年金情報の流出とセキュリティ対策

   2015/06/22   icon-clock-o読了時間:約17分1秒

2015年6月1日、日本年金機構がサイバー攻撃(コンピュータやインターネットを利用したテロ攻撃)を受け、
年金受給者および加入者の個人情報が流出したとの発表がありました。
テレビでも繰り返し報道されているので皆様ご存知かと思いますが、
なんでそんなことになってしまったかの簡単なご説明と、
PCのセキュリティで気をつけるべきことについてご説明したいと思います。

なぜ情報流出が起きたか

簡単に言えばこんな流れです。


5月8日
職員のひとりがメールに添付されていたファイルをうっかり開いてウイルスに感染。
業務内容に関係しているかのようなメール内容で、添付ファイルも
実行ファイル(.exe)ではなく書類を装った拡張子(.pdfや.doc)のファイルにされていたのかも?
 icon-arrow-circle-right 拡張子については ファイル拡張子の表示と変更方法 の記事をご覧ください。

5月18日までの10日間
メールのやり取りや社内ネットワークを介してウイルス感染が他のパソコンにも拡大。

5月19日
誰かがウイルス感染に気づき、エライひとがこれはヤバイかも、と思ってようやく警視庁公安部に相談。

5月28日
警視庁公安部がサイバー攻撃による不正アクセスと情報流出を指摘。

6月1日
日本年金機構が個人情報の流出を発表。

6月3日
東京の一般企業のサーバーに、年金機構から流出した個人情報の痕跡が発見される。
この企業のサーバーが不正に一部乗っ取られて不正アクセスに使用されたものと思われる。

現在の日本年金機構対処状況;
・ウイルス感染PCを隔離
・契約しているウイルス対策ソフト会社に解析を依頼
・検知したウイルスを除去
・警察への操作依頼
・全拠点でインターネットへの接続を遮断


初めにウイルス感染した人も、その後で感染した人たちも、
セキュリティソフトを掻い潜られちゃったのかもしれませんね。
新しく作られたウイルスならセキュリティソフトの更新が追いつかず
ウイルスとして検知されないことがありますし、何よりウイルスが
年金機構で使われているセキュリティシステムに対抗することを考えて作られたのかもしれません。
(ここまで大きな事件を起こすなら入念な下準備があったでしょうし)

複数のウイルスが用いられた可能性が、という報道があったので、
乗っ取って遠隔操作、セキュリティの動作阻害、外部からの不正アクセス、
情報データを盗んでから既に乗っ取っている他のサーバーからサーバーへデータ転送、
といった感じでしょうか。

流出した情報の内容

日本年金機構のお知らせ;個人情報流出についてにも記載がありますが、
外部に漏れた情報は
基礎年金番号、氏名が約31,000件、
基礎年金番号、氏名、生年月日が約1,167,000件、
基礎年金番号、氏名、生年月日、住所が約52,000件。
以上の合計約125万件の個人情報が流出したことになります。
しかもこれは現在判明している分なので、もしかしたらもっと多いのかもしれません。

ちなみに基礎年金番号とは、日本年金機構が年金記録を管理するために付けた番号で、
加入者・受給者の年金記録の確認や、個人情報変更の手続きなどに必要な番号です。

流出した情報(年金番号・氏名・生年月日・住所)があったとしても
免許証などで本人確認を行うため、本人になりすまして年金情報を変更したり
不正受給することはできないと発表しています。

しかし既に年金機構を名乗る怪しいひとから個人のお宅に電話が掛かってきたとのこと、
これからも詐欺などの犯罪に利用されることは間違いありません。
年金機構のもつ情報は精度の高い個人情報です。
悪い人たちの間では何千万か、ヘタをすれば億単位で売れたでしょうね・・・(;-A-;)

年金機構への問合せ

今後該当する方には文書郵送でお詫びと基礎年金番号変更のご案内が来るそうです。
ていうかお詫びしてもらったところで漏れた情報は戻らないので
もう今更言っても仕方がないこととはいえ、なんでもうちょっと
セキュリティをしっかりしてくれなかったの・・・と思われずにはいられません。

自分の情報も漏れてないか一刻も早く確認したい!という方は
年金機構にお電話で問い合わせていただくと良いかと思います。
ただ、現在は同じように不安を持たれた方がたくさん電話しているので物凄く繋がりにくいかと思います。
年金手帳など年金番号などが分かるものをお手元にご用意いただいてから、気長に掛けてみてください。

【 通常のお問合せ先 】
電話での年金相談窓口をご確認ください。
一般的な問合せ先であるねんきんダイヤルは 0570-05-1165 です。

【 不審な連絡が来た場合のお問合せ先 】
※以下、年金機構のお知らせより抜粋
お客様に外部からの不審な連絡があった場合には、
当機構にご連絡くださいますようお願いいたします。
そのための専用電話窓口(コールセンター)を本日設置します。
電話番号:フリーダイヤル0120-818211
受付時間:8:30~21:00(平日及び土日)
※上記受付時間は本日から6月14日(日)までとし、その後の受付時間は日本年金機構HPでお知らせします。

