年金情報125万件流出 サイバー攻撃、手口巧妙に
日本年金機構は職員の端末がサイバー攻撃を受け、約125万件の年金情報が外部に流出したと発表した。国内の公的機関としては過去最大規模の情報流出。被害はさらに拡大する可能性もある。
ウイルスメール開封が原因
学術機関の職員を装った電子メールに、セミナーの案内状と称したウイルス付きの文書ファイルが添付されており、これを開封した少なくとも2人の機構職員の端末が感染した。
端末同士をつなぐLANシステム内のファイル共有サーバーに保管されていた基礎年金番号や氏名などの情報が、ファイルごと抜き取られたとみられる。
年金情報125万件流出 公的機関で最大規模(6月2日)警告、機能せず
最初にウイルス感染が確認されたのは5月8日だった。職員が受け取ったメールに添付されたファイルを開いたことで、ウイルスに感染し不正アクセスを許した。その時点で同機構は端末を隔離し、「不審なメールは開けないように」と職員らに注意を促した。
しかし、その警告は浸透しなかった。その後も別の職員がメールを受け取り、添付ファイルを開けてしまった。警視庁への捜査依頼も18日までに何度か不正アクセスを検知した後だった。
もう少し早く対応していれば被害をもっと小さくできた可能性が高い。
年金機構の甘さ、傷口広げる 警告浸透せず流出(6月2日)事前に攻撃相手を調べるケースも
日本年金機構の複数の職員がウイルスが仕込まれたメールを開いて端末を感染させていた。今回のような「標的型メール攻撃」は官公庁や企業の重要情報を狙って急増し、業務上の連絡を装うなど手口も巧妙化している。
事前に所属部署や氏名、担当業務を調べ、業務連絡のように装った件名や差出人名を使うケースが目立つという。顧客相談窓口にクレームを装ったメールを送ったり、幹部職員や監査役など社内関係者を名乗ったりする手口もある。
「就職活動をしているが、問い合わせ先はこちらでいいか」などと何回かメールのやりとりをしてからウイルスを送りつける「やりとり型」も出現している。
メール攻撃、年金も標的 企業の被害は昨年急増(6月2日)拡大する脅威、対策は
政府のサイバーセキュリティ戦略本部(本部長・菅義偉官房長官)は(5月)25日午前の会議で、新たなサイバーセキュリティ戦略を決めた。
自由で安全なサイバー空間の確保に向け、国連での国際テロ対策などのルールづくりに積極関与する方針を明記。自動車や家電などの「モノ」をインターネットにつなぐIoT(インターネット・オブ・シングス)に関する安全指針を各業界と協力してつくるのも打ち出した。
IoTはネットの情報を使って自動車や家電などを制御したりする。各企業が製品に合わせて対応しており、政府は業界と連携して安全対策の底上げを図る。
サイバーテロ対策で国際連携 政府が新戦略(5月25日)家庭内には、インターネットに接続する機器があふれるほど存在する。パソコンやスマートフォン(スマホ)、タブレット(多機能携帯端末)に限らない。
パソコンの周辺機器ではプリンターや家庭用サーバー、ウェブカメラもつながる。玄関の鍵や冷蔵庫、時計、自動車など、これまで仮想空間とは切り離されてきた機器までネットにつながるようになった。
IoT時代の脅威 自動車・冷蔵庫・玄関が危ない(4月16日)