情報セキュリティ トピックス

企業・組織の情報セキュリティ態勢について考える2015(2)

アバター 総合研究部 上席研究員 佐藤栄俊

2015.11.17
印刷
情報セキュリティ態勢のイメージ画像

(1)企業・組織の情報セキュリティ態勢について考える

 皆様、こんにちは。
 本コラムでは、先月に引き続き今回も、日本年金機構(以下「機構」)で起きた情報漏えい事故を取り上げ、企業の情報セキュリティ対策や態勢について検討していきたいと思います。
 日本年金機構、厚生労働省、内閣官房のいずれの報告書においても、以下の項目が日本年金機構における情報セキュリティ上の問題だとして、その体制が脆弱だったと指摘しています。また、年金機構全体として国民の大切な情報を預かるという意識が欠如しており、情報セキュリティ上のリスクに対する認識が不十分であったことが、日常的なセキュリティ対策の不徹底やインシデント発生時における不適切な対応を招いたと結論付けています。

【報告書による主な指摘事項】

  • CSIRT(Computer Security Incident Response Team)制度が設けられておらず、本件のような事象を想定した厚労省との緊急連絡体制が定められていなかった。
  • リスクに備えた人員配置が行なわれていなかった。
  • 運用委託会社との間でインシデント発生時における緊急対応の内容につき明確な合意がなかった。
  • 情報セキュリティに関する研修内容は不十分で、標的型攻撃メールを含むサイバー攻撃に関する訓練は行なわれていなかったなど。

※CSIRT (シーサート)

▼JPCERTコーディネーションセンター 「CSIRTマテリアル」

Computer Security Incident Response Team)とは、組織内の情報セキュリティ問題を専門に扱う、インシデント対応チーム。コンピュータシステムやネットワークに保安上の問題に繋がる事象が発生した際に対応する組織。社内の情報システムや通信ネットワークでウィルス感染や不正アクセス、サービス拒否攻撃(DoS攻撃)などセキュリティ上の脅威となる現象や行為が発生した際に、組織内の対応窓口となって被害の拡大防止や関連情報の収集・告知、再発防止策の策定などの活動を行う。また、外部のCSIRTと連携して事件・事故の被害情報やシステムの脆弱性についての情報を共有したり、一般利用者へ情報セキュリティに関する教育や啓発、広報などの活動を行うこともある。大組織では常設の機関として専任の人員を置く場合もあるが、普段は情報システム関連の業務を行なうスタッフが事象発生時に集まって対応するという形態もある。

 機構の報告書では、約1か月の機構側の対応状況について、幾つかの重要なポイントがあり、不正アクセスを受けた時点の対応如何では被害を抑えられた可能性があったとしています。
 そのポイントの1つとして挙げられるのが、不審メールによるウィルス感染時の対応や周知が不十分だったことです。機構では初期の不審メール受信時、年金処理業務の運用委託会社からの「外部に情報を漏えいするタイプではない」との報告を受けた結果、事案が収束したという判断をおこなっています。しかし、実際には外部へ通信がおこなわれており、何らかの情報が外部に流出した、あるいは遠隔操作でバックドアが作られた状況を疑うべきでした。また、初期のフォレンジック調査では、メールソフトの職員個人の業務用メールアドレスの圧縮ファイルが作成されており、その一部が流出しているおそれがあることが確認されています。
 このように初動対応で事態を過小評価していることも問題だったと言えますが、機構内の注意喚起も不十分でした。社会では以前から標的型攻撃の危険性が叫ばれていたにもかかわらず、機構では職員などへの継続的な注意喚起が十分に行われず、職員の認識不足を招き、その結果、今回の事案では不信なメールの添付ファイルを開いた5人の職員のうち4人がセキュリティ担当部署に報告をしていなかったということです。この辺りも大きな問題点であったと言えます。

「日本年金機構の注意喚起メール(一部)」

最近、外部から機構宛てに不審なメールが相次いでいます。
送り主の名前に身に覚えのない不審なメールが届いた場合は、添付文書やURLなどを開封せずに削除してください。