現在の日本年金機構のホームページについて

2015年6月6日より、セキュリティーの脆弱性が見つかったとしてホームページが停止状態になっています。
情報流出に続いてこの状態では、今後の運営そのものが心配になるくらいの信頼失墜ではないでしょうか(。・ × ・)

臨時のトップページには以下のお知らせが掲載されています。
≪お詫び≫
日本年金機構ホームページに脆弱性が発見されたため、現在、ホームページを一時停止しています。
ご迷惑をおかけします。
現在、速やかな復旧に向けて作業を進めています。

≪日本年金機構への不正アクセス事案について≫
日本年金機構不正アクセス事案について、日本年金機構からお客様の皆様に直接電話することはありません。
また、日本年金機構不正アクセス事案に関するお詫びのお手紙で、基礎年金番号や銀行の口座番号などを記載して返送をお願いすることもありませんので、ご注意ください。

ご相談は、ご遠慮なく専門電話窓口(フリーダイヤル)まで
0120-818211 受付時間 8:30~21:00(平日及び土日)

*受付開始直後および20時以降の時間帯は大変混み合っております。
*お問い合わせの際には、基礎年金番号や年金証書番号をご用意ください。

PCのセキュリティ対策

基本的には、パソコンにきちんとしたセキュリティソフトが入れてあって、
 セキュリティソフトのアップデート
 Windows(OS)のアップデート
 Javaのアップデート
 Adobe Readerのアップデート
 Flash playerのアップデート
これらを全て最新の状態に保っていれば一般的なウイルスの攻撃は防げます。

ただ、自分でWeb上の詐欺広告に引っかかってインストールしてしまったり、
自分でメールの添付ファイルを開いてしまったり、
メールに記載されているURLにアクセスしたり、といった行動を起こした場合には
パソコンもセキュリティソフトも私達の行動を物理的に止めることはできませんから、
悪意のあるプログラムを弾くことができませんので注意が必要です。

以下の記事も合わせてご覧頂いて、お仕事で使うパソコンはもちろんですが、
個人の方のパソコンでもセキュリティには皆様充分にお気をつけください。
【 慌てず騒がず 】お使いのパソコンの性能が低下【 騙されず 】
BaiduやBabylonの危険性について
【三菱東京UFJ銀行】本人認証サービス、という名の迷惑メール
ゆうちょ銀行を装った迷惑メール
2014 年 4 月 9 日 に Windows XP のサポートが終了します
Internet Explorer へのゼロデイ攻撃にご注意を

また、何かが起きればそれを良くも悪くも商売のチャンス!と思う方も多いもので、
「 あなたのパソコンのウイルス感染状況をお調べしますよ 」
「 この際だから御社のセキュリティをまとめて当社に委託なさってみませんか 」
といった営業案内が来ることがあります。
もちろんそれが誠実な業者さんであることも多々ありますが、
中には人の不安に付け込んで、相場よりも高くセキュリティソフトを売りつけたり、
感染してもいないウイルスを駆除したと嘘をついたり、といった
悪質な詐欺業者も紛れているので、くれぐれもお気をつけください。

メールの添付ファイルとウイルス感染

メールに添付されているファイルからウイルス感染した場合、
そのファイル形式と仕込まれているウイルスも様々です。

基本的にメールに添付されてくる実行ファイル(拡張子が.exe)が
ウイルスプログラムをインストールする危険なものであることは既に皆さんご存知だと思います。
拡張子をそれっぽく偽装して書類(.pdfなど)に見せかけていた場合でも、
Windowsをお使いなら、実行ファイルを開く前(インストールが始まる前)に
『 発行元を確認できませんでした 』
『 このファイルを保存または実行しますか? 』
『 不明な発行元からのプログラムにコンピュータへの変更を許可しますか? 』
といった内容で、Windowsセキュリティからの警告メッセージが出るはずです。
「 社内のメールだから書類かと思ったのにおかしいなあ。一体なんの実行ファイル? 」 と
疑問を持てば、インストールする前にもう一度メールの送り主や内容を確認できますよね。
少し気をつけていただくだけで防げる危険も多々あります。

しかし最近では敵も研究を重ねて、より巧妙な偽装や仕掛けをすることが増えてきました。
文書ファイル(.pdf 、 .doc 、.xls 、 .xlsx)の中にウイルス実行のスクリプトを仕込んだり、
画像ファイル(拡張子が.jpeg あるいは .jpg)のMetaデータ内にウイルスの設定情報を埋め込んだり、
ありとあらゆる手段で人の隙を突き、セキュリティの穴を突いてこようとしてきます。
そんな時間と技術があるなら真っ当に働けばいいのに・・・と思いますね。

