まず、今回の年金情報流出についてです。
実は早い段階から標的型攻撃と察知しながら、それを生かせなかったことが明らかになってきました。その原因はどこにあったのでしょうか。
　

最初に異常を検知したのは省庁へのサイバー攻撃を監視している内閣サイバーセキュリティセンター、通称ＮＩＳＣ。
先月８日、日本年金機構のパソコンが外部のサーバーと不審なやりとりを始めたことを検知し、年金機構を所管する厚生労働省の係長に、「不審な通信を検知」と通報しました。
　

翌日には年金機構のパソコンが新種のウイルスに感染したことが判明。
ウイルスは、パソコンを遠隔操作できる「トロイの木馬」型と、情報を流出させる裏口を仕掛ける「バッグドア」型と呼ばれるものでした。
これらは標的型攻撃に使われる典型的なタイプで、別のパソコンへと感染が広がるのが特徴です。
しかしウイルスの感染を知った後も厚生労働省の係長は上司に報告せず、年金機構も感染したパソコン１台を外部から遮断しただけでした。
　

その後も、年金機構には業務連絡を装った不審なメールが大量に届きます。
さらに先月２２日には、ＮＩＳＣから再び「不審な通信を検知」という通報がありました。
大量の年金情報が流出したとみられるのは、この翌日のことです。
最初に標的型攻撃と察知した時点で、ウイルス感染の広がりを想定して全てのパソコンを外部と遮断していれば、これほどの情報流出は防げた可能性が高いのです。

このように厚生労働省や年金機構の対応は、あまりに危機意識に欠けたものだったわけですが、ここで疑問に思うのは、ＮＩＳＣからの通報は深刻に受け止められていたのか、という点です。
　

ＮＩＳＣは国のサイバーセキュリティーの司令塔として、政府機関へのサイバー攻撃をセンサーで２４時間監視しています。
ＮＩＳＣが検知した何らかのサイバー攻撃は、年間５０８万件、６秒に１回の計算です。
このうち、標的型攻撃など特に深刻な場合のみ「不審な通信を検知」と相手の省庁に通報しますが、こちらはわずか１３９件です。
今回の年金機構に関する通報も、こちらのケースにあたります。
つまり、ＮＩＳＣは、深刻な標的型攻撃と察知し、２回にわたって通報していたのです。
はたして、ＮＩＳＣの通報の重要性は、各省庁に理解されていたのか。
またＮＩＳＣ側も、危機的な状況をきちんと伝えたのか。
政府は今回の情報流出を受けて、ＮＩＳＣの権限の強化を検討していますが、そもそも今回、もう一歩踏み込んだ対応はできなかったのか、まずはそのことを検証する必要があるように思います。

さて、今回の年金情報流出では、便乗犯によるとみられる詐欺の被害も発生していますが、真犯人、つまり攻撃者は何者なのでしょうか。
捜査は継続中で、まだ何とも言えませんが、周到な計画がうかがえることは確かです。
　

年金機構のパソコンは、アメリカなど国内外の２０のサーバーと不審な通信をしていました。
警察は、攻撃者がこれらのサーバーを乗っ取って悪用していたとみています。
１２５万件の年金情報も、このうちの１台から見つかったわけです。
　

一方、こちらは年金機構に送られてきた不審なメールのタイトルです。
いずれも業務に関連がありそうで、違和感を抱かせない、巧妙なものとなっています。
このうち最後の「医療費通知」というメール、実は去年９月から、複数の防衛関連企業などに送りつけられ、警察が企業に注意を呼びかけていました。
　

情報セキュリティ会社の分析では、このメールには中国語のフォントが使われていました。
そして、攻撃手順や通信先のサーバーなどから、年金機構への攻撃と同じグループによるのではないかとしています。
これほど巧妙で大がかりな攻撃は、愉快犯や金銭目当ての犯行とは考えにくく、背後に大きな組織があるのではないか。多くの専門家は、こう指摘しています。
　

海外も含めた捜査には時間がかかることも予想されますが、警察には、徹底した手口の分析や海外との連携で攻撃者を追いつめることが、そして国にはこうした攻撃を許さないという強い姿勢が求められると思います。

このように巧妙な標的型サイバー攻撃、防御のために何より重要なのは、一刻も早い察知です。
しかし過去の事例を見ると、攻撃から発覚までに長い時間がかかっているのが現実です。
　

▼例えば三菱重工のミサイルや原発関連の生産拠点から情報が流出したケースでは発覚までに８ヶ月。
▼財務省にいたっては２年近くに及んでいます。
日本の政府や企業からは、すでに多くの情報が盗み取られたおそれがあるのです。
　

では、こうした標的型攻撃を防ぐには、どうすればいいのか。
先ほども述べたように、いち早い察知が重要ですが、そのためには、手口などの情報を共有することも非常に大切だと専門家は指摘します。

その、情報共有。
　

国は、ＮＩＳＣを司令塔として縦割り行政から脱却し、官民で連携するとしていますが、現状を見る限り、首をかしげざるを得ません。
例えば警察は防衛産業など６８００社あまりとネットワークを作り、サイバー攻撃の情報を共有しています。
一方、防衛省もおととし、防衛産業と情報を共有する協議会を設置しました。
経済産業省は、電力やガス、石油などインフラ関連企業へのサイバー攻撃について情報を共有。
ただし、水道や鉄道など他の省庁が管轄するインフラ関連企業は含まれていません。

これでは重複する企業や、ネットワークに含まれない企業が混乱することになりかねません。

ＮＩＳＣの権限を強化するのであれば、官民の情報共有についても、縦割りをなくし、情報を効果的に生かす仕組みづくりに力を発揮できるよう、見直しを進めてほしいと思います。

標的型サイバー攻撃の脅威に対しては世界も危機感を強め、例えばアメリカは、サイバー空間を「陸・海・空・宇宙」に次ぐ第５の戦場と位置づけ、攻撃には報復も辞さない構えを見せています。
日本では、２０２０年のオリンピック開催を見据えて、今月中に新たなサイバーセキュリティ戦略を策定するはずでしたが、今回の年金情報流出によって見直しを余儀なくされました。
であれば、いまこそ、問題を徹底的に検証し、教訓を生かした戦略をたてることが重要です。
標的型サイバー攻撃は、いまの社会の安全だけでなく国民の未来の財産まで脅かすものであることに、国はいっそう強い危機感を持って臨むことが、求められていると思います。
　
（寒川由美子　解説委員）