▼日本年金機構「不正アクセスによる情報流出事案に関する調査結果報告書」

 初期の注意喚起の内容は、参考情報として標的型メールによる攻撃の一般的な説明が追加されているだけであり、初めに初送付されてきた不審メールの件名や送付元アドレス、本文内容といたった情報が一切知らされていません。本件の一連の不審メールは、送信元のメールアドレスやドメイン、リンク先等に共通点が確認できることから、適切に情報開示することでその後の被害を防止できた可能性があります。

 次のポイントは、不審メールの受信者に添付ファイルを開封したかどうかの確認を怠ったことです。このことはすなわち、不審メールを受信した後、ウィルス感染したかどうかの調査をおこなっていないことに等しいことになります。最初の不審メールでは「たまたま」外部との通信や情報流出がおこなわれていませんでしたが、その後の攻撃メールではウィルス感染した結果、大量の情報流出がおこなわれてしまいました。報告書では、5月20日時点で管理者権限が窃取され、複数台の端末に感染が拡がりましたが、大量の流出が始まったのは5月21日からだとされています(最初の検知は5月8日)。恐らくは感染した端末からアクセス可能なサーバーやその種類、それぞれのサーバーにどのような情報が格納されているかを調査するのに1日程度かかっていたということです。逆に、その1日にウィルス感染状況の把握やネットワーク遮断の措置等をおこなっていれば、情報流出を防止できた可能性があります。

 特に今回の事故では、内閣サイバーセキュリティセンター(NISC)が不審な通信を確認し通報があったその時点でネットワークを遮断し、徹底した調査をおこなうことができれば、業務への影響を最小化し、被害も抑えられる可能性がありました。いずれにせよ、全体を通じての対応が全て担当者ベースで留まり、CIOや責任者クラス含め、セキュリティ意識やモラル・危機感の欠如によって組織的な対応がなされていなかったことも問題視すべきところです。

攻撃を前提とした対策

 サイバー攻撃者は、企業や組織よりも構造的に優位な立場にあります。攻撃者は防御側にあるセキュリティホールを一つ見つければ、そこから様々な攻撃の手口を仕掛けられるのに対して、防御側は、全てのセキュリティホールを把握し対策を取ることが必要で、これは事実上不可能です。

 今回の日本年金機構での事故は標的型メールが攻撃の侵入口です。標的型メールは、繰り返し似たようなレベルの内容が届くスパムメールとは異なり、一様にフィルタリングできるものではありません。

 2013年度中に内閣サイバーセキュリティセンター(NISC)が行った標的型メール攻撃訓練では 18府省庁の対象者約18万人のうち、1割がメールを開いたことが報告されています。つまり組織の中で10人のうち 1人は開いてしまうという計算になります。組織の業務に直接関連した件名の使用や取引のある組織からのメール送信と思い込ませる偽装など、攻撃者は失敗した攻撃から学び、また新たに得た情報を利用して標的型メールを巧妙化させます。

 日本年金機構の情報管理体制や運用上の問題点も指摘されるべき点ですが、業務でパソコンを利用し、メールやインターネットに接続できる環境があれば、ウィルス対策や、システムに対する脆弱性対策をしていたとしても、どの企業も同様の攻撃を受け、踏み台になってしまう可能性・危険性があるということを十分認識する必要があります。巧妙化によって、受信者がだまされる可能性も高まります。そもそも利用者に攻撃メールが届かないようシステム的な不審メールのフィルタリングによる対策を行うことは当然不可欠です。ここでは、標的型メールに添付されているファイル、あるいはリンクからダウンロードされるファイルが行う通信や挙動をシミュレーションすることで不正なメールであることを検知できる対策が必要です。さらに加えて、侵入の発生を前提とした対策の考えも必要となります。入口ですべての侵入を防ぐことは理想ですが、すべてにおいて万全の対策は無い以上、出口と内部での多層防御が重要になると言えます。

自主的に気づけるような仕組みと監視

 今回の日本年金機構の事例では、事象発覚のきっかけは内閣サイバーセキュリティセンター(NISC)からの不審な通信発生の指摘であったことが確認されています。これは、標的型メールによる不正プログラム(遠隔操作ツール)の侵入を自主的に気付くことはできなかったことを意味します。

