【PHOTO】gettyimages
貴重な報告書
あの125万件の年金情報流出劇の真相は、日本年金機構とその職員の123の公開・非公開メールアドレスに、同一攻撃者が4種類のメールを波状攻撃のように送り付け、31の端末を不正プログラムに感染させ、ピーク時には23の端末を遠隔操作下におき、情報を搾取するという、執拗で悪質なサイバー攻撃だった。
こうした標的型攻撃に対して、日本年金機構のネットワークは多重防御が不十分だったうえ、個人情報をインターネットに接続している情報系に移していたため、貴重な個人情報を守れなかった――。
こんな驚くべき実態を浮き彫りにする調査を、政府のサイバーテロ対策の司令塔である「サイバーセキュリティ戦略本部」(本部長・菅義偉官房長官)が先週木曜日(8月20日)に公表した。調査は、厚生労働省や日本年金機構のものとは別に、同本部が独自にまとめたもの。
特色は、攻撃に対する対処能力を推知されるものも含めて可能な限りの情報を開示した点だ。背景には、政府、企業、個人の守備力を高める狙いがある。
実際、ここに掲載された図『感染端末と不審な通信』のように、攻撃者がウィルス感染させることに成功したとみられる31端末の外部との不審な通信を克明に解析したしたも情報も盛り込まれており、なかなか興味深いものとなっている。
サイバーセキュリティ戦略本部は、実働部隊の「内閣サイバーセキュリティセンター」(NISC)と共に、今年1月に発足した組織だ。設立の根拠はサイバーセキュリティ基本法で、①サイバーセキュリティ関連の政策の企画・立案、②具体的な事案への対応にあたって政府部内の司令塔の機能を担うこと――の2つを使命とする。
同本部は年金情報の流失を「サイバーセキュリティに関する重大な事象」と考え、今回の調査の公表と合わせて、その教訓を活かすために関係法を改正する方針だ。改正により、これまで中央省庁などに限定されていた監視、監査、(是正)勧告などの対象を独立行政法人や日本年金機構のような特殊法人にも拡大。公的部門全体のサイバー攻撃への対処能力を高めていくという。
今回の調査(「日本年金機構における個人情報流出事案に関する原因究明調査結果」)の特色は、攻撃側の手口やその成否に関する調査・分析に主眼を置いた点にある。厚生労働省や日本年金機構が8月20日に公表した調査報告が、両者の行ったサイバー攻撃への対応とその反省からまとめられているのとは決定的に異なる。
この種の調査報告は珍しく、ホームページ上にも掲載されているので、興味のある方には全文の一読をお勧めする。(http://www.nisc.go.jp/conference/cs/)
