厚労省もウイルス感染、年金機構への攻撃2週間前に

　日本年金機構の個人情報流出事件で、ウイルスメールによる機構への攻撃が始まる約2週間前に、厚生労働省に類似手口の攻撃が行われ、ウイルスに感染していたことが21日、厚労省が設置した第三者検証委員会（委員長・甲斐中辰夫元最高裁判事）の調査で分かった。検証委は機構と、機構を監督する厚労省にサイバー攻撃に対する危機意識が不足していたとする報告書をまとめ、塩崎恭久厚労相に手渡した。厚労省と機構は今後、関係者の処分を検討する。

　報告書などによると、厚労省に「標的型」と呼ばれるウイルスメール6通が送られたのは4月22日。年金局などの職員2人が添付ファイルを開封して端末が感染し、内閣サイバーセキュリティセンター（NISC）から連絡を受けた約2時間後に通信を遮断した。

　一方、機構に最初の攻撃が行われたのは16日後の5月8日。一部の攻撃では不審な通信先が4月22日とほぼ同じだったが、厚労省は「関係機関を狙った一連の攻撃の一環であるとの着想に至らず」（報告書）、機構に4月22日についての情報提供をしなかった。機構は大量のウイルスメールが送られた5月18日以降、19日と21日に情報セキュリティー対策を担当する厚労省情報政策担当参事官室（情参室）に報告。しかし、担当者は危機意識を持たず、25日に機構から「外部へ通信が発生している」との連絡を受け、ようやく上司に報告した。機構を監督する厚労省年金局の職員も19日に報告を受けたが、情参室が対応していると認識し、上司に報告しなかった。

　会見した甲斐中委員長は「問題を起こす組織には一体感がなく、職員に仕事の使命感がない。機構にはそういうものを感じた」と機構を批判。一方で、厚労省に対しては「そこまで踏み込んで調査していない」として、報告書で情報セキュリティーや監督体制の不備を指摘するにとどめた。検証委は機構や厚労省職員など延べ78人に聞き取り調査。当初は中間報告を公表する予定だったが、今後の捜査などで内容が変わる可能性は低いと判断し、最終報告書として公表した。

[産経新聞社]