 標的型攻撃において、侵入時に使用される不正プログラムは、その時点で標的となる組織が使用するセキュリティ対策ソフトやパターンファイルに検出されないことを確認して送り込まれます。このため、従来のウィルス検出の手法だけで侵入を防いだり、早期に発見することはあまり期待できず、結果として「外部からの指摘」で侵入に気付くケースが多い傾向にあります。侵入した遠隔操作ツールは、内部活動としてネットワーク内の探索を行いますが、その前段階として遠隔操作の確立、または侵入段階で自動的に収集した情報を送信するために外部との通信を行います。この事例で発覚のきっかけとなった NISC の指摘は、侵入した遠隔操作ツールが行う外部の遠隔操作用サーバ(C&Cサーバ)への通信に着眼しているものと思われます。

 侵入した遠隔操作ツールの存在を可視化するためには、組織のネットワーク内から外部への通信を捉えることが重要なポイントとなります。また、ネットワーク内の監視も侵入した脅威の早期の可視化と存在の特定のためには不可欠です。ゲートウェイもしくは内部のルータのポイントでネットワーク内から外への通信とネットワーク内部での通信の双方を監視する対策を採ることにより、侵入した標的型サイバー攻撃に早い段階で気づき、迅速な対処につなげることができます。このような「内部対策」が昨今の標的型サイバー攻撃においては重要だと言えます。

(次回の情報セキュリティトピックスでは、経営課題、経営レベルとしての情報セキュリティや業務優先(都合)のリスクについて取り上げる予定です。)

(2)最近のトピックス

独立行政法人情報処理推進機構(IPA)「【注意喚起】 SNSの友達リクエストを承認したら、連絡先情報を読み取られ、自分名義の招待メールが拡散!」

 独立行政法人情報処理推進機構(IPA)は10月28日、「海外のSNSからの友達リクエストに承認した結果、Googleに登録してある友人のメールアドレスに対して自分名義で招待メールが送信された」という相談が急増しているとして、注意を呼びかけました。
SNSの友達リクエストメールを受け取り、承認したところ、Googleの連絡先(コンタクト)に登録しているアドレス宛に、同様のメールが自分の名義で勝手に送信されるとしています。IPAの相談窓口には、10月に入り10月23日までで、39件の相談が寄せられました。この数字は9月の3倍以上となります。
 この海外SNSのリクエストメールでは、承認の流れのなかでGoogleの「サービス連携」を求めてきます。これを許可してしまうと、この海外SNSがGoogleの連絡先にアクセス可能となってしまいます。これを利用して、勝手にさらなる招待メールを送信するという流れで、メールが連鎖しているようです。
 なお、会社などグループ組織で「Google Apps」を利用している場合は、組織内で使用している連絡先情報等が読み取られることになります。不用意なサービス連携や意図せず許可したサービス連携には注意が必要です。

トレンドマイクロ「日本サイバー犯罪アンダーグラウンドの実態調査」

 トレンドマイクロは10月13日、「日本のサイバー犯罪アンダーグラウンド」の調査レポートを公開しました。インターネットには、「Tor」のように、一般的な方法でアクセスできない”匿名ネットワーク”(Dark Web)が存在し、サイバー犯罪などに利用されているとしています。同社の「Deep Web Analyzer」を用いて収集されたTorネットワーク上の11の固有ドメインを含む2224サイトを対象に、日本に関連したサイバー犯罪者たちの実態に関する調査では、日本国内の利用者から窃取/詐取された以下の情報が、実際に世界のアンダーグラウンドマーケットで売買されている実態が確認されたとのことです。

  • 電話番号データベース
  • 個人情報
  • 各種アカウント情報
  • クレジットカード情報
  • 偽造パスポート
  • 児童ポルノ
  • 武器、銃器
  • ハッキング関連ノウハウ
  • バーチャル私書箱

