情報セキュリティ トピックス

不正アクセスによる情報流出

アバター 総合研究部 上席研究員 佐藤栄俊

2015.06.16
印刷

不正アクセスによる情報流出

 6月1日、公的年金の保険料徴収や給付実務を担う日本年金機構は、ウィルスメールによる不正アクセスを受け、基礎年金番号や氏名など年金に関する個人情報計125万件が外部に流出したと発表しました。現時点で流出した可能性のある情報は、「年金番号と氏名」が約3万1000件、「基礎年金番号と氏名、生年月日」の組み合わせが約116万7000件、「基礎年金番号、氏名、生年月日と住所」の組み合わせが約5万2000件とされています。

 本事案については、年金にかかる問題ということもあり、国民が抱く懸念や関心度も高く、数多くのメディアで報じられていますが、現在までに詳細な事実についてはまだ明らかにされていません。また、一部報道にあるとおり、警視庁公安部がウィルスに感染していた情報を抜き取られパソコンの通信記録などの痕跡をたどり攻撃者の特定を進めるとしていますが、過去の大規模なサイバー攻撃同様、海外の複数のサーバーが不正アクセスの中継点になっており、海外への捜査機関にも協力を求める必要があるなど、、捜査の複雑化や長期化が予想されます。

 現在までに判明している情報流出の直接的な原因は、標的型攻撃メールを受け取った職員が添付ファイルを開きマルウェアに感染したことで社内LANを介して伝染、ファイル共有サーバーから個人情報を盗み出され、外部に送信されたということです。

【日本年金機構への不正アクセスによる情報流出の流れ】

  1. 同機構の職員のメールアドレスに複数のウィルス付き電子メールが送信された。
  2. 事務所で使用されていたパソコンでメールが開かれてウィルスに感染。
  3. 機構内部の複数のパソコンがウィルスに感染し、不正アクセスの踏み台になった。
  4. 共有サーバーに保存されていた加入者のデータが外部に送信された。

 その他にも東京商工会議所や厚生労働省の「健康保険組合連合会(健保連)」と「国立医薬品食品衛生研究所」、石油連盟でも不正アクセスによるサイバー攻撃が確認されており、特定の情報だけを狙ったものではなく、日本を標的とした組織的な攻撃であることが明確です。

 いずれも、仕事などの要件を装った電子メールによる「標的型攻撃」がサイバー攻撃の入り口になるとされています。日本年金機構に対して、メールの添付ファイルを不注意に開くことへの批判も見受けられますが、本件だけではなく標的型攻撃は日々精度が高くなり、手口が巧妙化しています。業務で毎日電子メールを利用せざるを得ない以上、そのリスクをしっかり認識したうえで組織的な体制や対策を検討する必要があります。

 警察庁によると、情報を盗む狙いでウィルスを送り付ける標的型メールによる攻撃は、昨年1723件で前年比3.5倍と大きく増加しています。日本年金機構の被害は氷山の一角であり、これまでにも政府関連機関や製造業、エネルギー関連機関、航空宇宙産業、金融機関などがサイバー攻撃の対象になっています。海外でも、公的機関の他、工場や化学プラント、発電所などのインフラ関連のシステムへのサイバー攻撃が継続的におこなわれています。

 日本年金機構の情報管理体制や運用(事故発覚時の報告体制、ファイルパスワードの設定、ルールの形骸化等)の問題点も指摘されていますが(この点については詳細が判明次第、別途情報セキュリティトピックス等で取り上げたいと思います)、業務でパソコンを利用し、メールやインターネットに接続できる環境があれば、ウィルス対策や、システムに対する脆弱性対策をしていたとしても、どの企業も同様の攻撃を受け、既に踏み台になってしまう可能性・危険性があるということを十分認識する必要があります。

標的型攻撃メールの手口

 標的型攻撃メールとは、特定の組織や個人宛に送られるウィルス付きメールであり、PCを感染させ組織内に侵入するものです。標的型攻撃メールは、あたかも業務に関係があるメールであるかのように送信者名、件名、本文を巧妙に装っており、普段から注意し、あやしい添付ファイルは開かないように心掛けていても、送信者が業務に関係のある信頼できる組織で、メールの件名が自分の業務に関係がありそうなものになっていれば、つい信用してメールを開いてしまう可能性があります。以下のように、標的型攻撃によるメールは新しい手法ではありませんが、より関係者に近いように見せかけ、より精度の高い巧妙な手口でアプローチ、攻撃が可能になるので注意が必要です。

