NEW

日常に潜むサイバー犯罪の罠――年金機構の情報流出事故は典型的な「標的型攻撃」だった

【この記事のキーワード】

, ,

  • このエントリーをはてなブックマークに追加
※画像:『CxO(経営層)のための情報セキュリティ 経営判断に必要な知識と心得』(三宅功著、ダイヤモンド社刊)

 2014年にはベネッセ・コーポレーションが最大で約2,070万件に及ぶ顧客情報を、2015年には日本年金機構が125万件超の個人情報を流出させるなど、近年、大規模な情報流出事故が相次いでいる。言うまでもなく、その背景にはサイバー攻撃の複雑化、巧妙化がある。

 この報道を受け、「自分も被害を受けているのではないか」「自分も知らず知らずのうちに、サイバー犯罪に加担してしまっているのではないか」という不安を感じた方々も多いだろう。

■なぜサイバー攻撃を防ぐことは難しいのか

 『CxO(経営層)のための情報セキュリティ 経営判断に必要な知識と心得』(三宅功著、ダイヤモンド社刊)の中で紹介されている調査報告(※1)によれば、個人情報漏えいにおける原因の約65%は、誤操作、管理ミス、紛失・置き忘れなどの過失によるものだという。

 ではなぜ、少しのミスがこれほど甚大な被害をもたらす事故へとつながってしまうのだろうか。その背景には、近年の情報セキュリティ対策そのものの難しさが挙げられる。

 著者によれば情報セキュリティ対策のレベルがどんどん上がっている原因は「企業活動が拡大」することによって「ITシステムへの依存率が高ま」り、「守るべき情報資産(情報システムや情報そのもののこと)が増えている」ためだという。

 サイバー攻撃はコンピュータシステムの脆弱性を突くことによって行われるが、システムが大規模化、複雑化すれば、当然、綻びも生じやすくなり、攻撃されやすくなってしまうというわけだ。

■日本年金機構の例に見る、サイバー攻撃の手口

 コンピュータシステムの脆弱性とは、どのような形で表面化するものなのだろうか。日本年金機構のケースを例に説明しよう。

 まず事件の概要についてまとめておくと、2015年5月21日から23日までの3日間で、日本年金機構が管理していた基礎年金番号、個人の氏名、住所などの情報が流出した。

 本書によれば、このケースは典型的な「標的型攻撃」と言われるものだそう。攻撃者は手っ取り早く取れる情報から窃取を始め、そこで得た情報を手がかりにして、さらなる攻撃を仕掛けていく。

 このケースでいえば、5月8日、ホームページで公開されているアドレス宛に送られた1件目のメールにマルウェア(※2)が埋め込まれていた。このマルウェアが、感染したPC内のメールソフトからアドレス帳を探し出し、攻撃者は非公開の個人メールアドレスを入手したのだ。

 そして、5月20日に送った4件目のメールにより、感染したPCにバックドア(※3)が仕掛けられ、攻撃者は直接外部からその端末にログインできるようになった。こうして、感染した端末を経由し、内部のネットワークに侵入。その後、ファイルサーバーから基礎年金番号付きの個人情報を窃取したのだ。

 このケースにおいては、段階的に情報を窃取していく中で、非公開の個人メールアドレス宛にかなり業務に関係の深い件名をつけたメールが送られるようになる。このため、メールの受け手が「疑わしいメール」であることを判断するのは難しかった、という点に注目したい。「メールを開封してしまった」という脆弱性については、攻撃の対象となる組織の業務や特定の個人に関連した巧妙なメールが送られてくるため、いくら受け手に厳しく注意を喚起しても、開封率をゼロにするのはかなり難しかったはずだ。