ここまで手の込んだ偽装をされてしまうと、絶対に引っかからない!と
自信を持って言えるひとは少ないのではないでしょうか。

今回最初に感染してしまった年金機構の職員さんも、例えば
『 年金情報システムの更新;セキュリティ更新のため
 添付ファイルを実行してシステムの更新を行ってください 』
といったようなメールで添付ファイルを受け取ったのだとしたら、
そして普段からそんな内容のメールで社内システムの更新が行われていたとしたら。
引っかかったのもまあ仕方ないかなと思います。

例えば、職員の誰かを買収するなりして業務に関連するメール内容などを教えてもらえば
似せた内容でウイルス入りのメールを送るのは簡単ですし。
今回の個人情報流出についても公表前に2ちゃんねるに書き込んだ職員さんが居たようで、
そこまでネットリテラシーの無い職員さんがいるんだと思うと信用がガタ落ちですよね。

情報システム部(とかそれに類する部署)の人たちも、セキュリティについて委託を受けていた会社も、
ネットリテラシーの社員教育とセキュリティに重きを置いたシステム構成をしましょうよ・・・と
重ね重ね悔しい限り。後から言ってももう仕方ないことですが(。・ × ・)
いずれにせよ、情報流出した後で悔やんでもどうしようもないので、
特に企業の場合は普段から社員みなさんで気をつけていただくに越したことはありません。

個人情報を秘匿することの難しさ

私は常々パソコンの中の情報が漏れないように気をつけています。
(パソコンの修理業者がウイルスで情報流出なんてあんまりすぎるので)
スマホの中のアドレス帳情報などが漏れないようにインストールするアプリについても吟味しています。

しかし個人的に自分の個人情報については今回の件で流出したとしても割とどうでも良いと思っています。
もちろん個人情報を盗み出した悪い人たちに対しては、これからその情報を悪用して増えるであろう
詐欺犯罪などを考えると、なんてことするんだ、という憤りはあるのですが
私の個人情報なんて
・卒業アルバムの住所録
・お店の会員カード登録
・懸賞への応募
・Googleアカウントへの登録とGoogle MapのGPS情報 などなど、色んな所でダダ漏れです。
この前も化粧品の懸賞に作ったばかりのメールアカウントで応募したら、
その翌日から迷惑メールが来るようになって思わず笑ってしまいました。
大きな企業さんなので大丈夫かと思っていたのですが、そんな風に簡単にアドレスが漏れるようなところに
個人情報を丸々書いてしまったので失敗したなあ、と反省しています。
こんなご時勢なので、今更また一つ漏れたところで・・・と思ってしまうんですよね。

警察の相談窓口

今月中に年金機構からのお知らせが来なかったら自分の情報は漏れなかったということらしいですし、
もしも漏れていたとしてもお知らせに従って年金番号の変更を行い、
日頃から怪しいひとに気をつけていればまあ何とかなるかと楽観的に考えている私です。
ついでにもし怪しいひとから電話が掛かってきたらある程度
乗っかって話をして連絡先を確認した上で警察に通報しようと思っています。
皆さんももし怪しい電話が掛かって来たら警察署へご相談なさってください。

警察相談専用電話 #9110
全国どこからでも、電話をかけた地域を管轄する都道府県警察本部の警察総合相談室などにつながります。
もちろんスマホや携帯電話からも利用可能(ダイヤル回線や一部のIP電話は除く)です。
110番するほどでもない(緊急性の無い)内容について相談するための窓口ですので、
110番に掛けている一刻を争う状態のひとの通報を邪魔することなく警察に相談することができます。
詳しくは政府広報の警察相談専用電話についての説明ページをご覧ください。

しかしいざ相談が必要になった状況では焦ってしまって電話番号を思い出せないかもしれません。
私も夜道で変質者に腕を掴まれ引きずられ12cmヒールで渾身の一蹴を見舞って逃げている時には
「 110番?いや119番?どっちが警察だったっけ・・・いいやもうコンビニの店員さんに助けを求めよう 」 と
テンパッてしまって携帯電話を活用することもなくコンビニまで走ったりしました。

自分が犯罪に巻き込まれそうになった時というのは、やっぱりどうしても冷静ではいられないものです。
たとえそれが詐欺だと察知でき、騙される前に回避できたとしても怖いですし不安な気持ちになりますよね。
そんな時のために携帯やスマホにあらかじめ相談窓口の番号を登録しておくことをおすすめします。
また、お家の電話や会社の電話であれば近くに電話番号を貼っておいていただくと安心かと思います。
警察相談 #9110 ・ 緊急通報 110 ・火事・救急 119

今は怪しいひとの攻勢も電話のみですが、そのうち
『 年金番号の変更をするために改めて口座を教えてください 』
『 年金番号変更の手数料を振り込んでください 』
『 この年金番号の方はこのままでは年金の受け取りができなくなりますから至急ご連絡を 』
というような郵送文書の詐欺や、直接お家を訪問しての詐欺も発生するかもしれません。
郵送で年金機構からの文書が来たら、まずはよく内容を確認して
少しでも怪しいと思ったら年金相談窓口に確認してくださいね。

 良かったら押してみてください♥

  • このエントリーをはてなブックマークに追加
  • Pocket