 また、同調査では、警察庁の公表資料などもあわせて紹介しています。平成26年におけるサイバー犯罪に関する警察庁への相談件数は、前年から40%増加しており、相談の内訳で最も件数に増加が見られたのは「違法・有害情報」で62%増、次いで「詐欺・悪質商法」の60%増、続いて「不正アクセス」の53%増となっています。
 なお、不正アクセスに関して警察庁が公表している別の資料によれば、不正アクセス成功後の行為として最も多いのが「インターネットバンキングの不正送金」、次いで「他人へのなりすまし」であり、これらについても前年度と比較すると前者は47%増、後者は288%増と、大きな増加が確認できます。
 また、警察庁の調べで、2014年におけるインターネットバンキングの不正送金は、過去最悪の約29億1,000万円にも上っており、さらに2015年は上半期だけで約15億4,400万円に達しており、前年同様もしくは前年を上回る勢いです。
 なお、「詐欺・悪質商法」については、先月10月から通知が開始されたマイナンバーの制度に便乗した犯罪も既に確認されています。特に10月に入ってからは複数の人数から成る詐欺グループによる、いわゆる「劇場型」の詐欺行為が横行しており、消費者庁、内閣府、特定個人情報保護委員会、総務省からも注意喚起が発せられています。相談事例の多くは電話による詐欺行為で、金銭被害に発展したケースもあり、アンダーグラウンドで入手可能な電話番号データベースは、このような詐欺行為において非常に有用となる貴重な情報源になる可能性が多いにあります。

▼消費者庁「マイナンバー制度に便乗した不正な勧誘や個人情報の取得にご注意ください!」

独立行政法人情報処理推進機構(IPA)

 独立行政法人情報処理推進機構(IPA)は10月23日、2015年第3四半期(7月~9月)のコンピュータウイルス・不正アクセスの届出状況および相談受付状況について、取りまとめたデータを発表しました。

 第3四半期の情報セキュリティ安心相談窓口への相談内容としては、「ワンクリック請求」が引き続き多く、スマートフォンを対象にした相談が、前四半期から約15.8%増(403件)で過去最多になりました。
 コンピュータウイルス届出件数は、685件で、前四半期比で約11.3%減と引き続き減少。前四半期(4~6月)には、1年振りにウィルス感染被害の届出がありましたが、今回は警察への被害届出はなかったようです。また、今四半期のウィルス検出数3,770個と、前四半期の13,683個から大きく減少しました。
 不正プログラム検出数も58,412個とやや減少傾向にあり、もっとも多く検出された不正プログラムは、別のウィルスを感染させようとする「Downloader」で、全体の35.4%を占め、前四半期の約10.7%増となっています。
 また、不正アクセスの今四半期の届出件数は18件で、そのうち被害があったのは15件(「なりすまし」5件、「侵入」4件、「DoS」3件、「その他(被害あり)」3件)でした。前四半期と比較すると「侵入」が全体の約6.7%から約22.2%に増加しています。なお「不正プログラム埋込」の届出は0件でした。

経済産業省「改正個人情報保護法の概要と中小企業の実務への影響」

 9月3日に改正個人情報保護法が成立し、同9日に公布されました。施行は公布から2年以内となっており、来年1月には内閣府の外局として、「個人情報保護委員会」が発足します。現在の「特定個人情報保護委員会」が改組され、立入検査の権限等が集約されるとしています。
 また、今回の改正によって、マイナンバー制度と同様小規模の個人情報取り扱い事業者であっても、本法が適用されることになっています。改正法によっては規制が強化されていることをシステム担当者、セキュリティ担当者は改めて肝に銘じるべきです。
 改正法で規定されている個人情報を含むデータベースの特定、ログ取得の方法と保存方法、規定や業務フローの見直し、システムの改修計画など、施行前に準備しておくことは山積みだと言えます。マイナンバーの施行前の準備状況のように慌ただしくならないよう、早めの体制づくりや準備をおすすめします。

(3)最近の個人情報漏えい事故(2015年10月)

