Help us understand the problem. What is going on with this article?

日本年金機構の情報漏えいについて

More than 3 years have passed since last update.

脆弱性情報ではないが,規模が大きいうえに事後処理が杜撰な印象を受ける。ここでは経緯と顛末をメモとして残しておく。

事故の内容

日本年金機構職員あての Phishing メールの添付ファイルを職員が開封し,malware の侵入を許した模様。その後 malware を足掛かりに内部ネットワークへ不正アクセスが行われたようだ。

  • 5月8日に少なくとも1台の端末で malware 侵入があった(この件は NISC から厚労省に通報済み。日本年金機構も通信ログから確認)
    • この Phishing メールは公開されている電子メール・アドレスあてに届けられている
    • 侵入された端末は発覚から数時間後にネットワークから切り離された。ただし切り離されるまでに機構内の情報が持ち去られていると考えられる(後述)
    • セキュリティ対策ソフトは感知せず(新種の malware?)
  • 5月8日のものとは別に5月18~20日に Malware 付きの Phishing メールが送付され,別の職員が添付ファイルを開封し侵入されている
    • この Phishing メールは公開されてない電子メール・アドレスあてに届けられている(5月8日の不正アクセス時に取得?)
    • この端末を踏み台に,最終的に27台の端末が malware に侵入されたと思われる
  • 警察への通報は5月19日になってから
  • 5月21日から2台のパソコンから外部へ大量の情報発信があったことが確認されている
  • 5月23日に(上とは別の)19台のパソコンから外部へ大量の情報発信があったことが確認されている
  • 5月28日に警察から情報漏えいの情報提供がなされる。この時点でようやく関係各所に報告
  • 5月29日になってインターネット接続を遮断
  • 6月1日に一般へ公表

セキュリティ対策ソフトは最初の侵入から情報漏えいの発覚までの間に3回更新されているが、標的型攻撃の場合はあまり効果はないらしい。おそらく polymorphic 型の malware と思われる。

事故の影響・被害

  • 漏えいしたデータは「基礎年金番号」をキーとした氏名・生年月日・住所を含むデータ3種のべ125万件でユーザ・ベースで101万人が被害にあった。ちなみに被害にあったユーザは47都道府県全て網羅している。
  • このうち55万件にはパスワードによるアクセス制限がかかってなかった。ていうかパスワードだって?
  • 流出先は不明(東京都港区の海運業者のサーバーに漏えいした個人情報の一部が保存されていたらしい)。 今のところ具体的な被害はない
  • 住基ネットへの影響はないと総務省
  • マイナンバーへの影響はないと社会保障・税改革担当相
  • 日本年金機構を騙る電話が横行しているらしい。ご注意を(Twitter: 1, 2
  • 年金機構、情報流出は感染15日後から~新種ウイルスを静観、初動に甘さ」によると

感染が確認された5月8日から問題公表の6月1日までに、情報が流出した約125万件のうち、計436件で住所変更や受給口座変更の届け出があったことが判明。金銭被害は明らかになっておらず、機構は流出の影響はないとみているが、この436件については自宅訪問するなどして改めて本人確認を行うという。

対策

  • ウィルス対策ソフト会社に解析を依頼,マルウェアの除去を実行
  • 警察庁公安部が既に捜査を開始
  • 対象の年金加入者に対しては文面で通知(6/3 より発送)。基礎年金番号を変更する。不審情報に対する電話窓口の設置
  • 金融庁が金融機関へ当該事案に便乗した不正防止を要請

その他

ここの与太話は本家のブログに移しました。

初動の問題

年金機構、情報流出は感染15日後から~新種ウイルスを静観、初動に甘さ」によると

最初の感染を確認した時点で全てのパソコンをネットから遮断して隔離していれば、約125万件もの情報流出は防げた可能性もあり、機構幹部は「初動に甘さがあった」と認める。

とあるが、これは無理。セキュリティ会社から「「外部に情報を漏洩(ろうえい)するタイプではない」と報告を受け」てネットワークを切り離す判断などできるわけがない。ただし21日以降の異常通信をリアルタイムに検知して迅速に対応できていればもっと少ない被害で済んだかもしれない。

Emdivi について

Malware については,昨年の CloudyOmega 攻撃に使われたもの(Emdivi)との類似性が指摘されている。

今回の情報漏えい以降,改めて組織内のセキュリティが見直されたせいか Emdivi によると思われる不正アクセスが発見されている。

ブックマーク

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした