ファイル名	給付研究員会オープンセミナーのご案内.lzh
本文	＊＊　＊＊　様平成27年5月に＊＊大学と企年協が共同で実施いたしました企業年金アンケート結果の報告会と意見交換会を下記の通り実施いたします。アンケートの集計結果に基づく報告会は、今後の企業年金の方向性を考えるうえでも、基金関係者にとって大いに参考になると思います。会員の皆様の積極的なご参加をお願い申し上げます。お申し込みは添付資料をクリックしてください。

不審メール (3)

受信日	2015年5月18日午後 2015年5月19日午後
通数	18日：17通 19日：1通
件名	厚生年金徴収関係研修資料
差出人	（読み取れず）
添付ファイル名	厚生（以降読み取れず）
本文	（読み取れず）

不審メール (4)

受信日	2015年5月20日午後
通数	3通
件名	【医療費通知】
差出人	健康保険組合運営事務局＊＊＊＊@excite.co.jp
添付ファイル名	医療費通知のお知らせ.lzh
検体情報	5e3ec0d77c21fc20811590ad6e34ad2726c48b3926c5e839e58969fa84886002 9ae4ca606f3eeeb138901683237b29aaff75cfa48555f1630600e844fa9c5f88
本文	）本メールは、保険を利用して診察や診療を受けられた方に、医療費をお知らせしています。）Windows-PCで開けてください。

不正アクセス元に関する情報

使用されていたマルウェアが昨年末に確認された医療費通知偽装と同じ種類であったことから、「CloudyOmega」攻撃の実行グループ関与の疑いがあると報道。*40

昨年末確認された標的型攻撃は次の場所にまとめています。

原因

日本年金機構の職員が電子メールに添付されたファイルを開封、あるいはURLからダウンロードしたファイルを実行？*41したためマルウェアに感染し、当該端末を通じて機構内が保有する個人情報が流出した。

1台目の感染端末を対処して対応終了とした理由

１台目の端末感染について、情報セキュリティ会社へパターンファイル更新の連絡を受け、事態収束と判断してしまった。*42

発端

2015年5月8日にNISCが厚生労働省に通報*43し、その連絡により機構内通信システム(詳細報道されず)で不正アクセスされている痕跡を確認したことによる。*44
流出が確定したのは2015年5月28日に警視庁より「流出したと考えられるデータを発見した」*45と日本年金機構が連絡を受けたことによる。*46

エスカレーションの状況

エスカレーション日	連絡ルート	連絡内容
5月8日	NISC → 厚生労働省情報担当参事官室	不審な通信発生に伴う連絡
〃	厚生労働省年金局 → 日本年金機構	LANケーブルを抜くように指示
5月18日	日本年金機構 → 厚生労働省(担当係長まで)	機構内端末への感染拡大に伴う対応
5月19日	日本年金機構 → 厚生労働省(担当係長まで*47 )	警視庁に捜査依頼を報告
5月25日	(経路不明) → 厚生労働省担当課長、審議官	当該事案にかかわる報告*48
5月28日夕方	(経路不明) → 厚生労働相	当該事案にかかわる第一報の連絡
5月29日昼	(経路不明) → 厚生労働相	当該事案にかかわる概要の報告

対応

機構内部の対応

2015年5月9日～26日契約をしているウィルス対策ソフト・情報セキュリティ会社に解析依頼、マルウェアを除去
2015年5月19日警視庁へ通報し、公安部が捜査を開始
2015年5月29日機構内の全拠点のインターネットの接続を遮断(２ちゃんねる書き込みから2015年5月28日頃～と推定される)
2015年6月4日再発防止のための第三者委員会を厚労省に設置*49
2015年6月5日外部とのメール送受信を禁止(当面の間) *50

2015年5月8、18、25日日本年金機構の職員に対して注意喚起

注意喚起	発信日	掲載されていた不審メールの内容
1回目	2015年5月8日	例示無し
2回目	2015年5月18日	１パターン（給付研究委員会のみ例示）のみ例示
3回目	2015年5月25日	４パターンを例示

