これまでの放送
~あなたは大丈夫?~
今回、個人情報の流出が確認された沖縄県。
月に10万円ほどの年金を受給している70代の女性です。
先週金曜日、日本年金機構から「個人情報流出のお詫びとお願い」という書面が届きました。
70代女性
「不安になりましたよ。
まさかそのまま年金が入らなくなるんじゃないかって。」
年金事務所には、不安を感じた人たちが集まっていました。
女性も事実を確認したいと訪れました。
70代女性
「私だけこれが届いてたんです。」
「申し訳ございませんでした。」
確認した結果、基礎年金番号名前、生年月日、住所の4つの情報すべてが流出していることが分かりました。
70代女性
「(日本年金機構を)あまりにも信用していたというか、誰を信じていいのかなと思いますね。」
今月1日に発覚した年金情報の大量流出。
どのように起きたのか。
今回、NHKが入手した年金機構の内部文書です。
最初に年金機構の公開されたアドレスに不審なメールが送られたのは5月8日午前10時28分。
「厚生年金基金制度の見直しについて(試案)に関する意見」という件名でした。
1人の職員が、このメールを開いたことでウイルスに感染しました。
ケーブルを引き抜いたのは3時間ほど過ぎたあと。
この間に非公開のアドレスなどが流出したと見られています。
年金機構の職員が匿名を条件に取材に応じました。
最初の感染の直後に、本部から全職員に送られたメールです。
“不審なメールが届いた場合、開封せず削除してください”とだけ書かれていました。
日本年金機構の職員
「サイバー攻撃にあってるようだということで、なんかあったのかなと、うすうす感じる程度です。」
「こんな大事になるとは?」
日本年金機構の職員
「まだなかったですね。」
ところがその10日後、非公開の職員のアドレス宛てにセミナーの案内などをかたった不審なメール117通が送りつけられました。
再度、全職員に注意喚起のメールが送られます。
さらに2日間、不審なメールを受信。
そして23日、複数のパソコンから大量の情報が流出していきました。
職員たちに改めて注意を促すメールが送られたのはその2日後。
このとき、注意すべきメール4件分のタイトルや内容が具体的に示されました。
日本年金機構の職員
「色々なメール、IDとパスワードの変更、指示が出ましたので何かあったなと。
やっぱり私どもわからなかったですね。」
なぜ情報は漏れたのか。
機構には大きく2つのシステムがあります。
1つが、基幹系の社会保険オンラインシステムです。
ここに口座番号や受給額など、あらゆる個人情報が保管されています。
インターネットとはつながっておらず、外部からは遮断されています。
もう1つが、情報を共有するためにインターネットとつながった情報系のシステムです。
職員たちは、年金に関する文書を発送する際などに基礎年金番号や住所などの個人情報を基幹系から移して作業していたといいます。
日本年金機構の職員
「オンラインシステムで全ての業務が完了するソフトができてればいいんですけど、現在そこまで対応できてないんですね。
その作業に必要なものを共有フォルダに入れる。」
共有フォルダに移した情報はパスワードをかけるほか、使用後消去することになっていましたが、徹底されていませんでした。
この共有フォルダにつながるパソコンがウイルスに感染し、外部のサーバーに情報が流出したと見られています。
ずさんな情報管理の中、少なくとも125万件の個人情報が流出する事態になったのです。
日本年金機構を襲ったサイバー攻撃。
取材を進めると、同じタイプのウイルスの危険性が去年(2014年)の秋から指摘されていたことが分かりました。
コンピューターウイルスの監視や分析を行っている情報セキュリティー会社です。
去年9月、ある新種のウイルスを検出しました。
医療費通知と書かれたこのファイル。
開くと、パソコンの中にあるデータを流出させるウイルスです。
同じ件名のメールは今回、年金機構にも送られ、ウイルスが仕込まれていました。
分析した結果、こうしたメールによって、年金機構だけではなく国内の延べ200の企業や団体が感染し、中には情報が流出したケースもあることが分かりました。
カスペルスキー リサーチャー 石丸傑さん
「今回の攻撃は、日本年金機構だけではなくて、日本のさまざまな組織に対しての攻撃の一環、一連の攻撃であるとわれわれは考えています。」
この会社が調査の過程で発見した流出データです。
カスペルスキー リサーチャー 石丸傑さん
「攻撃者が盗んできた情報と思われるデータがこのような形で残っている。」
エネルギー政策税制関連などと書かれた、企業や団体の内部文書が流出していました。
この会社は警察に通報するとともに、どのような情報が含まれているか調査を続けています。
この新しいウイルスによる被害は現在、日本だけでしか確認されていないといいます。
カスペルスキー リサーチャー 石丸傑さん
「日本も含むいくつかの国を狙った標的型攻撃というのは今までもあったが、今回のものは確認した限り完全に日本だけを狙っている攻撃であると、かなりの組織がやられていると我々は観測しています。」
●日本に対するサイバー攻撃の脅威、どんな状況?
