標的型攻撃により日本年金機構から約101万人・約125万件の年金情報が流出した問題は、事件判明から2カ月以上が経過し、ようやく全容が見えてきた。2015年8月20日に日本年金機構並びに内閣官房のサイバーセキュリティ戦略本部が、翌21日には機構を管轄する厚生労働大臣が立ち上げた第三者検証委員会が、それぞれの調査報告書をWebサイト上に公表した。
本編だけでも合計100ページを超える報告書は類が無い。「非常に貴重な資料。機構や厚生労働省の対応に不備はあったが、多くの組織にも当てはまる課題でもある。他山の石として、多くの人がきちんと読んでほしい」。セキュリティー会社であるカスペルスキーの川合林太郎社長は報告書の価値をこう訴える。
(中略)
今回の問題は、機構が2015年5月8日から5月20日にかけて何者からか4度にわたる標的型メールによる攻撃を受け、約125万件の年金情報が流出したというもの。機構の報告書（以下、機構報告書）によれば124通の標的型メールを受信し、5人の職員が開封。マルウエアに感染した当該パソコンを攻撃者が遠隔操作して、最終的には二つの拠点で31台のパソコンにまで感染が拡大したという。
(中略)
4度の攻撃で使われた標的型メールの関連性も明らかにしている
(中略)
共通性があり、「同一の攻撃者による一連のもの」と認定している。
(中略)
感染パソコンにおいてメールソフトの職員アドレスについて、「圧縮ファイルが作成されており、その一部が流出している恐れがあることが判明した」とした。従来はこの時点での情報流出は無いとしていた。
(中略)
攻撃者は5月18日から20日にかけて波状攻撃をかけてきた。まず非公開の職員アドレス宛てに時間を空けながら99通、19通、1通と別の標的型メールを送り付けた。受信者に3通を開封させたものの不発に終わった。マルウエアはパソコンに忍び込んだがC＆Cサーバーと通信できなかったのだ。これは5月8日の攻撃時点で、厚労省が攻撃者が操る国内のC＆Cサーバーへの接続をブロックするように設定したからだ。
攻撃者は5月20日、再び3つの公開アドレスを狙う。マルウエアを圧縮ファイルで添付した標的型メールを送り付けた。今度の件名は「【医療費通知】」。内閣官房報告書によれば「医療費の通知を偽装するメールは、昨年秋から広く出回っており、複数のセキュリティベンダから関連情報が公開されている」と報告している。これを1人が開封し、「30分後には管理者権限を奪い、2時間以内に6台に感染を広げた」（内閣官房報告書）。そして5月21日から23日にかけて個人情報を盗み出した。
(中略)
攻撃者は個人情報を機構の情報系システム「機構LANシステム」の共有フォルダから盗み、遠隔操作する端末経由でC＆Cサーバーに送った。機構は年金情報をオフラインの基幹系システム「社会保険オンラインシステム」で管理しているが、2010年9月以降、DVDなどで個人情報を機構LANシステムにコピーしていた。その際、内規に反してパスワードをかけていないデータが約55万件あった。
第三者委員会である「日本年金機構における不正アクセスによる情報流出事案検証委員会」の検証報告書（以下、委員会報告書）は、個人情報をコピーした理由を「現場の都合を優先し」たためとし、内規違反の常態化を「幹部は現場を知らないまま形式的な対応に終始し」たからだと分析している。個人情報をインターネットの影響下に置くことは「官民を問わず他の組織では考えられない対応」と批判した。
(中略)
今回、機構への攻撃には“序章”があったことが明らかになった。委員会報告書によれば、攻撃者は機構に最初の標的型メールを送り付ける5月8日の16日前、4月22日に厚労省で機構を管轄する年金局などに標的型メールを送ったという。
受信した職員はメールと添付ファイルを開封、端末はバックドアを開くタイプのマルウエアに感染し、C＆Cサーバーと通信したが、厚労省統合ネットワークを監視する内閣サイバーセキュリティセンター（NISC）がこれを検知、2時間後には遮断された。同ネットワークの運営業者はC＆CサーバーのURLへの通信をサブドメイン単位でブロックする設定を施した。
(中略)
委員会報告書は「4月22日時点でドメイン単位でURLブロックを実施していれば5月8日の不正な通信は防ぐことができた」とした。
厚労省はNISCから4月22日のマルウエアが感染すると被害が大きくなる可能性があると情報提供されていたが、5月8日にその情報を伝えることは無かった。委員会報告書はこれにより機構が本攻撃が「厚労省やその関連機関を狙った一連の標的型攻撃の一環であるとの着想に至らなかった」と指摘している。
(中略)
注目したいのは23個のC＆Cサーバーのうち、6個のC＆Cサーバーが調査できていないことだ。「特定できなくなっているものや海外に存在するものが含まれる」（内閣官房報告書）。通信が成功したC＆Cサーバーのうち国内に設置されたもの1台から125万件を警視庁が見つけた。調査を進めさらに3台を突き詰めたが個人情報は流出していなかったものの、機構の内部資料などが流出していることは分かった。機構は共有フォルダが格納していたファイルの全容は調査中だ。調査できないC＆Cサーバーにどれだけの個人情報が格納されていたかも分かっていない。被害の終息宣言はまだ早そうだ。
