blog.鶯梭庵

二〇一五年水無月十四日日曜日

■ 年金機構の情報流出事件に思う [/links]

この記事は書かれてから1年以上経過しています。内容が古くなっている可能性があります。コメントの受付は終了しました。

日本年金機構から多量の個人情報が流出した。そもそもの発端は、５月８日に福岡の職員が「厚生年金基金制度の見直しについて（試案）に関する意見」というタイトルのメールを開き、リンク先のファイルを開けてしまったことだ。このタイトルならメールを開くのも仕方がないかとも思ったが、発信元は Yahoo! メールで、リンク先も Yahoo! のオンラインストレージだったという。そんな怪しいメールを開いてしまう職員がいるという時点で大問題だ。

その後、18日前後に約100通の標的型メールが送られたという。このときのメールはおそらく、８日に入手した情報をもとに巧妙に作られたものだろうから、全く怪しくないメールだっただろう。年金機構では「疑わしいメールを開くな」と全職員に通知していたそうだが、高度な標的型メールは全然怪しくないから、このような通知には何の意味もない。実際、このときのメールで27台のパソコンがウイルスに感染したという。

高度な標的型メールと通常のメールとを見分けることは、普通の人には不可能だ。とすると、添付ファイルを開くことがあるということを前提にして、それでも情報が漏れないシステムを作る必要がある。実際のところ、年金機構にもそのようなシステムがあったようだ。年金の情報は、インターネットにつながっていない基幹システムにあり、暗号化されていたという。であれば、インターネットにつながっているパソコンにウイルスが感染したとしても、情報を盗むことは困難だったはずだ。なぜ情報が漏れたのか。

信じがたいことに、一部の職員が年金情報を CD や DVD に書き出し、暗号を解除して Excel ファイルにした上で共有サーバーに置いていたという。これは全く言語道断で、年金機構に弁解の余地はない。

一方で、そのような運用が、システムが使いづらいせいだったとしたら、システムを作った側の責任も問うべきではないか。理屈の上でどんなに素晴らしいシステムでも、使ってもらえないのでは意味がない。年金機構のシステムの詳細については私は情報を持っていないが、現場での業務を十分に考慮して作られたシステムだったのだろうか。

年金機構にはもう一つ大問題がある。最初の感染が５月８日で、大規模感染が18日前後にあったというのに、インターネットを遮断したのは29日、漏えいを発表したのは６月１日だ。そのあいだ、22日と23日に不審な通信が検知され、28日には警察が情報流出を確認していた。一体、年金機構は３週間ものあいだ何をしていたのか。

現代の戦争は、戦車や戦闘機を使うばかりではない。金融戦争もあればサイバー戦争もある。今回の事件では、サイバー攻撃に対する日本の「防衛力」が限りなく低いことが露呈してしまった。日本を対象とした標的型攻撃は今までも増えていたが、今後ますます増えるだろう。そして日本は、70年前と同じように、敗退に敗退を重ねるだろう。

[このカテゴリをまとめて読む。] [最新の記事を読む。]

羽鳥公士郎

blog.鶯梭庵

二〇一五年 水無月 十四日 日曜日

■ 年金機構の情報流出事件に思う [/links]

カテゴリ

最新記事

二〇一五年水無月十四日日曜日