日本年金機構、ウイルス感染により個人情報流出125万件(更新中)

2015.06.01 22:53作成
2015.06.02 23:36更新、2015.06.03 19:50更新、2015.06.04 23:10更新
2015.06.16 21:00更新、2015.06.18 21:45更新、2015.06.21 23:00更新
2015.06.23 22:30更新、2015.08.20 23:20更新

日本年金機構専用電話窓口(※6月14日まで)
電話番号:
フリーダイヤル 0120-818211
受付時間:
8:30~21:00(平日及び土日)
※日本年金機構からは「電話」「メール」は行いません。必ず「封書」で届きます。
受付開始直後および20時以降の時間帯は大変混み合っているようです。
不審な「電話」「メール」は注意しましょう。
不審な電話を確認されている、福岡県民・東京都民・埼玉県民、注意しましょう。

ウイルスは年々に倍増しているけれど、気づかれずに感染するといった脅威が増してきている。当ブログでは、まとめ、というよりも、理想対策についても、少し触れていきたいと思う。
シス管だけに、対策製品情報は、人一倍所有しています。コレ特権!(笑)

今回お話する内容は、おおそれた手口(サイバー攻撃等)による被害ではなく、マルウエア(ウイルス)感染による情報漏洩(ろうえい)事故だ。ウイルス感染は、2015年5月8日に発生した。日本年金機構九州ブロック宛にメールが届いたのが10:28。10:49に職員のうち1人がメールを開き、URLをクリックした。そう、あたかも本物のようなURLリンクで、裏側は全然違うURLでリンクしていたんだろう。メールはHTMLで書けば、自由に偽造ができる。それをクリックしてそれらしきファイルをダウンロード。自ら実行したわけだから、インストールまでできてしまった、という、APTに少し勉強している人であれば、注意できていたのかもしれない。ただ、非常に流行しているドライブバイダウンロードだから、しょうがない。Web経由でユーザーに気付かれずに不正ソフトウエアをダウンロードさせられた。10:50頃に不正通信が開始されたという。調査結果、15:25に感染端末1台を隔離。残念ながら、ウイルス駆除ソフトに検知されずに、次々と標的型攻撃メールが送られた。

ぐぐっていると、ダウンローダー型ウイルスについて、《情報セキュリティスペシャリスト 平成25年春期 午前Ⅱ 問15》《情報セキュリティスペシャリスト 平成22年春期 午前Ⅱ 問12》に出題されている。
内容をみてみよう。。。

ダウンローダ型ウイルスが内部ネットワークのPCに感染した場合に、インターネット経由で他のウイルスがダウンロードされることを防ぐ対策として、最も有効なものはどれか。
 ア  URLフィルタを用いてインターネット上の不正Webサイトへの接続を遮断する。
 イ  インターネットから内部ネットワークに向けた要求パケットによる不正侵入行為をIPSで破棄する。
 ウ  スパムメール対策サーバでインターネットからのスパムメールを拒否する。
 エ  メールフィルタで他サイトへの不正メール発信を遮断する。