そうですね、はっきりしたことは分からないんですけれども、少なくとも先ほどビデオにもありましたように、去年の秋から見られるこの攻撃というのは、日本をはっきりとターゲットにした、日本のいろんな政府や民間企業も含めた組織を狙った攻撃であるということが分かっております。
このような攻撃を行うというのは、大変な労力と、それなりの技術というのを必要とするわけですけれども、少なくとも金銭を目的としたものではなくて、ある種の情報の詐取、盗んでいくような、このようなことを目的としたものであろうというふうに推測されています。
(ある意味では、日本を標的にした部隊がある?)
恐らくそうであろうという推測は成り立っています。
ただ、詳しいことはあくまでも分からないんですけれども、少なくとも金銭目的であれば、もう少し情報の狙い方というのに特徴があるはずなんですが、今、行われていることは、情報網をのべつ幕なしとっていくというようなタイプの攻撃でして、これは少なくとも金銭ではなくて、情報そのものをある程度スパイ行為のように盗んでいくタイプの攻撃だろうという推測は成り立っています。
(攻撃している人々の能力は高い?)
そうですね、本当の、最も高いレベルの攻撃かというと、そこまではいかないんですけれども、そこそこのタイプの攻撃を、人海戦術的に非常に多くの組織に対してたくさんの人が行っているというような推測は成り立っています。
ですから、どちらかというと、その狙うための組織がそれなりの規模があって、常に活動できているということは推測できると思います。
●年金機構からの膨大な個人情報流出 攻撃を受けたあとの機構や政府の対応をどう見る?
そうですね、最初、内閣官房のサイバーセキュリティーセンターのほうからの第一報というのは、非常に早い段階で行われていまして、この部分については非常によかったというふうに思います。
ただ問題は、その情報を受けた年金機構が、これがもうすでに秋から始まっていた、日本に対する一連の攻撃の一部であるという認識を持って、敏感に反応して、例えば業務をすべて止めて、一度どのような攻撃が行われたか精査するような、そういう動きが取れなかったと、その判断をする能力が残念ながら年金機構のほうにはなかったし、それに必要な情報もなかったであろうということは、問題かなというふうに思っております。
(攻撃のことを知った3時間後に、インターネットから1台のパソコンを切り離したということだが、本来はその情報システムを止めるべきだった?)
そうですね。
まあ、具体的にどのようなことが行われているかということを調べるために、一度、情報システムをネットワークから切り離して、どのようなパソコンが、どのようにやられているかを、一台一台、調べていくというのが、本来は必要であったんだろうと思うんですが、そのためには、業務を止めるという非常に大きな判断をしなくてはいけない。
これは幹部級じゃないとできない、担当者レベルではできない仕事ですから、この判断をするという大きな機能というのが年金機構には欠けていたのかなというふうに感じています。
(本来は誰が判断をする?)
そうですね、一般にこのような政府機関には、CIO(最高情報責任者)とか情報システムに関する責任者というのが幹部級でついてるんですけれども、それと同様に、情報セキュリティーに関しての大きな判断をするような幹部級の人、一般的にはCISO(最高情報セキュリティ責任者)みたいな言い方をしますけれども、そのような機能を本当はつけておくべきだったと思います。
●個人情報が入っている共有フォルダにきちんと対応がされていなかったのは大きな問題では?
そうですね。
比較的、セキュリティーが高いレベルで保たれた基幹システムというものに入ってる情報に関しては守られている。
今回も、この中に情報に関しては、全く流出はないというふうに考えられるんですが、ただ年金機構の場合は、例の消えた年金問題以降、非常に今までにはなかった、ルーティンワークにはなかった、基幹システムでは処理しきれない業務というものが発生したと思われまして、そのために、その情報を一部取り出して、情報系に移してから処理をするということは、これは業務上ある意味しかたがなかったのかなと思います。
ただ必要だったことは、このときに持ち出した情報というのを、必要がなくなったら消去するというルールを徹底するための、そういうような組織的な活動、例えば上司が必ず確認して消すだとか、このようなことが行われていなかったということが問題なんだろうと思っています。
●今、私たちは何を心配すべき?
