日本年金機構 偽装工作が侵入特定の足かせに
日本年金機構が年金個人情報約125万件の流出事件を発表したのは、2015年6月に入ってからのことですが、すでに前月の5月から把握し内部調査に入っています。
その報告によると、きっかけとなったウィルスの添付メールは5月8日から5月18日にかけて大量にばらまかれ、2人の職員が開封してしまいました。その1回目の開封は、初日となる5月8日のことで、タイトルは「『厚生年金基金制度の見直しについて(試案)』に関する意見」で、職員は疑問に思わず開封したようです。
それでも年金機構は5月8日、外部からの指摘を受けて、すべての職員に向けて注意を呼びかけたものの、深刻にとらえた様子はありません。タイトル名やメールの内容、ファイル名などの具体例を告知せず、システムやネットワークに対する具体的な対策もとっていません。
この間にウィルスは着々と進化し、パソコン数十台を感染させています。最初に突破したウィルスが、年金機構内の閉ざされているはずのメールアドレスを盗み出し、侵入を拡大させました。5月19日に警視庁に捜査を依頼、日本年金機構は5月28日に警視庁から情報流出の事実を知らされたと報じられています。
年金機構はもちろん警視庁にとっても、攻撃者の残した痕跡(足跡)から、事実をつかむのは時間と手間のかかる作業でした。たとえば、この事件では攻撃を指示したとされる外部サーバを見つけましたが、それは幾重にも中継されており、1年の調査を経ても具体的な犯人像が浮かびあがっていません。 出典:サイバーセキュリティ戦略本部「日本年金機構における個人情報流出事案に関する 原因究明調査結果」 http://www.nisc.go.jp/active/kihon/pdf/incident_report.pdf
侵入の痕跡捜しと診断サービス
その道のプロフェッショナルである捜査官でも、標的型攻撃の痕跡を見つけたり、侵入の足跡を確認するのは極めて困難です。「中には、攻撃されたことすら気付かず、ましてや個人情報が漏えいしたことさえ理解していない企業が多くあります」と指摘する専門家もいます。
そこで、自社が悪意ある犯罪者集団から標的にされていないかを診断するサービスが提供されるようになっています。経験豊かなコンサルタントがチームを組んで、一定期間端末やネットワークを監視、攻撃の痕跡を早期に見つけ、対策を支援するのが目的です。代表的なサービスは次のようになっています。
- ■端末の精査診断
-
企業システムに接続されているパソコンやサーバなどの端末を精査します。自動実行するマルウェアが潜んでいないか、怪しい振る舞いがないかなどを詳細に確認します。通常専用のソフトウェアを用いており、その品質がサービスを左右します。
- ■ネットワーク通信分析診断
-
期間を区切ってネットワーク上に不審なデータが流れていないかをチェックします。これも専用のソフトウェアを使うのがほとんどです。そのソフトウェアの品質はもちろん、ネットワーク構造からどこに設置するかにノウハウの差が現れます。
- ■ログ分析診断
-
ネットワーク上の端末に蓄積されているログを解析します。ネットワーク端末はログの蓄積機能を持っていますが、それらは形式が異なり、専門家以外には解析が困難な場合がほとんどです。この解析をコンサルタントが肩代わりします。
まとめ ~ プロフェッショナルに相談を ~
攻撃が集団化されているように、防御する側にもプロフェショナルな集団が誕生しています。個人情報漏えいの痛手は計り知れないものがあります。相談してみるもの重要な解決策の1つとなります。専門家への相談の検討をお勧めします。