 人の注意だけで騙しを完全に防ぐことは非常に困難ですが、一方で、実際の攻撃を見てみると、注意すれば不審な点に気づける攻撃が多いことも事実です。典型的な手口を知るなどして攻撃に備え、多層的な防御策の一つとして、情報を取り扱う「人」の注意力を高める努力を怠らないことが肝心だと言えます。

※例えば、「全く心当たりのないメールが自分宛てに送られてきた」、「件名に【緊急】【重要】などのキーワードや殊更に目を引く内容が含まれている」「添付ファイルの拡張子が「exe」などの実行ファイルになっている」「件名や本文が拙い日本語になっている」など。

【標的型攻撃メールの手口】

 標的型攻撃メールは、電子メールに仕込んだウィルスに感染させる必要があるため、メール本文、件名、ウィルスの仕込み方法等、以下のような手口でメール受信者を信頼させようとするものです。

▼参照:情報処理推進機構(IPA)「標的型攻撃メールの例と見分け方」

  • 電子メールの差出人や本文に、取引先の署名、公共機関等、信頼できる(実在していないが、実在しそうな)組織名や担当者名を用いる。
  • 取引先、公共機関等、信頼できるWebサイト等で公表されている情報を加工してメール本文や添付ファイルを作成する。
  • 組織内の正規の業務メールを加工して、メール本文や添付ファイルを作成する。
  • HTML形式のメールを利用し、正しいURLリンクとみせかけて、不正なWebサイトへ接続させる。
  • 関係者を装い業務に関連した、または業務にまったく関係のない会話を繰り返しするなどして、メール受信者の警戒心を和らげる。(やりとり型の攻撃で、一般の問い合わせ等を装った無害な「偵察」メールの後、ウイルス付きのメールを送るという手口の一つ。)
  • 外部からの問い合わせ等を装い、自然な電子メールのやり取りで添付ファイルを開かせる、またURLリンクにアクセスさせる。
ソーシャル・エンジニアリング

 ソーシャル・エンジニアリングとは、情報セキュリティ分野では、機械的(mechanical)な手段や技術的(technical)な手段ではなく、「人」の行為や行動における心理的(psychological)な弱点を狙う手法により、個人情報や機密情報などを詐取する行為や手口のことを指します。情報セキュリティにおいては、機械的な手段や技術的な手段ではなく、「人」の行為や、行動における心理的な弱点を狙う手法によって、個人情報や機密情報などを詐取する行為や手口を指し、場合によっては、フィッシングやトロイの木馬などのマルウェア(悪意を持ったソフトウェア)を使った手法なども、ソーシャル・エンジニアリングに含まれます。これらは、不正アクセスなどを成功させるための補足手段として用いられることもあります。

 ソーシャル・エンジニアリングは、「人」に錯誤を生じさせ不正プログラムをその「人」自らに実行させるための「騙しのテクニック」として、標的型攻撃において利用されています。ソースコードやプログラムの脆弱性とは異なり、「人」の心理の隙を完全に防ぐことはできないため、攻撃者にとって、人的な脆弱性を利用した悪意ある攻撃の実行可能性は高いと言えます。

 また、企業における情報漏えいリスクの一つとしてクローズアップされている産業スパイやサイバースパイ活動は、攻撃の前にソーシャル・エンジニアリングを利用して標的社員に近づくともいわれており、最近では、Facebook、Twitter等のSNSを利用し、組織内の特定の従業員になりすますことにより、標的社員の情報を取得するといった手口もあるので注意が必要です。ソーシャル・エンジニアリングの手口は標的型攻撃メール以外にもさまざまな種類があり、古典的かつ典型的な手口として以下の3種類が挙げられます。

① なりすまして情報を聞き出す

 一般的な手口として、上司になりすますことで権威に弱い人間から情報を詐取する手口や、同僚や仲間を装うことで相手が心を許し、善意から情報提供することを狙いとする手口が用いられます。原理的には、相槌を打ったり、質問をしてみたり、関心があることを装うことで、対象者に次々と情報を出させるように仕向ける手法です。例えば、以下の手口が挙げられます。

  • 社内のシステム管理者になりますまして、利用者から情報を引き出す。
  • 初心者の利用者や女性社員になりすまして、システム管理者から情報を引き出す。
  • 取引先、見込み客、実在する顧客になりすまして、情報を引き出す。
  • 公共サービス部門の関係者等、第三者になりすまして、情報を引き出す。
② ゴミ箱や廃棄処理されていないものをあさる