そうですね、今のところ、推測ではありますが、この年金機構からとられた情報が、金銭目的ではなかろうということで、これが犯罪組織の手に渡って、なにかに使われるということは、あまり考えてはおりません。
ただ、便乗犯は必ず出ると思います。
このような情報漏えい事件を受けまして、その対応をするために、対応しますからお金をくださいみたいな感じの詐欺が行われる可能性は非常に高いので、それに関しては十分注意する必要があるかと思います。
サイバー攻撃に備えてより厳しい対応を取る自治体も出てきています。
神奈川県藤沢市です。
職員がサイバー攻撃にどう対応するか。
去年、市では職員160人に抜き打ちで、あるメールを送りました。
藤沢市 IT推進課 大高利夫課長
「標的型攻撃に対する訓練用のメールになります。」
タイトルは「情報セキュリティ研修会について(お礼)」。
研修会の名前も、情報推進課という差出人も、実在しそうなものにしました。
研修会で配布した資料をダウンロードできるというアドレス。
これをクリックすると警告画面が表示され、職員に注意を促す仕組みです。
この訓練を実施したところ、対象者の4割近い60人余りがアドレスをクリックしました。
「よくよく考えると怪しいなという部分があったが、そのときはついクリックしてしまった。
やってしまったなという感じ。」
藤沢市 IT推進課 大高利夫課長
「標的型メールは実際にその人に関係ある方からのメールを使って、本当にある組織から、いかにも本当のメールのような内容をかたってくるので、職員が気をつけたからといって防げるものではない。」
ウイルス感染を完全に防ぐことはできない。
市は、その前提で対策を進めています。
年金機構と同じように、藤沢市でも業務で扱うシステムは2つあります。
外部とインターネットでつながる情報系と、住民票などの個人情報が保管され、外部から遮断されている基幹系です。
藤沢市では、基幹系から情報系に個人情報は一切移せないようになっています。
外部メモリを差しても受け付けず、拒否されます。
一方で、住民への文書の発送作業など、個人情報を扱う業務を基幹系のパソコンだけでできるようにしています。
さらに、すべてのパソコンでウイルスや不審な通信を検出して知らせる装置を導入。
警報が作動すると、職員にメールで通知が届きます。
すぐにそのパソコンの回線を引き抜く対策を徹底しています。
藤沢市では、このシステム全体の整備や管理などに年間7億円をかけています。
藤沢市 IT推進課 大高利夫課長
「住民の機微な(個人)情報、住民情報だったり税の情報だったり大量に預かっているので、それをきちっと守らなければいけない。
自分たちが事件・事故を起こさないように気を引き締めてこれから業務へ取り組んでいく、それが重要かなと考えている。」
●藤沢市の取り組み、どう見た?
そうですね、すばらしい取り組みだと思っています。
というのは、一般的にはあのような訓練というのは、標的型のメールのような怪しいメールを開かないようにしようという訓練のように受け止められがちなんですが、そうではなくて非常に重要なことは、受けたメールのあと、おかしいなと思ったときに、誰に情報を伝え、どのような措置を取るかという、その初動といわれる動きを訓練するために使われるもので、これが一番重要だと思います。
あともう1つは、この動きによって、職員皆さんが自分が常に攻撃を受けているという、そういう立場であるということを意識づけするという効果もあると考えています。
(ウイルスが仕込まれてるかもしれないメールを開くということを前提にした訓練?)
そうですね。
一般的には情報システムというのは、よく守られた基盤システムというものと、それから情報システムとに分けるという、これは多くの自治体でも行われていることなんですけれども、情報系のシステムの場合は、どうしても外部とのやり取りがありますので、どうしてもあのようなメールを受けるというようなことは避けられないと。
その中で、最低限の報告というのを行うというのが大変重要だと考えています。
●共用ファイルの情報削除、パスワード設定など、ルール・管理の徹底が大事?
そうですね。
一般には自治体でも、基盤と情報系を分けるということは行われているものの、基盤系から情報を取り出さなくちゃいけないということは、特にイレギュラーな、毎年やるわけではないような、その年だけやるような処理のために行うということは、ある意味避けられないことで、ただそのときに、ちゃんと情報の流れを管理して、使わなくなった情報は消すということを徹底するということが大事です。
また、毎年そのような業務が発生するのであれば、きちんと判断するべき人が判断して、基盤システム側に投資をして、そういうような機能をシステム側に作りこんでいくということも重要だろうというふうに思っています。
●来年(2016年)から始まるマイナンバー制度 日本のシステムは大丈夫?
そうですね、国民の皆様には非常に不安を与えてるところ、特に今回の問題を契機にしてそういう声が上がってくるのは、ある意味しかたがないのかなと思っています。
ですが今の国のシステムというのは、マイナンバーがあろうがなかろうが、すでに存在していまして、今回のマイナンバー制度によって、それにマイナンバーがつながると、加わるという改修が行われ、そのあとマイナンバーを利用して、情報の交換というのが行われるんですけれども、このときに情報が集中しないように、必要になったときにその複数のシステムの間で情報をつなぎ合わせて、必要がなくなったら消すというようなことが徹底されるようなシステム設計になっておりますので、今回のマイナンバー制度そのものが、情報セキュリティーという意味において危険を増すということは、あまりないと考えております。
それよりも、今回マイナンバー制度に従いまして、マイナンバーを扱う情報システムに対して、例えば特定個人情報保護評価制度と呼ばれる、情報システムの安全性というのを第三者に評価してもらう仕組み、あるいは国に新しく設置されました、特定個人情報保護委員会という組織によって、強い権限でもって、その情報セキュリティーを担保していく仕組みというのが取られているので、安心していていいのかなと。
少なくとも今までよりは安全になるというふうに考えております。
(守りを固めるうえで、まず今、必要なことは?)
そうですね、どうしても今どうなってるかという情報が一番重要ですので、これからは、攻撃を受けたという人たちが情報を持ち寄って、これから対策を考えていくべきかと思います。