解答は「ア」になるのだが、1点気がかりな問題が。ダウンロード型ウイルスにおいて、事前に準備があっての、1社に対しての標的型攻撃の場合、不正Webサイトへの誘導の際、「不正Webサイト」として、見分けられないのではないか?と思われる。そもそも、「ウイルス」なり「スパイウエア」なり、被害者が出ない限り、なかなか「不正」と認識できないような気がする。ただ、情報セキュリティスペシャリストの問題から、他の3文については該当しないため、しぶしぶ「ア」を選択せざるを得ないのかもしれない。「イ」は、外からの攻撃、インバウンド(受信)であって、ウイルス感染後の内部からの漏洩、アウトバンド(送信)には対策できない。ただし、FWを、インバウンド対策だけでなく、アウトバンド対策も実施していれば、ひょっとしたら対策できるかもしれない?と思ってしまうが、iPS(侵入防止システム)を外向きにさせるには、Web、80や443で逃げられてしまうため、意味がない。「ウ」は、ウイルス感染後だから意味がない。また、スパム対策を実施していたとしても、アドレスはころころ作り変えることができ、いたちごっこだ。ウイルス感染前の対策であれば、有効かもしれない。「エ」メールフィルタは、スパム対策のような感じの緩い制御と思われる。ウイルス感染後の通信は、メールベースではなく、80、443といったWebベースをもとにした通信になったりするため、意味がない。
攻撃手法は、2014年9~10月に相次いで発生した健康保険組合に成りすました「医療費通知のお知らせ」を題したウイルス付きメールと類似していることから、日本が標的の「CloudyOmega攻撃」と考えられている。
(参考)「一太郎」にゼロデイ攻撃、日本が標的の「CloudyOmega攻撃」が2014年になって活発化(impress)
マルウエアのタイプは「Emdivi」という疑いあり。
(参考)医療費通知に偽装した攻撃(Backdoor.Emdivi) その後(マクニカネットワークス)

一部の記事を見ていると、「CloudyOmega」とういうサービス名の攻撃であるのに、クラウディーオメガというアノニマスのような集団として勘違いしている記事を見かける。
LadyBoyle の実行グループや HiddenLynx など、他の悪名高い攻撃グループと密接なつながりのある攻撃グループによって実行された、日本のさまざまな組織を標的とする継続的なサイバースパイ攻撃の総称として、Symantec社が「CloudyOmega」と名付けただけで、グループではありません。。。

 

この、Emdiviは、この記事によると、「個人で作られたものではなく、明確な目的にしたがって組織によって作られたものである」ということだ。これは、あきらかに特定の組織に向けた犯行で、上記に例としてあげた、情報セキュリティスペシャリスト試験では、正解がなくなってしまうorz
Emdiv(エムディビ)については、簡単な解説のページを作ったので、参考頂きたい。

 

※流出情報に関する内容は、日本年金機構プレスリリースをご覧ください。また、まとめの詳細サイトは、piyologさんが詳しく書かれていますので、参考ください。

流出した情報は、949ファイル・約125万件中、パスワード設定していたファイル数は、わずか「7個=70万件」

流出した情報 個人情報件数 ファイル数 パスワード設定数
二情報(基礎年金番号、氏名) 約3万1000件 254 6
三情報(基礎年金番号、氏名、生年月日) 約116万7000件 315 1
四情報(基礎年金番号、氏名、生年月日、住所) 約5万2000件 380
約125万件 949ファイル中 7ファイル

 

機構本部が4月、サーバーの保存ファイルにパスワードを設定していない複数の部署の内規違反を把握しながら放置していたことが分かった。結局のところ、ヒトでパスワードをつけるなんて、後でやろう、と思う場合もある。そもそも、パスワードをヒトの処理で済ます問題が欠陥にあると思われる。99%しっかり設定していたとしても、1%の人が設定をあとでやろう、としていれば、そこで脆弱性となる。100%はきっと無理。あとでやればいいや、と自ずとなってしまう。

年金機構のウイルス駆除ソフトは、McAfeeでありとされており、McAfeeで攻めるのであれば、素晴らしい製品がある。McAfee DLPだ。この、McAfee DLPは史上最強のデータ漏えい対策製品だ。惚れ惚れしてしまう製品だ。他の製品ではできない、複製した情報にも、DLP(Data Loss Prevention)が付与されるため、複製先も同じ権限で複製できたりする。ただし、McAfee DLPにも1つ欠点がある。これは、McAfee NAC(検疫ネットワーク)や、McAfee Encryption(暗号化)が整備されていないと、あんまり意味がなかったりする。全部マカフィー製品で揃えれば、最強の製品なんだけどね。NACとか、Encryptionができていない環境でMcAfee DLPをしたとしても、ファイルが出ていけば、平文で出ていくらしい?ので、Encryptionと絡めなければいけなかったり、そもそもネットワークに接続した際に、違うネットワークに飛ばさないといけない、NAC(Network Access Control)をしなくてはいけなかったり、そもそも、NACにするには、DHCP環境にしなくてはいけなかったり、色々と問題がある。