 ハッキングの対象として狙ったネットワークに侵入するために、ゴミ箱やゴミ捨て場に捨てられた資料から、ユーザー名やパスワード等の情報を探し出す手口です。トラッシング(Trashing,Dumpser Diving)、あるいはスキャベンジング(Scavenging)とも呼ばれ、ゴミとして廃棄された書類などから目的の情報を盗みだす手口を指します。不用意にゴミ箱に捨てたメモ書き(得意先の担当者氏名や電話番号、住所などを書き込んだものなど)だけではなく、CD、DVD、USBメモリなどの記憶媒体をそのまま捨てたものもターゲットとなり得ます。外部からネットワークに侵入する際に、初期の手順として行われることが多いのがトラッシングといわれています。ハッキングの対象として狙ったネットワークに侵入するために、ごみ箱に捨てられた資料から、サーバーやルーターなどの設定情報、ネットワーク構成図、IPアドレスの一覧、ユーザー名やパスワードといった情報を探し出すものです。具体的には、業務終了後、従業員が帰宅した深夜などに、企業のゴミ収集場に忍び込み、収集される前にゴミをあさるということもありますので、廃棄等の手順やルール、委託先等の管理についても、このような視点であらためて確認する必要があります。

③ 肩越しや背後から入力内容を見る

 パスワードなどの重要な情報を入力しているところを後ろから近づいて、覗き見る手口です。単純な手口ですが、成功すれば労せずしてパスワードやクレジットカードの番号等を入手することができます。清掃業者や運送業者を装い、社内へ侵入する場合もあれば、社外で移動中の端末操作を盗み見されることもあります。パソコンに向かっている操作者の背後に回り、入力しているパスワードや不在者の机上に置かれた手帳、重要な書類などを盗み見られることもあるので注意が必要です。

※ その他、昔から言われていることですが、エレベーターの中やオープンスペース、飲食店、喫煙所での会話も要注意です。悪意はなくとも、大声で社内に関することや、業務内容を話していれば否が応でも耳に入ります。

 ソーシャル・エンジニアリングの手口は、多岐にわたり、臨機応変に人間の心理につけ込み情報を詐取するため、技術的な対策は必ずしも有効ではありません。日常の業務における対策として有効なことは、ソーシャル・エンジニアリングの脅威に対する理解と警戒であり、基本中の基本である情報管理ルールの周知徹底に注意を払うことです。また「そんなあからさまな手口には騙されるわけがない・・・」との思い込みや過剰な自信を排除していくことも重要です。

関連するトピックス

◆ 国民生活センター「日本年金機構における個人情報流出に便乗した不審な電話にご注意ください!」

 国民生活センターによると、「あなたの年金情報が流出している」「流出した年金情報を削除できる」などといった不審な電話に関する相談が寄せられています。「あなたの個人情報が漏れているので、削除してあげる」などと電話をかけ、最終的にはお金をだまし取る詐欺が増加しているので、こうした不審な電話には十分な注意が必要です。実際に6月13日、今回の年金情報流出問題に便乗した不審な電話から、キャッシュカードを騙し取られるなどの詐欺被害が発生したことが報道されています。警察庁や日本年金機構は、個人宅などに電話やメールをすることはないこと、電話で年金の振込先を聞いたり、年金番号を聞いたりすることはないことを注意喚起しています。

 日本年金機構の事故に便乗した不審電話に限らず、振り込め詐欺等の特殊詐欺による被害は、年々深刻化しています。特に被害の多い高齢者への対策が最重要課題だと言えます。

◆ 日本情報経済社会推進協会(JIPDEC) 「マイナンバー対応中」は約30% 規模・地域で差

 日本情報経済社会推進協会(JIPDEC) の調査によると、マイナンバー制度開始に向けた企業の取り組み状況について、「既に取り組んでいる」(3%)と「計画中」(28%)の回答が計31%にとどまり、大半の企業が未着手であるとの実態が明らかになっています。また、企業規模別では、従業員300人超は54%が対応に着手しているものの、100人以下は25%前後と、特に中小企業で遅れが目立つということです。さらに、未着手の理由としては「何をすべきか分からない」が41%、「制度自体が分からない」が7%となっています。

 制度開始までの残りの期間、企業として準備と対応についてすみやかに検討していくことが求められています。マイナンバー制度に関しては、内閣官房の特設サイトを中心として、特定個人情報保護委員会、国税庁、厚生労働省等様々なところがかかわっており、随時ガイドライン集、Q&Aなども追加・更新されています。対応が未着手の場合であれば、まずは特定個人情報保護委員会、国税庁、厚生労働省の関連サイトにもアクセスし、マイナンバー制度に関する資料や指針を参照し制度を理解していく必要があります。詳細については、「情報セキュリティトピックス5月号」も併せてご参照ください。

