日常に潜むサイバー犯罪の罠 年金機構の情報流出事故はこうして起きた
この報道を受け、「自分も被害を受けているのではないか」「自分も知らず知らずのうちに、サイバー犯罪に加担してしまっているのではないか」という不安を感じた方々も多いだろう。
『CxO(経営層)のための情報セキュリティ 経営判断に必要な知識と心得』(三宅功著、ダイヤモンド社刊)の中で紹介されている調査報告(※1)によれば、個人情報漏えいにおける原因の約65%は、誤操作、管理ミス、紛失・置き忘れなどの過失によるものだという。
ではなぜ、少しのミスがこれほど甚大な被害をもたらす事故へとつながってしまうのだろうか。その背景には、近年の情報セキュリティ対策そのものの難しさが挙げられる。
著者によれば情報セキュリティ対策のレベルがどんどん上がっている原因は「企業活動が拡大」することによって「ITシステムへの依存率が高ま」り、「守るべき情報資産(情報システムや情報そのもののこと)が増えている」ためだという。
サイバー攻撃はコンピュータシステムの脆弱性を突くことによって行われるが、システムが大規模化、複雑化すれば、当然、綻びも生じやすくなり、攻撃されやすくなってしまうというわけだ。
■日本年金機構の例に見る、サイバー攻撃の手口
コンピュータシステムの脆弱性とは、どのような形で表面化するものなのだろうか。日本年金機構のケースを例に説明しよう。
まず事件の概要についてまとめておくと、2015年5月21日から23日までの3日間で、日本年金機構が管理していた基礎年金番号、個人の氏名、住所などの情報が流出した。
本書によれば、このケースは典型的な「標的型攻撃」と言われるものだそう。攻撃者は手っ取り早く取れる情報から窃取を始め、そこで得た情報を手がかりにして、さらなる攻撃を仕掛けていく。
このケースでいえば、5月8日、ホームページで公開されているアドレス宛に送られた1件目のメールにマルウェア(※2)が埋め込まれていた。このマルウェアが、感染したPC内のメールソフトからアドレス帳を探し出し、攻撃者は非公開の個人メールアドレスを入手したのだ。
そして、5月20日に送った4件目のメールにより、感染したPCにバックドア(※3)が仕掛けられ、攻撃者は直接外部からその端末にログインできるようになった。こうして、感染した端末を経由し、内部のネットワークに侵入。その後、ファイルサーバーから基礎年金番号付きの個人情報を窃取したのだ。
このケースにおいては、段階的に情報を窃取していく中で、非公開の個人メールアドレス宛にかなり業務に関係の深い件名をつけたメールが送られるようになる。このため、メールの受け手が「疑わしいメール」であることを判断するのは難しかった、という点に注目したい。「メールを開封してしまった」という脆弱性については、攻撃の対象となる組織の業務や特定の個人に関連した巧妙なメールが送られてくるため、いくら受け手に厳しく注意を喚起しても、開封率をゼロにするのはかなり難しかったはずだ。
一方、もう一つの脆弱性については、事前に対応可能なものであった。年金の個人情報は普段、インターネットに接続していない基幹システムに厳重に保管されていた。従って実際の事務作業担当者は、作業をするたびに、基幹システムから日常的に使用している業務システムへと情報を移動する必要があった。
そして、事務処理をするために、CD-ROMを使って基幹システムから情報を持ち出し、暗号化しないまま、その情報をファイルサーバーに置いてしまっていたのである。攻撃者はここを突いてきたのだ。
本書では年金機構の例だけでなく、ベネッセの内部犯行による名簿流出、中国のネット検閲、多国間のサイバー戦争など、近年のサイバー攻撃がどのような背景、どのような技術によって行なわれているのかが詳細に解説されている。
専門用語の使用は最低限にとどめられているので、こうした分野に苦手意識を持つ読者も手にとってみてはいかがだろうか。
※1…JNSA「2013年 情報セキュリティインシデントに関する調査報告書」
※2…コンピュータシステムを脅かすソフトウェアの総称。代表的なものとしては「トロイの木馬」と呼ばれるものがある。
※3…コンピュータに設けられた通信経路のうち、正規の経路や手段を経ずにシステムへ侵入するために設けられる接続経路のこと
(新刊JP編集部)