データ漏えい対策(DLP)にあたって、色々と調べた限りでは、それに近い製品でかつ、単独で行えるのが、EMC Documentum IRMだ。2年前ぐらいまでは、NECもOEMで取り扱っていたが、今は富士通だけなのかな?暗号化・復号化をファイル単位で行う製品だけれども、アクセス制限については、すべて認証サーバと照合しあうため、一旦外にもれたとしても、あとからアクセス権限を変更できる素敵な製品だ。ただし、Office製品のバージョンアップが3年毎というはやさに追いついていくのかどうか、不安な製品ということもあり、また、高価というところもあり、私の会社ではペンディング。

その中で、比較的導入しやすいのが、Microsoft AD RMSだ。ただこれもオンプレ(自社内にサーバを置く)で行う場合、RMSのエンジンで利用するSQL Serverのライセンス問題や、サーバ処理問題等で、高級なサーバーがいくついるんだ?という問題に膨れ上がってしまう。初期投資を低く抑えて、4~5年使って行けば、結果的に同等金額の投資になるかな?という方法として、Office365のRMSや、Microsoft EMS等のサブスクリプション製品がある。Microsoft EMSの場合は、端末管理(Intune)を柱に、Azure AD Premiumや、Azure RMSがセットで利用できる月額ライセンスだ。私の会社でも十数台契約し、納品を待っている。

AD RMSでは、Office製品(Word / Excel / PowerPoint)に関してアクセス権限を付加できる製品だ。

今回、Wordを開いたら、AccessのDBに対してアクセスさせられた、といった標的型攻撃があったようだけれども、AD RMSで管理されていれば、少なくともWord / Excel / PowerPointのデータは流出を防げたに違いない。ただ、漏れたファイル数は公開されてはいるが、ファイル種別がまだ、分からないといったところだ。CSVとかの情報が多数あるのであれば、AD RMSでは対応できないため、McAfee DLPや、EMC Documentum IRM等での保護が必要かもしれない。

 

ウイルス感染したPCから、ファイルサーバーにアクセスされ情報流出したという。この、ウイルス感染に至り、URLをクリックしたら感染させたり、ファイルを添付させて開かせたりといった複数のメールがばら撒かれたようだ。
そもそも不正通信を食い止めるにあたっては、民間企業なら、Webフィルタを入れていると思う。私の会社は贅沢にもBlueCoat ProxySGを入れている。もちろん、不正URLアクセス防止のため。
ProxyAVと組み合わせることで、Web上にマルウエア等が忍び込まれていたとしても、駆除してくれる素敵な製品で、米国防衛省で認証された初の製品でもある。ProxySGは素敵ですよ。
他のWebフィルタ製品と違い、FW(ファイアウォール)のように、上から順番にルールを書けたり、複雑に明快にポリシーが書ける。
BlueCoatといえば、マクニカさんが親密になって考えてくれるので、興味があったら確認してみてください。※なお、私はマクニカさんとは一切関係ありません。
(参考)高度な標的型攻撃から情報を守る(ITPro)

 

最近では面白い製品も数多く増え、仮想環境でシミュレーションしてくれる製品がある。そう、最近エヌコムさんが協業したFireEye。高価なので、トップダウンじゃないと、入れられないですね。
そこまでできないけれど、今回のケース、ファイルサーバーだけは守りたい!となれば、McAfee NSP(Network Security Platform)は案外面白いかもしれない。FireEyeほど高いものではないが、やはり高価。
常に通信を監視しておいて、突然不正な通信の傾向が見られた場合、その通信を遮断してくれる(らしい)素敵な製品だ。

 

暗号化ソフト(推測)Check Point Full Disk Encryptionを利用。ウイルス駆除ソフトは、(推測)Anlaboを利用。Nortonという噂もあるMcAfee(Intel)で確定。McAfee一色にしてい報告もあり、ひょっとして暗号化は、McAfee Endpoint Protectionか?