▼株式会社エス・ピー・ネットワーク「情報セキュリティトピックス5月号」

 その他、冒頭に取り上げた日本年金機構の情報流出事故は、マイナンバー法の改正にも影響を及ぼしています。報道では、参院内閣委員会が5月21日に衆議院内閣委員会で可決された個人情報保護法、マイナンバー法改正案の採決を政府の原因究明や国民の不安解消を優先させるとして当面先送りするとしています。マイナンバー法改正案については、当初の社会保障(年金、医療、介護、福祉、労働保険)、税制(国税、地方税)、災害対策の3分野から、2018年より預金口座、乳幼児が受けた予防接種の記録などにも適用できるよう利用範囲を広げるもので、2015年6月中に参院を通過し、成立する見通しでした。

◆ 情報処理推進機構(IPA) 「【注意喚起】組織のウィルス感染の早期発見と対応を」

 情報処理推進機構(IPA)は、標的型サイバー攻撃の被害案件増加を受け、ウィルスに感染して攻撃が開始されていないか調査するとともに、システム運用の業務の一環としてウィルスの検知と対処に取り組むように注意喚起しています。

 繰り返しになりますが、標的型メール攻撃だけではなく、外部からの不正アクセスによる手口は年々巧妙化しています。最新の情報や手口の手法を把握し、自発的に自社内の脆弱性をチェックし、継続的な対策を検討することが望まれます。

最近の個人情報漏えい事故(2015年5月)

 下記の表は、先月5月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。

※情報セキュリティに特化したニュースサイトであるSecurity Next(http://www.security-next.com/)、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成

業種 発生原因 対象 備考
1 フロッピーディスク紛失 560人分の水道料金等の引き落としに使う金融機関の口座番号や名義人 どこかに紛れ込んだ可能性
2 市立小学校 パソコン盗難 全児童829人の指導要録や名簿など 校内に何者かが窓ガラスを割って侵入
3 介護・福祉関連 メール誤送信 顧客約1000件のメールアドレス Toで送信するところ、誤ってBccで送信
4 大学付属動物病院 書類紛失 飼い主の情報など約4000件の診察情報
5 市立大学 ハードディスク紛失 病院の患者ら約4万9000人分の氏名や住所、治療内容 医師が車上荒らしに遭い、鞄ごと盗難
6 大学病院 USBメモリ紛失 4名分の患者の氏名や年齢、診断名 職員がレポート作成の為、電子カルテから患者情報をUSBメモリにコピーして持ち出し
7 市立中学校 不法投棄 成績表や学級名簿など約800人分 市内の山林に不法投棄
8 書類紛失 84世帯分の氏名や住所
9 書類紛失 生徒166人分の顔写真や氏名、職員の電話番号
10 信用金庫 伝票紛失 氏名や住所、電話番号、口座番号など約8600件 誤廃棄の可能性
11 ソフトウェア開発 名刺紛失 イベントで交換した名刺約200名分 電車で移動中に鞄ごと紛失
12 医療センター USBメモリ紛失 同センターで出産した患者38人の指名や年齢
13 書類紛失 名前や住所、収めた市税の金額などが記載された領収書等25人分 携帯ポーチごと紛失
14 信用金庫 伝票紛失 顧客約1800件の氏名や住所、電話番号、口座番号 誤廃棄の可能性
15 スマホアプリ開発 メール誤送信 メールアドレス855件 誤送信の対象となった顧客には、対象のアカウントに対し、補填を実施するとしている。
16 通信 書類紛失 氏名、住所、電話番号が記載されていた顧客伝票1925件 シュレッダーによる裁断や焼却処理をすることとなっていたが、手で破り、自治体指定外のごみ袋に入れて廃棄しようとしたところ、一部が散乱しそのまま紛失。
17 大学病院 外付けハードディスク紛失 患者の氏名や住所、電話番号のほか、既往歴や主治療などの診療記録も含まれた約4万9000人分の個人情報 車上荒らしに遭い、鞄ごと盗難
18 県立高校 書類紛失 新入生160人分の氏名や生年月日、住所、顔写真が印刷され書類 配送中の運送業者が紛失
19 年金機構 不正アクセス 約125万名分の基礎年金番号、氏名、生年月日、住所 標的型攻撃によるウィルス感染
20 病院 外付けハードディスク紛失 患者約7749名分のID、氏名、年齢、性別、疾患名、手術名、退院日、ADL(日常生活動作) 院内で紛失
21 気象協会 メール誤送信 防災メール登録者延べ約3万2000人 システム不具合
22 学校 メール誤送信 件数不明 生徒のカウンセリングや面談内容を誤って送信
23 メール誤送信 513件のメールアドレス Bccで送信するところを誤ってCcで送信
24 市立高校 書類紛失 生徒の氏名や住所、保護者氏名、入学前の経歴、修得単位数、出欠記録、総合所見など40人分の指導要録
25 市立小学校 誤送付 児童の氏名や生年月日、入所年月日、保育必要量など88人分の個人別明細書
26 生命保険 CD-ROM紛失 個人69万4217件と法人6万330件の契約者氏名または社名、証券番号、保険種類、保険料などの情報 誤廃棄の可能性。専用ソフトによる暗号化を実施して、さらに月ごとに異なるパスワードを設定していたと説明
27 市立小学校 SDカード紛失 卒業生や保護者、一部の在校生の画像データなど38人分 教員が持ち出して紛失。(持ち出しは認められていなかった)
28 教育庁 メール誤送信 35人分のメールアドレス 誤って宛先に入力
29 水族館 Webサイトで誤表示 最大約135人分の氏名や住所、電話番号、生年月日、性別、メールアドレス、顔写真 アクセスが集中したことによるシステム不具合
30 保健センター 書類紛失 34世帯36人の氏名や住所、電話番号、生年月日のほか、検診結果や問診項目が記載された2医療機関分の受診票81件 要書類とともに誤って廃棄、他書類と誤って一緒に保存されている可能性
31 文科省 誤送付 意見募集に対する提出者111人分の個人情報445件の意見が保存されており、ローマ字表記の氏名や、住所、電話番号、メールアドレス
32 メール誤送信 利用団体代表者29件のメールアドレス 内部の職員に転送しようとしたところ、操作を誤って送付
33 国民基金年金連合 DVD紛失 確定拠出年金の拠出金引き落としに関する情報で、加入者の口座名義や口座番号、引き落とし金額など190件 データは暗号化されていた
34 冠婚葬祭業 ノート紛失 氏名や住所、電話番号、家族に関する情報など推定770件の顧客情報が記載されていたノート4冊 置き引きによる鞄ごと盗難
35 書類紛失 担任しているクラスの生徒が書いたアンケートや、1年生3クラス分の答案用紙 車上荒らしに遭い鞄ごと盗難

