6月初めに発覚した日本年金機構による100万件規模の個人情報漏えい事件。本連載でも、日本年金機構への攻撃で使われたとみられる「Backdoor.Emdivi」というRAT(Remote Administration Tool)について解説しました。
事件から2カ月たった8月末には、日本年金機構による調査結果書が公開されています(サイバーセキュリティ戦略本部による原因調査結果、厚生省の第三者委員会による検証報告書も同時期に公開)。
この事件以降も多くの日本の組織や企業が、標的型攻撃の被害を公表しています。これらは、実際の標的型攻撃の手法や、なぜ防ぐことができなかったのかの実例を知るための貴重なサンプルです。今回は日本年金機構による調査報告書から読み取れる、組織や企業すべきセキュリティ対策について解説していきます。
日本年金機構が公開した「不正アクセスによる情報流出事案に関する調査結果報告について」
情報漏えい事件のサイバー攻撃と対処における問題点
改めて調査書の記載をみながら情報漏えいの経緯を振り返ると、5月8日(金)、15日(金)、18日(月)~20日(水)の3段階にわたり不正なファイルをメール添付する標的型攻撃があり、その攻撃の中でウイルスに感染した端末による情報の流出が発生しています。
攻撃メールには特徴があり、4種類あったメールパターンのうち2種類で同じ送信元アドレスが使われ、別の2種類ではオンラインストレージへ誘導するリンクが文中にあったりと類似性が確認され、関連攻撃を想像できるものでした。しかしながら、そのサインを見逃し、結果的に攻撃メールに添付されたファイルを開封し、ウイルスに感染しています。
また、感染した端末は機構LANシステムというインターネットと接続可能なネットワーク上にあり、個人情報のデータも機構LANシステム上の共有サーバに保存されていたため、感染した端末から情報の収集が可能な状態にありました。
本来、個人情報は基幹システムというクローズな環境で管理されているはずでした。しかしながら、運用上の理由により、個人情報を機構LANシステム上の共有サーバに移行して使用することが認められており、今回の攻撃は現行運用におけるセキュリティのポリシーの甘さをついています。
さらに、機構LANシステム上での情報の取り扱いについて規定されたパスワードの設定や、使用後に共有サーバからの個人情報を削除するといった運用が順守されておらず、インシデント対応の中でセキュリティ責任者への報告の遅れや、感染のリスクがある端末の調査漏れがあるといった体制や運用面での課題も見つかっています。
報告書の中では、各問題について体制やルール、システム面での改善がまとめられており、日本年金機構に関わらず、多くの日本の組織や企業でも同様のセキュリティ強化が求められます。