Check Point Full Disk Encryptionは、前バージョンはPointsec。Pointsecといえば、ハードディスク丸ごと暗号化として定評のある暗号化ソフトだ。
当時、この製品に対抗としてネットワーク上で管理できたSafebootがあった。SafebootはMcAfeeに買収され、McAfee Endpoint Encryptionとして現在販売されている。
ディスク暗号としてのメリットは、PC盗難や紛失時に威力を発揮する。しかし、ディスク上、OSの下で暗号化を行うため、OS上では、暗号化されないため、データ交換等の処理は迅速だ。

 

一方、ウイルス駆除ソフトAnlaboはどうだろう。韓国製で一時期流行した製品だ。法人向けというより、個人向けの製品のような印象だは、リアルタイム無効でMcAfeeを使っていた恐れあり。
ドイツの独立系セキュリティ製品調査会社AV-TESTによると、McAfeeはIntel社に買収されたので、Intelのロゴが書かれている製品を見ればよい。
ビジネスユースで見た場合、Intel(McAfee)は、主力製品(Symantec, Trendmicro)と比較してもプロテクション比率が劣っており、2014年以降、トップ3に一度も入っていない製品となる。
McAfeeは、次々に製品を買収し、1メーカーで何でもできる点で素晴らしいと思うけれど、ウイルス駆除検知精度がいまひとつで、私の会社でも導入を見送った経緯がある。
McAfeeは社員数「万」規模のメーカーが利用するケースが高い。管理ツールで何でもできるからだろうけど。中堅企業にとっては、単価が高くて無理…。

av-test-win7

そもそも、年金機構においては、ウイルス駆除として最も必要な、リアルタイム検知を無効にしていれば、あんまりウイルス駆除ソフトが入っていたとしても意味がなさそうな気がする。
リアルタイム検知を無効にしているのであれば、スケジュール的なウイルススキャンも実施していないだろうし。ウイルス感染して当然と言えるかもしれない。

 

個人的に好きな製品、F-Secureの場合は、2011年~2014年にかけて、プロテクション部門において、4年連続アワードを受賞されており、安定性のある製品だ。
F-Secureは仮想スキャンサーバという新機能を追加されている。これはなかなか面白いので、改めて紹介したい。サポートも費用額から見れば、それなりに良いサポートをしてくれる。

ウイルス駆除ソフトについては、時々上位にくる製品や、全然入らない製品よりも、いつの調査月でも上位5以内に入る製品の方が安心ではないだろうか。取り扱い販売店が少ないのは、入札とかなると厳しいかもしれないけれど。

 

さて、今回の日本年金機構の情報漏えいで、流出した個人情報125万件のうち、70万件はパスワードが設定されていましたが、それ以外は設定されておらず、内規に違反した状態だった=ずさんな管理だったということだ。
民主党蓮舫氏は「日本年金機構は過去にも仕様書や個人情報を漏洩させ、平成22年に再発防止策としてアクションプランを決定し、徹底した管理を行ってきたはずだが」とツイートしている。

renho

塩崎厚生労働大臣は「再発防止に全力かつ可及的速やかに取り組みたい」と発言した。

年金機構内ネットワーク(LAN)上にある階層毎に閲覧制限をかけていた(筈)のファイルサーバにアクセスし、感染へと広がった。
また、流出した個人情報の一部が東京・港区にある海運会社のサーバーに蓄積されていたことが分かり、そのサーバーが悪用され、ウイルスに感染した年金機構側のパソコンを遠隔操作し、情報を流出させた疑いもあるとみられている。

 

この年金機構の情報流出を受け、このような遠隔操作で情報を流出させるためのウイルス作成ソフトが公開されたという。今後、このように特定の組織を狙った標的型攻撃(APT)が増加する恐れがある。注意して欲しい。まずは、差出人のメールアドレスに着目をしよう。また、ホームページにはメールアドレスを開示しない代わりに、質問フォームのようなフォーム型コンテンツを用意するのも1つの手だ。できるだけ、対象攻撃となる材料を開示しないことが大切だ。

