先日公表された国内公的機関による大規模な個人情報流失事件は、来年1月に運用開始を控えるマイナンバーへも影響を与えかねない大きな出来事だ。
今回情報流出の原因となった標的型攻撃は、巧妙かつ複雑な手口で行われ、昨年だけでも前年比3.5倍と大きく増加している。対策する側には他人事ではないニュースにちがいないだろう。
今回の様な標的型攻撃は、ウイルス対策ソフトの導入だけでは防ぎきれないとされており、以前にも紹介した通り多重の防御が必要になる。それでも様々な偽装を凝らし目的を達成しようとしてくるのだ。情報流出が発覚するまでにどのようなことが起こっていたのか、そしてそれに対してどのような対策を行えばよいかを紹介する。

125万件もの個人情報が流失

関連官公庁が実際に公開していたファイル名と同じ内容の「厚生年金基金制度の見直しについて (試案)に関する意見」という件名で、外部へ公開していたメールアドレス宛にメールが届いた。一部報道によると添付ファイルではなく、ストレージサービスのURLが記載されていたという。メールを開封した職員がこのURLにアクセス後、職員のPCはウイルスに感染。この感染で既にシステム内部への侵入を許している。感染した機器からはウイルスが検知されネットワークから遮断、その他全てのPCへワクチンを配布していたという。
さらに上記とは別人が、これも業務と関係があると思われる「給付研究委員会オープンセミナーのご案内」と称したメールの添付ファイルを開きウイルスに感染してしまう。この他にも様々なパターンのメールが送られており、いずれも開封したり、URLをクリックしたりせざるを得ないような内容が多く、改めて標的にされる怖さを思い知らされた。
今回の事件では2台のPCが直接感染しているが、添付ファイルを開けていない機器にも感染は広がっており、結果その数は40台ともいわれている。
発表によるとウイルスは全て新種で、種類も数種あるという。標的型攻撃の怖いところはここにある。今回もウイルス対策ソフトは動いている状態で、しかも最初の感染後の対策としてワクチンを打っている。それなのに再度感染させられてしまったのだ。標的型攻撃は手を変え品を変え執拗に攻撃をしかけ、狙った情報を確実に盗んでいくのだ。

運用上の問題はなかったのか

今回の情報流出は、個人の端末からだけでなく共有サーバーからも情報が抜き取られている。内部では業務のためにネットワークから遮断された基幹システムから個人情報をCD-ROMにコピーする事は許可されていた。が、共有サーバーにコピーし作業する事は原則禁止になっていたという。また共有サーバーへ保存する場合はパスワードをかける、という内規が守られていなかったという情報もある。しかし自分の業務と照らし合わせた場合にヒヤリとした方も少なくないだろう。
通常、インターネットが利用できる環境の端末で個人情報を取り扱う事は大きな危険が伴うことは事実として認識されている。個人端末には個人情報は保存せず、共有サーバーに保存するようにしているという方も多いのではないだろうか。今回の件でもわかるとおり、このような対処方法は何も功を奏さない。

また標的型攻撃のもう一つの特徴として、遠隔操作が可能になったPCは、C&Cサーバー(Command(攻撃)&Control(指令))から攻撃指令をうける足がかりとなり、LANで繋がれた他のPCや共有サーバーなどに次々と侵入し情報を搾取するという点にある。今回もこの様な攻撃が行われたと考えられる。C&Cサーバーも1つではなく無関係な第三者のPCを複数経由するなどして、簡単に身元を割り出せないような工夫もする。今回の事件ではそうしたC&Cサーバーの1つが港区から見つかっている。