日本年金機構は20日、同機構への不正アクセスにより、個人情報が流出した件について、同機構内に設置した「不正アクセスによる情報流出事案に関する調査委員会」における調査結果について発表した。
個人情報は5月21日から23日までの間に流出
これによると、5月8日以降、標的型メールを合計で124通受信。そのうち、メールの添付ファイルなどを開封した同機構の職員は計5人。感染した端末は計31台。流出した約125万件(対象者は約101万人)の個人情報は5月21日から23日までの間に流出した。
約101万人の個人情報流出件数の内訳は、(1)4情報(基礎年金番号、氏名、生年月日、住所)が約5.2万件(約1.5万人)、(2)3情報(基礎年金番号、氏名、生年月日)が約116.7万件(約96.9万人)、(3)2情報(基礎年金番号、氏名)が約3.1万件(約3.0万人)(※約55万件のデータについてはパスワード未設定)。
事案の経緯については以下の通りとした。
5月8日・15日・18日・20日・21日・22日・23日における対応が重要なポイント
調査委員会が5月8日からの一連の対応状況を検証した結果、5月8日・15日・18日・20日・21日・22日・23日における対応が、21日~23日までの間の個人情報流出の防止に向けて改善できた可能性のある重要なポイントであったという。
「ポイント1(5月8日・5月15日)」は「送信元メールアドレスの受信拒否の設定を行わなかった」「標的型メール攻撃ではないかとの疑いが組織として共有されなかった」。「ポイント2(5月18日)」は、「標的型メール受信者全員に個別に添付ファイルの開封の有無を確認しなかった」。「ポイント3(5月20日)」も「標的型メール受信者全員に個別に添付ファイルの開封の有無を確認しなかった」。
「ポイント4(5月21日)」は、「NISCの解析結果に基づくフィルタリングを行わなかった」。「ポイント5・6(5月22日・23日)」は「機構内すべての統合ネットワークを通じたインターネット接続の遮断を行わなかった」としている。
情報セキュリティポリシー上は、インシデント対応の必要性が規定され、その具体化はリスク管理一般の規定などにゆだねられており、上記のポイントとなる各対応について、いずれも具体的なルールは定められていなかった。
標的型メール攻撃に対し十分な対応ができなかったことの要因に構造的問題
上記のとおり、標的型メール攻撃に対し十分な対応ができなかったことの要因としては、以下のような構造的問題があったとしている。
本事案については、CIO(システム部門担当理事)と情報セキュリティ担当部署の部長、グループ長及び担当者がラインとして対応してきたが、基本的対応は担当者任せとなっており、CIOや部長から具体的指示を行った事跡は確認できていない。
理事長、最高情報セキュリティ責任者(副理事長)への報告も適時適切に行われない場合があり、組織として迅速な対応が行われなかった。
情報セキュリティ担当部署に情報セキュリティに関する専門的な知識及び経験を有する人が配置されていなかった。
厚生労働省との情報共有について、案件の内容や重要性に応じてどのレベルで連絡し、相談するかに関するルールがあらかじめ定められていなかったため、担当者レベルに止まっていた。
再発防止に向けた今後の取り組みについては、「機構のシステム全体について、標的型メール攻撃を含め、想定し得るあらゆるインシデントに耐え得る強力な防御体制を整備する」などが挙げられた。