5月29日に全職員に対して発信された通達文書*51

職員各位

　

　外部からの不審メールへの対応として、5月29日（金）から、本部を含む全拠点の機構LAN-PC

からインターネットへの接続を中止します。

　

再開時期等は別途お知らせいたしますが、それまでの間は次の業務が行えなくなり、ご不便をお

かけしますが、ご理解ご協力の程よろしくお願いいたします。

　

　１．ねんきんネット職員用サービス

　　ねんきんネット照会等対応が行えません（本部、各拠点）

　

　２．機構ホームページ

　　本部において、調達情報、プレスリリース等の更新が行えません（本部広報等）

　

　３．管理帳票 WEB

　　消耗品・業務帳票の印刷が行えません（本部管理室、各拠点）

　

　４．リバースオークション

　　リバースオークション関連調達の更新が行えません（本部調達部）

　

　５．機構LAN ウイルス定義ファイル

　　最新のウイルス定義ファイルが配信できません（本部、各拠点）

　

　６．Ｅラーニングシステム（本部、各拠点）

　

　７．街角年相オフィス連絡用オンラインストレージ

　　年相部と街角年相オフィスの業務連絡が行えません（本部、街角年相オフィス）

　

なお、インターネットメールの使用は可能です。

ただし、身に覚えのないメール又は不審メールについては絶対に開封せず、削除してください。

削除したメールはゴミ箱（削除済みアイテム）に入りますので、その状態で下記まで連絡してください。

警視庁の対応

警視庁高井戸署被害相談を受け不正指令電磁的記録供用や不正アクセス禁止法違反の疑いで捜査を開始*52
警視庁公安部が捜査を担当。

年金加入者への対応

2015年6月1日情報漏えいについて発表
2015年6月2日流出対象のシステム上でアラーム表示をする改修を行う。
2015年6月1日の週流出対象の加入者へ文面で通知する。
流出対象の加入者の基礎年金番号を変更する。
2015年6月1日～14日不審な連絡他問い合わせを可能とする電話窓口を設置する。窓口は6月14日まで設置するが問い合わせ状況を見てその後継続するか判断する。

○お客様に外部からの不審な連絡があった場合には、当機構にご連絡くださいますようお願い

いたします。そのための専用電話窓口（コールセンター）を本日設置します。

電話番号：フリーダイヤル０１２０－８１８２１１

受付時間：８：３０～２１：００（平日及び土日）

※上記受付時間は本日から６月１４日（日）までとし、その後の受付時間は日本

年金機構 HP でお知らせします。

サイバー セキュリティ対策推進委員会

6月1日に開催された会議にて以下の内容が指示された。

NISCの指示に基づき、インターネット接続がある府省庁情報システムで類似の攻撃を受けていないか点検
各府省庁における個人情報を含む重要情報の適正管理を職員へ徹底
独法、特殊法人等、重要情報を取り扱いについて改めて指導を徹底
これらの結果を迅速にNISCへ報告

２ちゃんねるへ行われていたリーク

２ちゃんねる（転職板や公務員板）へは5月28日夕方頃から当該事案に関連する思われる書き込みが行われていた。以下書き込みが行われたものを抽出。

公務員板への書き込み

189 ：ウィルス：2015/05/28(木) 20:43:50.67

感染しました。

　

190 ：ウィルス：2015/05/28(木) 21:49:42.65

ウィルス感染しましたので、共用ファイルは利用禁止となりました。

　

191 ：ウィルス：2015/05/28(木) 22:45:59.65

あれほど、差出人不明めメールは開封するな、と警告があったのに、、、

　

192 ：ウィルス：2015/05/29(金) 21:02:20.92

スタンプ領収できなくて不便なんですが？

　

193 ：非公開＠個人情報保護のため：2015/05/29(金) 23:58:06.45

全職員はパスワードを強制的に変更させられました。

　