 下記の表は、先月10月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。

※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。

業種 発生原因 対象 備考
1 県立高校 USBメモリ紛失 全校生徒893人の氏名や履修状況 自宅で作業をするためUSBメモリを持ち出し、そのまま市内の飲食店で同僚と飲食し帰宅したところ、USBメモリや財布などが入った鞄ごと紛失。
2 市立学校 書類紛失 担当する生徒7人分の名前や住所などを書いたアドレス帳 同校教諭が車で帰宅途中に市内の娯楽施設に立ち寄り、約1時間後に駐車場に戻ったところ車が盗難。
3 私立大学 USBメモリ紛失 学生約630人の名前や成績
4 神奈川県大磯町 書類紛失 約120世帯の世帯主名や住所 調査員がバイクで調査票の配布をおこなっている最中に紛失
5 神奈川県 名簿紛失 29人の氏名や住所、連絡先のほか、所属団体や役職など
6 練馬区 書類紛失 税証明書交付申請書約1600件で、申請者の氏名や住所、電話番号など 不要文書を廃棄した際に誤って処分した可能性
7 江南厚生病院 書類紛失 患者62人の氏名や薬剤の名前などが記載された帳票 車上荒らしで鞄ごと盗難
8 市立小学校 名簿紛失 平成27年度に在籍している全校児童632人分の氏名や住所、保護者名などが記載されている児童名簿1冊 誤廃棄の可能性
9 国立大学 外付けHD紛失 学生約1500人分の氏名や成績 出張先のイギリスで鞄ごと置き忘れ
10 大学病院 ノートPC紛失 担当患者約500人分の氏名、病名など 私物のパソコンにデータをコピーして持ち帰ったところ、帰宅途中に電車内で鞄ごと置き忘れ紛失
11 印鑑、印刷サービス 誤って印字 一部において、宛先とは異なる顧客の氏名や住所などが印字 ダイレクトメールで、一部において、宛先とは異なる顧客の氏名や住所などが印字
12 新潟県立介護大学 書類紛失 模擬試験の結果91人分で、学生の学籍番号や氏名のほか、評価
13 近畿労働金庫 書類紛失 個人と団体顧客、合わせて140件の氏名や住所、口座番号など 誤廃棄の可能性
14 私立大学 USBメモリ紛失 氏名や学籍番号のほか、成績関連情報など 誤廃棄の可能性
15 私立大学 誤送信 登録を行った会員の氏名、郵便番号、電話番号、生年月日、身長などの個人情報を含むメールが、登録者493人に対して送信 システムの不具合、会員登録時の操作ミス
16 神奈川県三浦市 持ち出し 市民の個人情報を含む市の電子データファイル200万件分と、紙の公文書150件分(1500枚) 持ち出した本人は「自宅で仕事や勉強をするために持ち出した。外部には流出させていない」と説明
17 熊本県西原村 持ち出し 全村民約7100人分の住民基本台帳を含む少なくとも約18万点の行政情報ファイル
18 神奈川県平塚市 書類紛失 約100世帯の世帯主の氏名や住所が記された調査世帯一覧8枚 訪問した対象世帯が不在だったため、訪れたことを伝えるメモを郵便受けに入れた際、調査世帯一覧や地図を挟んでいたバインダーを玄関脇に置き忘れた。
19 埼玉県宮代町 誤発送 町民3000人に郵送した書類の宛名ラベルに、生年月日と性別を記載
20 厚生労働省 書類紛失 一時帰国者15人と介護人15人の氏名や住所、電話番号、生年月日、旅券番号など。また、一時帰国中に訪問を受け入れた親族6人や、一時帰国事業に従事している職員27人の個人情報。 事業を委託している中国残留孤児援護基金の職員が帰宅途中に紛失。
21 コンテンツサービス Web上に誤表示 利用者3325人分のニックネームや生年月日、性別、会員番号など。利用者によっては、ポイントの購入履歴やプロフィール画像、メールアドレス、TwitterやFacebookのアカウント名など。 システムの不具合
22 大阪市生野区 書類紛失 世帯主や住所など計54人分の個人情報(国勢調査にかかる情報)
23 県立高校 書類紛失 生徒の住所、氏名、学業成績などの個人情報を記載した118人分の「生徒指導要録」 当初「個人情報が漏えいする緊急性はない」として公表せず。
24 オンラインショップ Webで誤表示 会員の氏名欄にほかの会員の氏名、メールアドレス システムの不具合
25 市立中学校 USBメモリ紛失 生徒約1000人の数学の成績や住所、給食費の支払い状況など 生徒の個人情報をメモリーに保存しないよう各学校に文書で通知していたが、女性教諭は使い続けていたとのこと。
26 練馬区 USBメモリ紛失 税証明書交付申請書1550件で、申請者の氏名や住所、電話番号、生年月日のほか、証明書が必要な者の氏名と住所、生年月日、使用目的など 誤廃棄の可能性
27 市立中学校 USBメモリ紛失 188人分の氏名や住所、数学の成績、および全校生徒574人分の給食会計簿一式などにくわえ、前任校の生徒の個人情報のべ1690人分
28 総務省 メール誤送信 メールアドレス1件 個人のメールアドレス1件を本文中に誤って記載し35人に送信。
29 京都大学生活協同組合 メール誤送信 メールアドレス232件 メールソフト不具合の可能性
30 市立小学校 書類紛失 児童名簿1冊 誤廃棄の可能性
31 市立中学校 USBメモリ紛失 29人の活動記録や所見のほか、2年生と3年生169人分の技術と家庭科の成績
32 済生会江津総合病院 BDレコーダー紛失 患者40人(38~91歳)の氏名など個人情報や手術映像 盗難の可能性
33 聖マリアンナ医科大病院 ノートPC紛失 患者約500人の氏名や年齢、ID番号、病名など 電車内で置き忘れ
34 市立中学校 書類、スマホ紛失 約170人の出席番号や名前などが記入された漢字テストや、生徒らの合唱の練習風景を撮影したスマートフォン 車上荒らしで、鞄ごと盗難
35 横浜市鶴見区 誤交付 1世帯3人の氏名や生年月日、性別、本籍、住民票コードのほか、現在の住所と転出予定先の住所、マイナンバー。 別の住民に誤って交付
36 浦安郵便局 誤配達 マイナンバー1件 別人のマイナンバー通知書を配達

