2015年6月12日夜。長野県の上田市役所に1通のメールが届いた。「市役所庁内のPCがウイルスに感染し、外部への不審な通信が発生しているようだ。大至急調べてほしい」。
メールの発信元はJPCERTコーディネーションセンター（JPCERT/CC）。日本国内を対象に、サイバーセキュリティに関する情報収集や注意喚起をしている組織である。政府や企業から独立して中立的に運営されている。
JPCERT/CCからのメールは市の情報システム部門に当たる総務部広報情報課に届いた。受信した佐野茂樹係長は、「メールを一読しただけでは、内容をよく理解できなかった」と率直に話す。
(中略)
後になって分かったことだが、この標的型サイバー攻撃事案では、情報流出の被害そのものは大きくなかった。だが行政ネットワークや住基ネットから遮断されるなど、上田市の行政機能に大きな影響を及ぼした。その機能は、2015年8月下旬時点で完全には復旧していない。
(中略)
メールを受け取った佐野係長はすぐにJPCERT/CCに電話をかけて詳細を聞き、事態の重大さを悟った。6月1日に日本年金機構が約125万件の年金情報流出を公表したばかりだったからだ（関連記事）。上田市も、年金機構と同様の標的型攻撃に遭ったことが疑われる状況だった。その夜のうちに、庁内LANから外部Webサイトへの通信を遮断する措置を取った。
(中略)
「1次感染源が分からない限り、被害拡大が想定される危険な状況だ。情報系LAN以外も含めた全てのPCをインターネットとLGWANから遮断してほしい」とアドバイスされた。
(中略)
LGWAN（総合行政ネットワーク）とは、地方公共団体情報システム機構（J-LIS）が運営する、地方公共団体の相互接続に使う専用ネットワークのことだ。ここからPCを遮断すれば、長野県庁との間の通信ができなくなり、県に関係する業務などに支障が出る。
自治体機能の一部が停止することになるが、追い詰められた上田市にもう選択肢は残されていなかった。
(中略)
この時点で、上田市はインターネットとLGWANから遮断された。メールの送受信や県とのデータ交換ができない状態に陥った。
まだこれで終わりではなかった。6月17日、総務省自治行政局住民制度課から上田市に連絡があった。「住基ネットへの接続を遮断してほしい」という指示だった。
上田市の庁内LANは、「情報系」と「基幹系」に分かれている。情報系LANはインターネットやLGWANと接続するため、比較的外部からの脅威にさらされやすい。住民票情報を管理する「住民基本台帳」や、そのデータを他の市町村と交換する住基ネット（住民基本台帳ネットワーク）の操作・管理に使うPCやサーバーは、基幹系として別系統のLANに接続されていた。
(中略)
基幹系では不審な通信は検知されていない。ウイルスに感染している可能性も低い。ネットワークが分離されているので、情報系のウイルス感染が基幹系へと広がる可能性も低い。だがUSBメモリーやCD-ROMなどの媒体を通じてウイルスが感染している可能性を排除し切れなかった。総務省は、基幹系へのウイルス感染の可能性がある限り、住基ネットへの接続は認められないという立場だった。
(中略)
結局、住基ネットへの再接続は、総務省から“お墨付き”を得られた7月29日まで待たなければならなかった。その間、住基カードの発行や、住民票の広域交付など、住基ネットを使う住民サービスはストップ。転入・転出などの住民の異動に伴う事務手続きにも住基ネットを使えず、相手先自治体との間で紙の文書を授受するなどして対応した。
(中略)
上田市は庁内LAN構築を担当するNTTデータ信越（長野市）と、セキュリティを担当するトレンドマイクロに専門的な調査を依頼した。その結果、合計9台のPCがウイルスに感染していることが判明した。9台はいずれも情報系LANのPCで、基幹系LANでの感染端末は無かった。
感染の発端は「医療費通知」メールだった。
(中略)
Emdiviに感染したPCは外部の指令サーバーと「不審な通信」によって遠隔操作され、情報を流出させたり、LAN内部の他の端末にウイルスの感染を拡大させたりする。日本年金機構や早稲田大学など日本国内の多くの情報流出事件でも、このEmdiviが関係しているとみられる。
(中略)
住民票情報や税情報の流出こそ無かったものの、さまざまなサイバー攻撃の痕跡と被害が判明していく。最初の感染から6月の発見まで4カ月程度が経過しており、その間に影響が広がった。上田市は、臨時対応だけで約3000万円を費やすことになった。
(中略)
上田市のセキュリティ対策にはいくつかの“穴”があった。だが、他の地方自治体や民間企業と比べて、特段対策が甘かったわけではない。上田市と同様のことは、どんな組織にも起こり得ると考えたほうがいいだろう。
(後略)

http://itpro.nikkeibp.co.jp/atcl/column/15/082000199/082000001/

大抵の所で社内ＳＥって、基本「パソコンの何でも屋さん」で、スペシャリストは少ないからなぁ。
そして、低能過ぎる総務省。
明らかに技術的な観点ではなく、「対外的な理由」で住基ネット遮断とか、無能にも程がある対応。
彼らには、彼らなりの言い訳はあるだろうけれど、明らかに「過剰反応」と言える。
かえって基幹系のセキュリティ脆弱さを疑わせるレベル。
一方、フルボッコにされると判っていても、公表した上田市の勇気は、評価したいと思う。
真面目な話、業務効率化とセキュリティは、どう頑張ってもバーターの関係にある。
１０人も居れば、１人ぐらいは会社でエロサイトを開いてしまうような馬鹿が混じるもんで、業務効率化の為に等しいネット環境を与えると、桶の理論に従って、最も意識の低い職員のセキュリティレベルに固定される。
１５００台もの端末が稼働する上田市なら、多分１５０人ぐらいはアホが混じっていただろう。
ウイルス感染が９台で済んでいたのは、むしろ「良く頑張って居た方」とも言える。
しかし、あえて言うなら日本人の潔癖さのせいか、この手の防衛戦では必須の「捨てる所は捨てる」という判断が出来ず、全部を完璧に守ろうとして、守り切れていない感が酷い。
最初の感染から、発見まで４か月もかかった事が一番の問題で、この部分が改善していれば、多少のウイルス感染が発生しても、情報の流出は最小限に抑えられる。
つまり、「防御」より「検知」が一番重要であり、守るべき情報の流出検知を如何に素早く発見するか、が重要だと思う。
流出を発見さえしてしまえば、ＬＡＮケーブルを引っこ抜くだけで、流出は止まる。
このぐらいシンプルにしないと、非ＩＴ部門職員は理解できないと思う。