日本年金機構の情報漏えいについて

脆弱性情報ではないが，規模が大きいうえに事後処理が杜撰な印象を受ける。ここでは経緯と顛末をメモとして残しておく。

事故の内容

日本年金機構職員あての Phishing メールの添付ファイルを職員が開封し，malware の侵入を許した模様。その後 malware を足掛かりに内部ネットワークへ不正アクセスが行われたようだ。

• 5月8日に少なくとも1台の端末で malware 侵入があった（この件は NISC から厚労省に通報済み。日本年金機構も通信ログから確認）
  • この Phishing メールは公開されている電子メール・アドレスあてに届けられている
  • 侵入された端末は発覚から数時間後にネットワークから切り離された。ただし切り離されるまでに機構内の情報が持ち去られていると考えられる（後述）
  • セキュリティ対策ソフトは感知せず（新種の malware？）
• 5月8日のものとは別に5月18～20日に Malware 付きの Phishing メールが送付され，別の職員が添付ファイルを開封し侵入されている
  • この Phishing メールは公開されてない電子メール・アドレスあてに届けられている（5月8日の不正アクセス時に取得？）
  • この端末を踏み台に，最終的に27台の端末が malware に侵入されたと思われる
• 警察への通報は5月19日になってから
• 5月21日から2台のパソコンから外部へ大量の情報発信があったことが確認されている
• 5月23日に（上とは別の）19台のパソコンから外部へ大量の情報発信があったことが確認されている
• 5月28日に警察から情報漏えいの情報提供がなされる。この時点でようやく関係各所に報告
• 5月29日になってインターネット接続を遮断
• 6月1日に一般へ公表

セキュリティ対策ソフトは最初の侵入から情報漏えいの発覚までの間に3回更新されているが、標的型攻撃の場合はあまり効果はないらしい。おそらく polymorphic 型の malware と思われる。

事故の影響・被害

• 漏えいしたデータは「基礎年金番号」をキーとした氏名・生年月日・住所を含むデータ3種のべ125万件でユーザ・ベースで101万人が被害にあった。ちなみに被害にあったユーザは47都道府県全て網羅している。
• このうち55万件にはパスワードによるアクセス制限がかかってなかった。ていうかパスワードだって？
• 流出先は不明（東京都港区の海運業者のサーバーに漏えいした個人情報の一部が保存されていたらしい）。 今のところ具体的な被害はない
• 住基ネットへの影響はないと総務省
• マイナンバーへの影響はないと社会保障・税改革担当相
• 日本年金機構を騙る電話が横行しているらしい。ご注意を（Twitter: 1, 2）
• 「年金機構、情報流出は感染15日後から～新種ウイルスを静観、初動に甘さ」によると

感染が確認された5月8日から問題公表の6月1日までに、情報が流出した約125万件のうち、計436件で住所変更や受給口座変更の届け出があったことが判明。金銭被害は明らかになっておらず、機構は流出の影響はないとみているが、この436件については自宅訪問するなどして改めて本人確認を行うという。

対策

• ウィルス対策ソフト会社に解析を依頼，マルウェアの除去を実行
• 警察庁公安部が既に捜査を開始
• 対象の年金加入者に対しては文面で通知（6/3 より発送）。基礎年金番号を変更する。不審情報に対する電話窓口の設置
• 金融庁が金融機関へ当該事案に便乗した不正防止を要請

その他

ここの与太話は本家のブログに移しました。

• 人を排除するシステムは人に殺される — Baldanders.info

初動の問題

「年金機構、情報流出は感染15日後から～新種ウイルスを静観、初動に甘さ」によると

最初の感染を確認した時点で全てのパソコンをネットから遮断して隔離していれば、約125万件もの情報流出は防げた可能性もあり、機構幹部は「初動に甘さがあった」と認める。

とあるが、これは無理。セキュリティ会社から「「外部に情報を漏洩（ろうえい）するタイプではない」と報告を受け」てネットワークを切り離す判断などできるわけがない。ただし21日以降の異常通信をリアルタイムに検知して迅速に対応できていればもっと少ない被害で済んだかもしれない。

Emdivi について

Malware については，昨年の CloudyOmega 攻撃に使われたもの（Emdivi）との類似性が指摘されている。

• 医療費通知の偽装メールについてまとめてみた - piyolog
• CloudyOmega 攻撃: 一太郎のゼロデイ脆弱性を悪用して日本を継続的に狙うサイバースパイ攻撃 | Symantec Connect Community

今回の情報漏えい以降，改めて組織内のセキュリティが見直されたせいか Emdivi によると思われる不正アクセスが発見されている。

• 年金機構は氷山の一角、少なくとも300カ所に侵入済み、報道機関にもクラウド事業者にも -INTERNET Watch : カスペルスキ―のこの手のマッチポンプ広告にはウンザリするのだが，まぁ情報として知っておいて損はない。
• 水面下で侵攻するサイバースパイ活動急増に関する注意喚起 | セキュリティ情報 | 株式会社ラック
  • ASCII.jp：「Emdivi」使い多発する日本への標的型攻撃、ラックが詳細報告 (1/2)
• 年金機構事件で発覚--感染に気付かれず潜伏する「Emdivi」の恐ろしさ - (page 2) - ZDNet Japan

ブックマーク

• 日本年金機構の個人情報流出について（PDF）: 日本年金機構オフィシャル情報
• 日本年金機構の情報漏えいについてまとめてみた - piyolog
• セキュリティホール memo の記事
• 住所など125万件の個人情報が流出--日本年金機構 - ZDNet Japan
• 日本年金機構不正アクセス事案について｜厚生労働省
• 【注意喚起】ウイルス感染を想定したセキュリティ対策と運用管理を：IPA 独立行政法人 情報処理推進機構
• News ＆ Trend - 日本年金機構、標的型攻撃で年金情報流出 ：ITpro
• 年金機構、情報流出は感染15日後から～新種ウイルスを静観、初動に甘さ -INTERNET Watch
• 【注意喚起】組織のウイルス感染の早期発見と対応を：IPA 独立行政法人 情報処理推進機構 : 「ウイルス活動の痕跡の確認ポイント」が紹介されている。セキュリティ企業や専門機関に丸投げすると malware 侵入および不正アクセスの発覚が遅れる可能性がある。企業・組織がどこまで自衛できるかがポイントかな。
• 今すべきことは何だろう？ - 日本のセキュリティチーム - TechNet Blogs : MS がこういう記事を出すのは珍しい気がする。
• 「日本年金機構の情報漏えい事件から得られる教訓」公開のお知らせ | ニュースリリース | 株式会社ラック : 多分、本件に関する一番まともな考察記事かも
• ニュース - 日本年金機構、年金情報の流出は約101万人分：ITpro
• 2015年6月に発表されたマルウェア感染インシデントをまとめてみた - piyolog : 日本年金機構の情報漏えい事故以降発覚した malware 侵入の案件についてまとめてある