194 ：非公開＠個人情報保護のため：2015/05/30(土) 10:54:22.22

ウィルス駆除対応のほんぶ

　

195 ：非公開＠個人情報保護のため：2015/05/30(土) 10:57:45.15

ウィルス駆除対応の本部職員の方々、休日出勤おつかれさまです。

　

199 ：非公開＠個人情報保護のため：2015/05/30(土) 21:40:57.71

月曜日には、ウィルス感染を公表するのかな？
http://wc2014.2ch.net/test/read.cgi/koumu/1407324158/189-

転職板への書き込み

786 ：名無しさん＠引く手あまた：2015/05/28(木) 18:43:30.27 ID:Nx1XTZly0

不審メール関係で何かあったね？

　

790 ：名無しさん＠引く手あまた：2015/05/28(木) 22:22:11.55 ID:6zSWShIj0

日本年金機構は色んなところから怨み買ってるからサイバー攻撃受けているんじゃねぇ

それとも雇い止めの怨みかも知れん

　

806 ：名無しさん＠引く手あまた：2015/05/29(金) 19:10:09.71 ID:LG18krzI0

今日は全く仕事にならんかったわw

　

807 ：名無しさん＠引く手あまた：2015/05/29(金) 19:12:06.89 ID:tpUOxb5i0

↑どうしてですか？

　

809 ：名無しさん＠引く手あまた：2015/05/29(金) 20:00:58.99 ID:aOPL3Qh70

皆さん、やっぱり、本当にヤバいことは書かないね

　

810 ：名無しさん＠引く手あまた：2015/05/29(金) 21:33:02.56 ID:gJXzenWR0

たとえば？

　

811 ：名無しさん＠引く手あまた：2015/05/29(金) 21:42:25.25 ID:UayMuq/50

パスワード強制変更＆フォルダー閲覧禁止のこと？

　

まさか個人情報が流出したわけじゃあるまいに。

　

813 ：名無しさん＠引く手あまた：2015/05/29(金) 21:47:22.17 ID:4aD4ZeUq0

>>811

あそこまで必死ってことは

個人情報でも流出したのかなと勘ぐっていたんだが

実際どうだったの？

　

814 ：名無しさん＠引く手あまた：2015/05/29(金) 21:59:24.74 ID:NMK6hpd90

>>811

>>813

その話はやめなさい

マスコミの格好のネタになるよ

もう一度解体になるよ

　

おい、ここにいる職員よ、絶対に垂れ込むなよ？

いいな、絶対だぞ？

　

818 ：名無しさん＠引く手あまた：2015/05/29(金) 22:48:22.28 ID:SgAZ1U9X0

個人情報が流出したなら

月曜日に会見とかやるんでないの

現場のしたっぱは何も聞いてないけど

　

820 ：名無しさん＠引く手あまた：2015/05/29(金) 22:51:19.50 ID:7lmm5qSo0

仕事が進まないよ

当然休日出勤して月曜日から正常になるんだろ

まあ、元々不備だらけだけど

　

837 ：名無しさん＠引く手あまた：2015/05/30(土) 22:00:14.35 ID:/a29d2/p0

ちゃんとシステム部は休日返上で仕事してるだろうな？

お前らがこの組織の癌なんだよ

　

850 ：名無しさん＠引く手あまた：2015/05/31(日) 08:41:41.03 ID:PYht+w5E0

明日は、つながってるんだろうか・・・

　

859 ：名無しさん＠引く手あまた：2015/05/31(日) 16:09:59.29 ID:NSGwnoLY0

あした職場へ行ったらみなさん大変なことが判明します。今から予告いたします。

　

874 ：名無しさん＠引く手あまた：2015/06/01(月) 07:49:20.32 ID:W0qixQurO

直ってねぇ！帰るか…
http://kanae.2ch.net/test/read.cgi/job/1430561293/786-