 

5月28日の2ちゃんねるの書き込みから、急展開。スレ25スレ26

2ch-年金機構

この2ちゃんねるの書き込み者に対し、日本年金機構では、守秘義務違反の疑いで告発の準備をしているという。
確かに、この2ちゃんねるの書き込みで、これほどまでに話題性を作ってしまった、といっても過言ない。

2015年05月08日
└職員が「年金基金制度の見直しについて」といった件名の不審なメールの添付ファイルを開封(九州ブロック本部(福岡市)
→ウイルス感染→他のネットワークに接続されていたPCも感染の疑い→セキュリティ会社に調査依頼→不正通信を確認→通信制御
2015年05月18日
└不正ファイルを開かないよう注意換気したが、別の職員(本部(東京都杉並区))がメールを開封→不正通信を確認
2015年05月19日
└警視庁に捜査依頼
2015年05月28日
└情報流出を2ちゃんねるの書き込みから確認
2015年06月01日
└公表
2015年06月17日
└2ちゃんねるの書き込み者に対し、守秘義務違反により告発を準備中

▼参考資料
日本年金機構、ウイルス感染で個人情報125万件流出、該当者は基礎年金番号変更へ(impress)
日本年金機構にサイバー攻撃、ファイル共有サーバーから125万件の年金情報が流出(ITPro)
[続報]日本年金機構、ファイル共有サーバーを5年以上前から運用(ITPro)
年金個人情報125万件流出…職員がメール開封(Livedoor news)
日本年金機構:個人情報125万件流出 ウイルスメールで(毎日新聞)
不正アクセスで年金情報125万件が流出か(NHK)
年金情報流出、公開の調達情報アドレスから感染(読売)
共有フォルダ内部に侵入=本部と福岡で2人開封—年金機構へのサイバー攻撃(WSJ)
日本年金機構の情報漏えいについてまとめてみた(piyolog)
また攻撃グループ「クラウディオメガ」が関与か(読売)
日本年金機構のウイルスの件 クラウディオメガって何者!?(Libertarians Diary)
年金個人情報流出 都内会社サーバー経由か(NHK)
年金情報流出:遮断遅れ感染拡大 新種ウイルス検知できず(毎日)
間接業務システム設備等の賃貸借及び保守業務」調達仕様書(案)に対する意見招請の結果について(日本年金機構)魚拓
年金情報流出、PW設定1%未満 ずさんな管理浮き彫り(朝日)
年金情報流出 非公開アドレスに100通のメール(NHK)
年金機構のウイルス感染問題、2ch書き込み者を告発へ(ITmedia)
「標的型メール」を仕掛けられるウイルス作成ソフトが横行(産経)
年金機構流出のウイルス「Emdivi(エンディヴィ」は組織が作っている(LAC・マクニカネットワークス注意喚起)
犯罪グループが日本を狙い打ち、年金機構流出ウイルスの巧妙な手口(日経BP)
機構本部、4月にパスワード無設定知りながら放置 情報内容流出拡大に拍車(産経)
年金機構流出:3度の判断ミスで流出拡大(読売)
> 問題点1:職員のセキュリティー意識の甘さ「標的型メールからのウイルス感染」
>問題点2:機構内部の作業でのセキュリティーが甘い「ファイル共有サーバーからの流出」
>問題点3:年金機構は3度も判断を間違えた「事故対応の遅れで流出拡大」
日本年金機構が調査結果発表、「流出防げた、断腸の思い」(ITPro)
>組織としての情報管理体制に問題があった。現場に対してルールを徹底できていなかった
ルールが徹底できないために、規程が作られ、破られ、規程が強化され・・・。ホント、守られないよね。

 

 

 

 


Twitterでフォローしよう

おすすめの記事