 「3」「15」「21」「22」「23」「28」「32」は電子メール誤送信による事故です。

 要因としては、システムの不具合によるものもあれば、ToとCc、Bccの誤認識、打ち間違え等によるうっかりミスや不注意等の多様な形態があります。その他よくありがちなパターンとしては、メールの転送と返信を間違えてしまったり、オートコンプリート(候補表示)で宛先を間違えてしまうこともあります。また、電子メール送信時は、誤送信しても送信者自身がその事態に気づかないことが多いことも大きな特徴です。

 メールアドレス一つだけでも、それは個人情報に該当しますし、誤送信事故が発生すれば企業として管理体制や対応の質が問われることになります。さらに、メールアドレスだけではなく、社外秘の内容や機密情報といった営業秘密や機微な情報が添付もしくは記載されていれば、それだけで企業にとって極めて重大な事故に発展しかねません。

 電子メールは今や業務に欠かせない重要な情報通信手段であると同時に、未だに事故が多く発生しています。電子メールの誤送信対策としては、システム的な施策(送信前の承認や自動暗号化等)以外にも、人的な脆弱性を克服していくためにも、各自が電子メールを送信する際に宛先、送信内容、同報送信の種類、添付ファイルを十分確認するプロセスについて、あらためて(何度でも)注意喚起し続ける必要があります。

【よくあるケース】

  • 社内宛てのメールを同姓の他企業の人に送信してしまった。
  • 他社向けの提案資料や見積りファイルを間違えて添付してしまった(しかもファイルパスワードや暗号化設定なし)。
  • メールアドレスを、Bcc ではなく To/Cc に設定したため、同報している全員に宛先情報を公開してしまった。

セミナーや研修について

 当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。

 セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。

【お問い合わせ】

株式会社エス・ピー・ネットワーク 総合研究室

Mail:souken@sp-network.co.jp

TEL:03-6891-5556

Back to Top