(中略)
標的型攻撃の対策トレンドは多層防御だ。未知のマルウエアで狙われるケースが多い標的型攻撃は、既知のマルウエアの侵入を防ぐ「入り口対策」だけでは足りない。侵入されることを前提として、侵入を素早く検知する「内部対策」と情報を外に漏らさないような「出口対策」が欠かせない。
(中略)
機構LANシステムは「未知の不正侵入に対する備えとしては不十分」だった。
(中略)
「昨年6月に定めたNISCの（標的型攻撃に関するシステム対策についての）ガイドラインは、国の行政機関を適用範囲としていたが、取り扱う情報の有用性を鑑みれば、（特殊法人であり国の機関から外れる）機構においても参考とすべきものであった」（委員会報告書）。
(中略)
機構LANシステムの運用管理を委託するNTTデータとは「ウイルス感染を検知した場合のみ、当該端末のネットワークからの切り離しとウイルスの駆除を行う旨の手順が定められていた」（機構報告書）。アクセスログを採っていたものの、監視は契約内容に入っていなかった。NTTデータは事故対応でプロキシーサーバーの監視業務などを引き受けたが「契約上、緊急対応でのサービスなどに明確な合意が無かった」（委員会報告書）。
(中略)
セキュリティポリシーには標的型攻撃の特徴と対応の必要性は書かれていたものの、「基本的対策事項等に関する記載が不足」し、「インシデント対応手順書も定められていなかった」と委員会報告書は指摘する。セキュリティポリシーにのっとり、最高情報セキュリティ責任者や統括情報セキュリティ責任者といった役割は規定してあったものの、「ポスト指定的に一般の職位に基づいて定めた体制であったため、実質的なリーダーシップに基づく対応が的確に遂行できなかった」（委員会報告書）。
機構内にも情報セキュリティスペシャリストなどの資格を持つ専門家が1人いたが「役員や管理職などの判断権者に対して率直に進言できるような職位にはなかった」（同）。外の専門家を登用もしなかった。一言でいえば「質・量とも不備があった」（同）。
(中略)
機構を統括する年金局も、セキュリティ対策を担当する政策統括官付情報政策担当参事官室（情参室）も、「自らが責任部局という認識が希薄」で、「積極的な指導監督の姿勢は認められなかった」。情参室の情報セキュリティ対策係は4人（うち1人は兼務）でいずれも「インシデントに対処できる知識や経験を十分に備えていた専門家とは認めがたい」とした。ただし3万人が働く同省のセキュリティ対策をこの少人数に任せるのは、「厚労省全体（特に幹部層）におけるサイバー攻撃の脅威や厚労省管理下にある情報資産の価値およびその漏洩リスクの重大性などについての意識が低かった」と指摘している。
(中略)
こうした組織的な無関心そこが、攻撃者の着信拒否や標的型メール着信、添付ファイル開封の確認漏れ、C＆CサーバーへのURLブロック、感染端末の即時フォレンジック、そしてインターネットの遮断遅れなどにつながった。
機構報告書は「20日の対応が最大のポイントだった」とする。20日時点で感染が確認できていれば、情報流出を防げたとした。NTTデータは「複数台の感染があったら即時遮断すべきと進言していた」（広報）とするが、判断すべき当事者に指針が無かった。
(中略)
機構は報告書で問題の根源を「ガバナンスの脆弱さ、組織としての一体感の不足、リーダーシップの不足、ルールの不徹底となど旧社保庁時代から指摘されてきた諸問題」と、「公的年金制度を請け負うという緊張感、責任感、使命感が役職員全員に共有されるに至ってなかったという組織全体の基本姿勢に関わる問題」に帰着させた。
(中略)
セキュリティ対策面の強化も急ぐとしている。ただ、機構は今回、お詫びの文書送付などでこれまで約6億円を投じ、今後、新しい年金手帳の郵送費用で約4億円の費用がかかると見ている。
(中略)
委員会報告書は次のように結んでいる。「これだけの情報を流出して国民に多大の心配をかけていながら、検証委員会の調査を受けるに際し、その後改まったとはいえ、一部の者が重要な資料を出し渋り、墨塗りをするなどの態度は論外である」。年金情報流出問題はまだ終わらない。

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/082400321/

現場の一次対応は割と妥当性があり、即応できているのに、そこから上の対応が中途半端だったり、遅すぎたりと言う感がある。
官僚システムの悪弊としか言いようが無いな。
生え抜きが必要な役職も、官僚の猟官運動の場となり、名前だけの責任者が置かれて、そいつらは事態の収拾より責任回避だけを至上目標として、決断はせず被害を拡大させ、資料を隠ぺいする。
日本人は上に行けば行くほど無能がはびこる、という江戸の昔からの恥ずかしい状況から、全く成長していない、と言う事なんだろう。
かと言って、ワンマンで、自身を信長と勘違いして、決断力がある自分をアピールしたいトップが、少額案件にまで首を突っ込んで掻き回している状況も、健全ではないんだけど。
いっそ、ＩＴセキュリティは人間的判断を介さない、ＡＩなどに任せた方が、良いんじゃないかと思ったり。