「ウィルスメール開封」だけじゃない、日本年金機構の絶句するほどザルなセキュリティ管理が次々と明らかに

昨日発覚した日本年金機構の計125万件にも及ぶ大量情報流出事件。メールに添付されていたファイルを開封してウィルス感染という呆れるようなセキュリティレベルに日本中が呆然とさせられましたが、それだけに留まらない管理のザルっぷりが明らかになっています。

1日に公表されて日本中を震撼させた日本年金機構の計125万件も及ぶ年金加入者及び受給者の個人情報の漏洩事件。基礎年金番号、氏名、生年月日、住所などの重要な個人情報が外部に流出するというとんでもない事態となっていますが、原因はあまりにも平凡なミスでした。

◆ウィルスメールの添付ファイル開封
昨日公表されたこの事件の発端は、5月8日に職員のパソコン宛にウィルスが添付されたメールが届き、そのファイルを職員が開封してしまったこと。事件の当初サイバー攻撃などと言われましたが、なんのことはない、10年前ですら当たり前に言われていた「怪しいメールの添付ファイルは開かない」という初歩中の初歩のセキュリティができていなかったというお粗末過ぎる原因でした。

◆情報周知の不徹底
これに対して日本年金機構は感染したパソコン1台のみをネットから遮断、他は接続状態のままに。その結果18日までに10件以上の同様のメールが届き、少なくとも別の職員1人がファイルを開封して感染が拡大。そして19日になってようやく警視庁に相談するという後手っぷりです。

◆55万件に内規違反でパスワード未設定
日本年金機構は個人情報を記録したファイルにパスワードを設定するように内規に定めていましたが、今回流出した125万件のうち55万件にはパスワードが設定されておらず、誰でも開ける状態で流出してしまっています。この内規の目的のひとつが情報流出時にも個人情報に容易にアクセスできないようにするためであることを考えると、日本年金機構内部のセキュリティ感覚が非常識と言わざるをえないレベルに低かったと断ずる他ありません。

年金情報流出 内規違反 55万件にパスワード設定されず - 毎日新聞

◆システム運用上の問題
また、本件では日本年金機構のシステム運用の問題が指摘されています。それは「個人情報を基幹システムからLANに接続するサーバーに移すことができた」ことと、さらに「その移された個人情報がインターネットに接続されてメールを送受信する端末で閲覧できる状態だった」ということ。

日本年金機構の情報漏洩は運用の問題である - WirelessWire News（ワイヤレスワイヤーニュース）

アンビリーバブルすぎる日本年金機構の個人情報流出

これは金庫で厳重に管理すべき貴重品を通りに面した軒先に箱にも入れずにずらりと並べておくようなもの。開いた口が塞がりません。

◆さらに「2ちゃんねる」への情報漏洩も
また、警視庁によって125万件の情報流出が発覚したとされる5月28日（公表された6月1日の4日前）の夜、2ちゃんねるの日本年金機構を話題としたスレッドに「ウイルス感染したので、共有ファイルは利用禁止となりました」「あれほど差出人不明メールは開封するな、と警告があったのに」などと、内部の人間しか知り得ない情報が書き込まれており、職員が業務情報を外部に漏洩させていた可能性もありそうです。

こいつら懲戒もの。 http://t.co/BblaK05mT8 http://t.co/jfiy0u0jEB http://t.co/5ARByOYYDe http://t.co/89Nt6Uklb5

— Hiromitsu Takagi (@HiromitsuTakagi) 2015, 6月 1

「ウイルス感染」ネットに投稿 年金機構公表4日前、職員？

◆発覚から公表までの4日間
そもそも警視庁の捜査で125万件という前代未聞の個人情報の大流出が発覚した5月28日から6月1日の公表まで4日間もかかっているのはどういった理由なのでしょうか。これについては特段の説明は現時点ではされておらず、菅官房長官は2日の記者会見で「適切だった。まず全体を掌握することが極めて大事だ」と、いつも通りの「問題ない」節を披露するに留まっています。

◆マイナンバー制度への不安
もちろんこの個人情報のとんでもなくずさんな管理体制を見て心配になるのは政府が勧めようとしているマイナンバー制度でのセキュリティ体制。マイナンバーでは年金だけでなく医療や福祉を始めとした社会保障や納税、災害対策などの非常に広範な情報が住所、氏名、生年月日などと共に管理されるもの。

野党からの質問に山口IT担当大臣は「マイナンバーの漏洩はあり得ない」と断言していますが、今回のように全てがずさんな状況であれば、どれだけセキュリティ対策を施しても流出が防げると断言できるものではありません。現段階で「漏洩はあり得ない」と断ずる姿勢は原発問題にも見られた「安全神話」そのものです。

国民の個人情報をどのように安全に取り扱うのか、この地に落ちて泥に塗れた信頼を取り戻してマイナンバー制度にこぎつけるには並々ならぬ努力が必要となりそうです。

トレンドマイクロ ウイルスバスター クラウド 3年版 ダウンロード版 Windows版 (最新・3台版)

posted with amazlet at 15.06.02

トレンドマイクロ (2014-09-05)
売り上げランキング: 3

Amazon.co.jpで詳細を見る

・関連記事
安倍首相が国会での辻本議員への「早く質問しろよ」ヤジを謝罪するも「全く謝罪になっていない」と早くも炎上 | Your News Online

川内原発が今夏再稼働へ、安倍首相は「桜島などの大規模噴火でも安全性は確保されている」と「安全神話」を復活 | Your News Online

【悲報】安倍首相、ポツダム宣言をまともに読んでいないことを国会で激白 | Your News Online

磯崎補佐官がテレビで「ポツダム宣言が一字一句正しいかどうかなんとも言えない」と安倍首相をアクロバット擁護 | Your News Online

安倍首相の指示で作られた「改憲推進マンガ」がデタラメだらけであることが判明 | Your News Online