 「16」「17」は職員が組織内のデータを自宅に持ち帰っていた事案です。「16」の神奈川県三浦市では、男性主任が市民の個人情報を含む市の電子データファイル200万件分と、紙の公文書150件分(1500枚)を不正に持ち出していたと発表しました。当該職員は「自宅で仕事や勉強をするために持ち出した。外部には流出させていない」と説明しており、外部流出は確認されていませんが、三浦市は三崎署に刑事告訴する方針です。
 また、「17」の熊本県西原村は、課長級の職員が全村民約7100人分の住民基本台帳を含む少なくとも約18万点の行政情報ファイルを無断で持ち出し、自宅の個人PCに保存していたと発表しました。こちらについても、現時点では外部への情報流出は確認されていないとのことですが、マイナンバー制度の導入に伴う庁内のPCのセキュリティーチェックによって判明したということです。
 今回の2事例もそうですが、内部関係者による情報の意図的な持ち出しは、概してその情報量は多い傾向にあると言えます。また、過去の大規模な個人情報漏えいの等に関するインシデント報告等を見ても、内部関係者が意図的に関与した情報漏えいで被害の大きいケースは、「正当な」アクセス権限を持つ人物が「正当な」作業手順で、「不当に」データ収集・持ち出しを故意に行ったというケースです。

 本事案等の対策を検討するにあたっては、従業員の意識や情報モラルも当然重要だと思いますが、組織としてまずは資産である情報の重要性とその脅威を明確にし、「アクセス権限を持つ人物を最小限に留める」「退職者など、アクセス権限保持者に異動があった場合には速やかにそのIDとアクセス権を削除する」「アクセス状況をモニタリングする」などの基本的な部分をあらためて確認してみる必要があります。

セミナーや研修について

 当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
 セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。

【お問い合わせ】

株式会社エス・ピー・ネットワーク 総合研究室

Mail:souken@sp-network.co.jp

TEL:03-6891-5556

Back to Top